Точно, когда начал разбираться с облаками, понял — это реально не про классический пентест с портами и уязвимостями. Там гораздо важнее понять логику ролей и кто какие права через API может прокрутить. Без этого просто будешь ходить кругами и ничего толком не найдёшь.