Compartilhar via


Descobrir, corrigir e monitorar permissões em infraestruturas de várias nuvens usando APIs de gerenciamento de permissões (versão prévia)

Gerenciamento de Permissões do Microsoft Entra fornece visibilidade abrangente sobre permissões atribuídas a todas as identidades em várias infraestruturas de nuvem, como Microsoft Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). As APIs de gerenciamento de permissões no Microsoft Graph fornecem a maneira programática de descobrir, gerenciar e monitorar essas permissões em sua infraestrutura de várias nuvens.

Este artigo apresenta os recursos de Gerenciamento de Permissões que você pode gerenciar programaticamente por meio do Microsoft Graph.

Para obter mais informações sobre o Gerenciamento de Permissões, consulte O que está Gerenciamento de Permissões do Microsoft Entra.

Principais casos de uso de APIs de gerenciamento de permissões

Ao fornecer visibilidade abrangente sobre permissões atribuídas a todas as identidades em várias nuvens, as APIs de gerenciamento de permissões permitem que você resolva três casos de uso chave de Gerenciamento de Permissões do Microsoft Entra: descobrir, corrigir e monitorar.

Sistemas de autorização

Um sistema de autorização é uma plataforma que contém identidades e recursos. Ele expõe permissões que controlam quais recursos uma identidade tem acesso e quais ações podem ser executadas.

Use o tipo de recurso authorizationSystem e seus métodos relacionados para descobrir os sistemas de autorização integrados ao Gerenciamento de Permissões e seus detalhes. Atualmente, o Gerenciamento de Permissões dá suporte ao Microsoft Azure, AWS e GCP.

Os principais cenários de API a seguir permitem que você recupere detalhes para sistemas de autorização.

Descrição APIs
Recuperar sistemas de autorização Listar sistemas de autorização
Obter detalhes de um sistema de autorização do AWS Listar awsAuthorizationSystems
Obter detalhes de um sistema de autorização do Azure Listar azureAuthorizationSystems
Obter detalhes de um sistema de autorização do GCP Listar gcpAuthorizationSystems

Descubra a referência rápida de operações de API para sistemas de autorização do AWS, sistemas de autorização do Azure e sistemas de autorização GCP.

Inventário do sistema de autorização

Cada sistema de autorização tem um conjunto definido de objetos que formam os recursos do sistema de autorização. Por exemplo, identidades como usuários e contas de serviço ou ações e recursos.

Os principais cenários de API a seguir permitem que você recupere o inventário para sistemas de autorização.

Descrição APIs
Listar todas as identidades em um sistema de autorização
  • Listar todas as identidades do AWS
  • Listar todas as identidades do Azure
  • Listar todas as identidades GCP
  • Listar tipos de identidade em sistemas de autorização específicos
  • Listar funções e usuários no AWS
  • Listar identidades gerenciadas, usuários e entidades de serviço no Azure
  • Listar usuários e contas de serviço no GCP
  • Outro inventário
  • Listar ações, políticas, recursos e serviços no AWS
  • Listar ações, recursos, definições de função e serviços no Azure
  • Listar ações, recursos, funções e serviços no GCP
  • Solicitações de permissões

    As identidades podem solicitar permissões contra ações e recursos em um sistema de autorização. As permissões solicitam recursos que permitem que os chamadores solicitem permissões para si mesmos ou em nome de outra identidade e outras identidades para aprovar, rejeitar ou cancelar as solicitações.

    Os principais cenários de API a seguir permitem implementar as permissões sob demanda.

    Cenários API
    Solicitar permissões; conceder ou rejeitar uma solicitação Criar scheduledPermissionsRequest
    Cancelar uma solicitação de permissões scheduledPermissionsRequest: cancelAll
    Rastrear solicitações de permissões e seus status Permissões de listaRequestChanges

    Análise de permissões

    Por meio das APIs de análise de permissões, o Gerenciamento de Permissões ajuda você a descobrir o risco de permissões em identidades e recursos para seus sistemas de autorização. Você pode usar essas descobertas para automatizar casos de uso, como:

    • Criar painéis
    • Disparar uma revisão de risco
    • Priorizar a correção
    • Gerar tíquetes

    As seguintes descobertas de exemplo estão disponíveis por meio das APIs:

    Encontrar API de cenários de exemplo
    Identidades inativas: identidades que não usaram nenhuma de suas permissões concedidas nos últimos 90 dias.
  • Usuários inativos em vários sistemas de autorização
  • Funções inativas sem servidor em vários sistemas de autorização
  • Entidades de serviço inativas do Azure
  • Contas de serviço GCP inativas
  • Funções inativas do AWS
  • Recursos AWS inativos, como ec2
  • Grupos inativos: nenhuma identidade utilizou as permissões atribuídas por meio do grupo nos últimos 90 dias.
  • Grupos inativos em vários sistemas de autorização
  • Super identidades: permissões no nível do administrador em todo o sistema de autorização. Essas identidades podem gerenciar todos os recursos no sistema de autorização.
  • Super usuários em vários sistemas de autorização
  • Funções super sem servidor em vários sistemas de autorização
  • Entidades de serviço do Super Azure
  • Contas de serviço super GCP
  • Funções Super AWS
  • Recursos do Super AWS, como o ec2
  • Outras descobertas incluem:

    • Descobertas baseadas em recursos: por exemplo, contêineres de blob do Azure, buckets S3 e buckets de armazenamento acessíveis publicamente; abrir grupos de segurança de rede; e identidades que podem acessar informações secretas ou utilizar ferramentas de segurança
    • Usuários, funções, recursos, entidades de serviço e contas de serviço superprovisionados
    • Usuários com autenticação multifator não forçada no AWS
    • Oportunidades de escalonamento de privilégios
    • AWS acessa a idade e o uso da chave de acesso

    Confiança Zero

    Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Confiança Zero:

    • Verificar explicitamente
    • Usar privilégio mínimo
    • Assumir violação

    Para saber mais sobre Confiança Zero e outras maneiras de alinhar sua organização aos princípios orientadores, consulte o Centro de Diretrizes Confiança Zero.


    Permissões e privilégios

    Para chamar as APIs de gerenciamento de permissões, o chamador não precisa de permissões do Microsoft Graph. No entanto, eles devem ter privilégios apropriados no locatário Microsoft Entra e no sistema externo.

    Para obter mais informações, confira funções de gerenciamento de permissões e níveis de permissões