使用权限管理 API (预览版) 发现、修正和监视多云基础结构中的权限
Microsoft Entra 权限管理提供对跨多个云基础结构(例如 Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) )分配给所有标识的权限的全面可见性。 Microsoft Graph 中的权限管理 API 提供了在多云基础结构中发现、管理和监视这些权限的编程方式。
本文介绍可通过 Microsoft Graph 以编程方式管理的权限管理功能。
有关权限管理的详细信息,请参阅 what's Microsoft Entra 权限管理。
权限管理 API 的主要用例
权限管理 API 让你全面了解分配给跨多个云的所有标识的权限,使你能够处理Microsoft Entra 权限管理的三个关键用例:发现、修正和监视。
授权系统
授权系统是包含标识和资源的平台。 它公开了控制标识有权访问哪些资源及其可以执行的操作的权限。
使用 authorizationSystem 资源类型及其相关方法发现加入到权限管理及其详细信息的授权系统。 目前,权限管理支持 Microsoft Azure、AWS 和 GCP。
通过以下关键 API 方案,可以检索授权系统的详细信息。
| 说明 | API |
|---|---|
| 检索授权系统 | 列出 authorizationSystems |
| 获取 AWS 授权系统的详细信息 | 列出 awsAuthorizationSystems |
| 获取 Azure 授权系统的详细信息 | 列出 azureAuthorizationSystems |
| 获取 GCP 授权系统的详细信息 | 列出 gcpAuthorizationSystems |
了解 AWS 授权系统、 Azure 授权系统和 GCP 授权系统的 API 操作快速参考。
授权系统清单
每个授权系统都有一组定义的对象,这些对象构成了授权系统的功能。 例如,用户和服务帐户等标识,或者操作和资源。
通过以下关键 API 方案,可以检索授权系统的清单。
| 说明 | API |
|---|---|
| 列出授权系统中的所有标识 | |
| 列出特定授权系统中的标识类型 | |
| 其他清单 |
权限请求
标识可以针对授权系统中的操作和资源请求权限。 权限请求功能允许调用方为自己或代表其他标识请求权限,其他标识可以批准、拒绝或取消请求。
以下关键 API 方案允许实现按需权限功能。
| 应用场景 | API |
|---|---|
| 请求权限;授予或拒绝请求 | 创建 scheduledPermissionsRequest |
| 取消权限请求 | scheduledPermissionsRequest:cancelAll |
| 跟踪权限请求及其状态 | 列出权限RequestChanges |
权限分析
通过权限分析 API,权限管理可帮助你发现授权系统的标识和资源中的权限风险。 可以使用这些发现来自动执行用例,例如:
- 生成仪表板
- 触发风险评审
- 确定修正的优先级
- 生成票证
可通过 API 获取以下示例结果:
| 发现 | 示例方案 API |
|---|---|
| 非活动标识:过去 90 天内未使用任何已授予权限的标识。 | |
| 非活动组:在过去 90 天内,没有标识利用通过组分配的权限。 | |
| 超级标识:跨授权系统的管理员级权限。 这些标识可以管理授权系统下的所有资源。 |
其他发现包括:
- 基于资源的发现结果:例如,可公开访问的 Azure Blob 容器、S3 存储桶和存储桶;打开网络安全组;和可以访问机密信息或利用安全工具的标识
- 过度预配的用户、角色、资源、服务主体和服务帐户
- 在 AWS 中使用非强制多重身份验证的用户
- 特权提升的机会
- AWS 访问密钥期限和使用情况
零信任
此功能可帮助组织使其租户与零信任体系结构的三个指导原则保持一致:
- 显式验证
- 使用最低特权
- 假定漏洞
若要详细了解零信任和其他使组织符合指导原则的方法,请参阅零信任指导中心。
权限和特权
若要调用权限管理 API,调用方不需要任何Microsoft Graph 权限。 但是,它们必须在Microsoft Entra租户和外部系统中具有适当的特权。
有关详细信息,请参阅权限管理角色和权限级别
相关内容
- Microsoft Entra 权限管理
- Microsoft Entra 权限管理快速入门指南
- Microsoft Entra 权限管理操作参考
- Microsoft Entra权限管理 API 操作快速参考: