Обнаружение, исправление и мониторинг разрешений в многооблачных инфраструктурах с помощью API управления разрешениями (предварительная версия)

  • Статья

Управление разрешениями Microsoft Entra обеспечивает полное представление о разрешениях, назначенных всем удостоверениям в нескольких облачных инфраструктурах, таких как Microsoft Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP). API управления разрешениями в Microsoft Graph предоставляют программный способ обнаружения, управления и мониторинга этих разрешений в многооблачной инфраструктуре.

В этой статье представлены возможности управления разрешениями, которыми можно управлять программными средствами с помощью Microsoft Graph.

Дополнительные сведения об управлении разрешениями см. в разделе Что Управление разрешениями Microsoft Entra.

Основные варианты использования API управления разрешениями

Благодаря полному обзору разрешений, назначенных всем удостоверениям в нескольких облаках, API управления разрешениями позволяют решать три основных варианта использования Управление разрешениями Microsoft Entra: обнаружение, исправление и мониторинг.

Системы авторизации

Система авторизации — это платформа, которая содержит удостоверения и ресурсы. Он предоставляет разрешения, которые определяют, к каким ресурсам имеет доступ удостоверение и какие действия они могут выполнять.

Используйте тип ресурса authorizationSystem и связанные с ним методы для обнаружения систем авторизации, подключенных к управлению разрешениями, и их сведений. В настоящее время управление разрешениями поддерживает Microsoft Azure, AWS и GCP.

Следующие ключевые сценарии API позволяют получить сведения о системах авторизации.

Описание Интерфейсы API
Получение систем авторизации Перечисление авторизацииСистемы
Получение сведений о системе авторизации AWS Список awsAuthorizationSystems
Получение сведений о системе авторизации Azure Список azureAuthorizationSystems
Получение сведений о системе авторизации GCP Перечисление gcpAuthorizationSystems

Ознакомьтесь с кратким справочником по операциям API для систем авторизации AWS, систем авторизации Azure и систем авторизации GCP.

Инвентаризация системы авторизации

Каждая система авторизации имеет определенный набор объектов, которые формируют возможности системы авторизации. Например, удостоверения, такие как пользователи и учетные записи служб, или действия и ресурсы.

Следующие ключевые сценарии API позволяют получить данные инвентаризации для систем авторизации.

Описание Интерфейсы API
Вывод списка всех удостоверений в системе авторизации
  • Список всех удостоверений AWS
  • Вывод списка всех удостоверений Azure
  • Вывод списка всех удостоверений GCP
    		•
    Вывод списка типов удостоверений в определенных системах авторизации
  • Перечисление ролей и пользователей в AWS
  • Вывод списка управляемых удостоверений, пользователей и субъектов-служб в Azure
  • Вывод списка пользователей и учетных записей служб в GCP
    		•
    Другие запасы
  • Перечисление действий, политик, ресурсов и служб в AWS
  • Перечисление действий, ресурсов, определений ролей и служб в Azure
  • Перечисление действий, ресурсов, ролей и служб в GCP
    		•

    Запросы разрешений

    Удостоверения могут запрашивать разрешения на действия и ресурсы в системе авторизации. Возможности запросов разрешений позволяют вызывающим пользователям запрашивать разрешения для себя или от имени другого удостоверения, а также другим удостоверениям для утверждения, отклонения или отмены запросов.

    Следующие ключевые сценарии API позволяют реализовать возможности разрешений по запросу.

    Сценарии API
    Запрашивать разрешения; предоставление или отклонение запроса Создание scheduledPermissionsRequest
    Отмена запроса на разрешения scheduledPermissionsRequest: cancelAll
    Отслеживание запросов разрешений и их состояния Список разрешенийRequestChanges

    Аналитика разрешений

    С помощью API-интерфейсов аналитики разрешений управление разрешениями помогает обнаруживать риск разрешений в удостоверениях и ресурсах для систем авторизации. Эти результаты можно использовать для автоматизации таких вариантов использования, как:

    • Создание панелей мониторинга
    • Активация проверки рисков
    • Определение приоритетов для исправления
    • Создание билетов

    С помощью API доступны следующие примеры результатов:

    Поиск API примеров сценариев
    Неактивные удостоверения: удостоверения, которые не использовали ни одно из предоставленных разрешений в течение последних 90 дней.
  • Неактивные пользователи в нескольких системах авторизации
  • Неактивные бессерверные функции в нескольких системах авторизации
  • Неактивные субъекты-службы Azure
  • Неактивные учетные записи службы GCP
  • Неактивные роли AWS
  • Неактивные ресурсы AWS, такие как ec2
    		•
    Неактивные группы. За последние 90 дней удостоверение не использовало разрешения, назначенные через группу.
  • Неактивные группы в нескольких системах авторизации
    		•
    Супер удостоверения: разрешения уровня администратора в системе авторизации. Эти удостоверения могут управлять всеми ресурсами в системе авторизации.
  • Суперпользователей в нескольких системах авторизации
  • Суперсерверные функции в нескольких системах авторизации
  • Субъекты-службы Супер Azure
  • Учетные записи служб Super GCP
  • Роли Super AWS
  • Ресурсы Super AWS, такие как ec2
    		•

    Другие выводы:

    • Результаты на основе ресурсов: например, контейнеры BLOB-объектов Azure, контейнеры S3 и контейнеры хранилища, которые доступны для общего доступа; открытие групп безопасности сети; и удостоверения, которые могут получать доступ к секретной информации или использовать средства безопасности
    • Перегруженные пользователи, роли, ресурсы, субъекты-службы и учетные записи служб
    • Пользователи с невынуждаемой многофакторной проверкой подлинности в AWS
    • Возможности для повышения привилегий
    • Возраст и использование ключа доступа AWS

    "Никому не доверяй"

    Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":

    • Выполняйте проверку явным образом.
    • Использование минимальных привилегий
    • Предполагайте наличие бреши в системе безопасности

    Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".

    Разрешения и привилегии

    Чтобы вызвать API управления разрешениями, вызывающему объекту не требуются разрешения Microsoft Graph. Однако они должны иметь соответствующие привилегии в клиенте Microsoft Entra и во внешней системе.

    Дополнительные сведения см. в разделе Роли управления разрешениями и уровни разрешений.

    Связанные материалы