Detección, corrección y supervisión de permisos en infraestructuras multinube mediante las API de administración de permisos (versión preliminar)
Administración de permisos de Microsoft Entra proporciona una visibilidad completa de los permisos asignados a todas las identidades en varias infraestructuras en la nube, como Microsoft Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP). Las API de administración de permisos de Microsoft Graph proporcionan la manera mediante programación de detectar, administrar y supervisar estos permisos en la infraestructura multinube.
En este artículo se presentan las funcionalidades de Administración de permisos que puede administrar mediante programación a través de Microsoft Graph.
Para obtener más información sobre Administración de permisos, consulte What's Administración de permisos de Microsoft Entra.
Casos de uso clave de las API de administración de permisos
Al proporcionar una visibilidad completa de los permisos asignados a todas las identidades en varias nubes, las API de administración de permisos le permiten abordar tres casos de uso clave de Administración de permisos de Microsoft Entra: detectar, corregir y supervisar.
Sistemas de autorización
Un sistema de autorización es una plataforma que contiene identidades y recursos. Expone permisos que controlan a qué recursos tiene acceso una identidad y a qué acciones pueden realizar.
Use el tipo de recurso authorizationSystem y sus métodos relacionados para detectar los sistemas de autorización incorporados a Administración de permisos y sus detalles. Actualmente, Administración de permisos admite Microsoft Azure, AWS y GCP.
Los siguientes escenarios clave de API permiten recuperar los detalles de los sistemas de autorización.
| Descripción | API |
|---|---|
| Recuperación de sistemas de autorización | Enumerar authorizationSystems |
| Obtener detalles de un sistema de autorización de AWS | Enumerar awsAuthorizationSystems |
| Obtener detalles de un sistema de autorización de Azure | Enumeración de azureAuthorizationSystems |
| Obtener detalles de un sistema de autorización de GCP | Enumerar gcpAuthorizationSystems |
Descubra la referencia rápida de operaciones de API para sistemas de autorización de AWS, sistemas de autorización de Azure y sistemas de autorización GCP.
Inventario del sistema de autorización
Cada sistema de autorización tiene un conjunto definido de objetos que forman las capacidades del sistema de autorización. Por ejemplo, identidades como usuarios y cuentas de servicio, o acciones y recursos.
Los siguientes escenarios clave de API permiten recuperar el inventario de sistemas de autorización.
| Descripción | API |
|---|---|
| Enumerar todas las identidades de un sistema de autorización | |
| Enumerar tipos de identidad en sistemas de autorización específicos | |
| Otro inventario |
Solicitudes de permisos
Las identidades pueden solicitar permisos para acciones y recursos en un sistema de autorización. Las funcionalidades de solicitudes de permisos permiten a los autores de llamadas solicitar permisos por sí mismos o en nombre de otra identidad y otras identidades para aprobar, rechazar o cancelar las solicitudes.
Los siguientes escenarios clave de API permiten implementar permisos a petición.
| Escenarios | API |
|---|---|
| Solicitar permisos; conceder o rechazar una solicitud | Creación de scheduledPermissionsRequest |
| Cancelación de una solicitud de permisos | scheduledPermissionsRequest: cancelAll |
| Seguimiento de las solicitudes de permisos y su estado | Enumeración de permisosRequestChanges |
Análisis de permisos
A través de las API de análisis de permisos, Administración de permisos le ayuda a detectar el riesgo de permisos en identidades y recursos para los sistemas de autorización. Puede usar estos resultados para automatizar casos de uso como:
- Creación de paneles
- Desencadenar una revisión de riesgo
- Priorización de la corrección
- Generación de vales
Las siguientes conclusiones de ejemplo están disponibles a través de las API:
| Hallazgo | API de escenarios de ejemplo |
|---|---|
| Identidades inactivas: identidades que no han usado ninguno de sus permisos concedidos en los últimos 90 días. | |
| Grupos inactivos: ninguna identidad ha utilizado los permisos asignados a través del grupo en los últimos 90 días. | |
| Super identities: permisos de nivel de administrador en todo el sistema de autorización. Estas identidades pueden administrar todos los recursos del sistema de autorización. |
Otros hallazgos incluyen:
- Conclusiones basadas en recursos: por ejemplo, contenedores de blobs de Azure, cubos S3 y cubos de almacenamiento accesibles públicamente; abrir grupos de seguridad de red; e identidades que pueden acceder a información secreta o usar herramientas de seguridad
- Usuarios, roles, recursos, entidades de servicio y cuentas de servicio sobreaprovisionados
- Usuarios con autenticación multifactor no aplicada en AWS
- Oportunidades para la escalación de privilegios
- Uso y antigüedad de las claves de acceso de AWS
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus inquilinos con los tres principios rectores de una arquitectura de Confianza cero:
- Comprobar de forma explícita.
- Uso de privilegios mínimos
- Asumir la vulneración.
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.
Permisos y privilegios
Para llamar a las API de administración de permisos, el autor de la llamada no necesita ningún permiso de Microsoft Graph. Sin embargo, deben tener privilegios adecuados en el inquilino Microsoft Entra y en el sistema externo.
Para obtener más información, consulte Administración de permisos roles y niveles de permisos.
Contenido relacionado
- ¿Qué es Administración de permisos de Microsoft Entra
- Guía de inicio rápido para Administración de permisos de Microsoft Entra
- referencia de operaciones de Administración de permisos de Microsoft Entra
- Microsoft Entra referencias rápidas de operaciones de API de administración de permisos: