Обнаружение, исправление и мониторинг разрешений в многооблачных инфраструктурах с помощью API управления разрешениями (предварительная версия)
Управление разрешениями Microsoft Entra обеспечивает полное представление о разрешениях, назначенных всем удостоверениям в нескольких облачных инфраструктурах, таких как Microsoft Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP). API управления разрешениями в Microsoft Graph предоставляют программный способ обнаружения, управления и мониторинга этих разрешений в многооблачной инфраструктуре.
В этой статье представлены возможности Управление разрешениями, которыми можно управлять программными средствами с помощью Microsoft Graph.
Дополнительные сведения о Управление разрешениями см. в статье Что такое Управление разрешениями Microsoft Entra.
Основные варианты использования API управления разрешениями
Благодаря полному обзору разрешений, назначенных всем удостоверениям в нескольких облаках, API управления разрешениями позволяют решать три основных варианта использования Управление разрешениями Microsoft Entra: обнаружение, исправление и мониторинг.
Системы авторизации
Система авторизации — это платформа, которая содержит удостоверения и ресурсы. Он предоставляет разрешения, которые определяют, к каким ресурсам имеет доступ удостоверение и какие действия они могут выполнять.
Используйте тип ресурса authorizationSystem и связанные с ним методы для обнаружения систем авторизации, подключенных к Управление разрешениями, и их сведений. В настоящее время Управление разрешениями поддерживает Microsoft Azure, AWS и GCP.
Следующие ключевые сценарии API позволяют получить сведения о системах авторизации.
| Описание | Интерфейсы API |
|---|---|
| Получение систем авторизации | Перечисление авторизацииСистемы |
| Получение сведений о системе авторизации AWS | Список awsAuthorizationSystems |
| Получение сведений о системе авторизации Azure | Список azureAuthorizationSystems |
| Получение сведений о системе авторизации GCP | Перечисление gcpAuthorizationSystems |
Ознакомьтесь с кратким справочником по операциям API для систем авторизации AWS, систем авторизации Azure и систем авторизации GCP.
Инвентаризация системы авторизации
Каждая система авторизации имеет определенный набор объектов, которые формируют возможности системы авторизации. Например, удостоверения, такие как пользователи и учетные записи служб, или действия и ресурсы.
Следующие ключевые сценарии API позволяют получить данные инвентаризации для систем авторизации.
| Описание | Интерфейсы API |
|---|---|
| Вывод списка всех удостоверений в системе авторизации | |
| Вывод списка типов удостоверений в определенных системах авторизации | |
| Другие запасы |
Запросы разрешений
Удостоверения могут запрашивать разрешения на действия и ресурсы в системе авторизации. Возможности запросов разрешений позволяют вызывающим пользователям запрашивать разрешения для себя или от имени другого удостоверения, а также другим удостоверениям для утверждения, отклонения или отмены запросов.
Следующие ключевые сценарии API позволяют реализовать возможности разрешений по запросу.
| Сценарии | API |
|---|---|
| Запрашивать разрешения; предоставление или отклонение запроса | Создание scheduledPermissionsRequest |
| Отмена запроса на разрешения | scheduledPermissionsRequest: cancelAll |
| Отслеживание запросов разрешений и их состояния | Список разрешенийRequestChanges |
Аналитика разрешений
С помощью API аналитики разрешений Управление разрешениями помогает обнаруживать риск разрешений в удостоверениях и ресурсах для систем авторизации. Эти результаты можно использовать для автоматизации таких вариантов использования, как:
- Создание панелей мониторинга
- Активация проверки рисков
- Определение приоритетов для исправления
- Создание билетов
С помощью API доступны следующие примеры результатов:
| Обнаружение | API примеров сценариев |
|---|---|
| Неактивные удостоверения: удостоверения, которые не использовали ни одно из предоставленных разрешений в течение последних 90 дней. | |
| Неактивные группы. За последние 90 дней удостоверение не использовало разрешения, назначенные через группу. | |
| Супер удостоверения: разрешения уровня администратора в системе авторизации. Эти удостоверения могут управлять всеми ресурсами в системе авторизации. |
Другие выводы:
- Результаты на основе ресурсов: например, контейнеры BLOB-объектов Azure, контейнеры S3 и контейнеры хранилища, которые доступны для общего доступа; открытие групп безопасности сети; и удостоверения, которые могут получать доступ к секретной информации или использовать средства безопасности
- Перегруженные пользователи, роли, ресурсы, субъекты-службы и учетные записи служб
- Пользователи с невынуждаемой многофакторной проверкой подлинности в AWS
- Возможности для повышения привилегий
- Возраст и использование ключа доступа AWS
"Никому не доверяй"
Эта функция помогает организациям согласовать свои клиенты с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".
Разрешения и привилегии
Чтобы вызвать API управления разрешениями, вызывающему объекту не требуются разрешения Microsoft Graph. Однако они должны иметь соответствующие привилегии в клиенте Microsoft Entra и во внешней системе.
Дополнительные сведения см. в разделе Управление разрешениями ролей и уровней разрешений.
Связанные материалы
- Что Управление разрешениями Microsoft Entra
- Краткое руководство по Управление разрешениями Microsoft Entra
- Справочник по операциям Управление разрешениями Microsoft Entra
- краткие ссылки на операции API управления разрешениями Microsoft Entra: