Share via

Краткое руководство по Управление разрешениями Microsoft Entra

  • Статья

Добро пожаловать в краткое руководство по Управление разрешениями Microsoft Entra.

Управление разрешениями — это решение для управления правами облачной инфраструктуры (CIEM), которое обеспечивает исчерпывающую видимость разрешений, назначенных всем удостоверениям. Эти удостоверения включают слишком привилегированную рабочую нагрузку и удостоверения пользователей, действия и ресурсы в многооблачной инфраструктуре в Microsoft Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP). Управление разрешениями помогает вашей организации эффективно защищать облачные разрешения и управлять ими, обнаруживая автоматически правильные размеры и постоянно отслеживая неиспользуемые и чрезмерные разрешения.

В этом кратком руководстве описано, как настроить среду с несколькими облаками, настроить сбор данных и разрешить доступ к разрешениям, чтобы обеспечить управление и безопасность облачных удостоверений.

Необходимые компоненты

Прежде чем приступить к работе, вам потребуется доступ к этим средствам для процесса подключения:

  • Доступ к локальной оболочке BASH с помощью Azure CLI или Azure Cloud Shell с помощью среды BASH (Azure CLI включен).
  • Доступ к консоли AWS, Azure и GCP.
  • Пользователь должен иметь назначение роли управления разрешениями Администратор istrator, чтобы создать новую регистрацию приложения в клиенте Microsoft Entra, требуется для подключения AWS и GCP.

Шаг 1. Настройка Управления разрешениями

Чтобы включить управление разрешениями, необходимо иметь клиент Microsoft Entra (например, Центр администрирования Microsoft Entra).

  • Если у вас есть учетная запись Azure, у вас автоматически есть клиент Центра администрирования Microsoft Entra.
  • Если у вас еще нет учетной записи, создайте бесплатную учетную запись на entra.microsoft.com.

Если выполнены указанные выше точки, перейдите к следующим параметрам:

Включение Управления разрешениями Microsoft Entra в организации

Убедитесь, что вы являетесь элементом управления разрешениями Администратор istrator. Дополнительные сведения о ролях и разрешениях управления разрешениями.

Схема, показывающая, где Microsoft Entra пересекается с ролями Azure в клиенте Microsoft Entra.

Шаг 2. Подключение среды с несколькими облаками

До сих пор ты,

  1. Назначена роль управления разрешениями Администратор istrator в клиенте Центра администрирования Microsoft Entra.
  2. Приобретенные лицензии или активировали бесплатную пробную версию 45 дней для управления разрешениями.
  3. Успешно запущено управление разрешениями.

Теперь вы узнаете о роли и параметрах режимов контроллера и сбора данных в разделе "Управление разрешениями".

Настройка контроллера

Контроллер предоставляет выбор для определения уровня доступа, предоставляемого пользователям в разделе "Управление разрешениями".

  • Включение контроллера во время подключения предоставляет администратору управления разрешениями или доступ на чтение и запись, чтобы пользователи могли получать разрешения на правильный размер и устранять их непосредственно с помощью управления разрешениями (вместо использования консоли AWS, Azure или GCP). 

  • Отключение контроллера во время подключения или никогда его не включает, предоставляет пользователю "Управление разрешениями" доступ только для чтения к вашей среде.

Примечание.

Если во время подключения контроллер не включен, вы можете включить его после завершения подключения. Чтобы задать контроллер в разделе "Управление разрешениями" после подключения, см. раздел "Включить" или отключить контроллер после подключения. Для сред AWS после включения контроллера его нельзя отключить.

Чтобы задать параметры контроллера во время подключения:

  1. Выберите "Включить", чтобы предоставить доступ для чтения и записи к управлению разрешениями.
  2. Выберите "Отключить ", чтобы предоставить доступ только для чтения к управлению разрешениями.

Настройка сбора данных

Для сбора данных в службе "Управление разрешениями" можно выбрать три режима.

  • Автоматическое (рекомендуемое) управление разрешениями автоматически обнаруживает, подключены и отслеживает все текущие и будущие подписки.

  • Вручную введите отдельные подписки для управления разрешениями для обнаружения, подключения и мониторинга. Вы можете ввести до 100 подписок на коллекцию данных.

  • Выбор управления разрешениями автоматически обнаруживает все текущие подписки. После обнаружения выберите подписки для подключения и мониторинга.

Примечание.

Чтобы использовать режимы автоматического или выбора , контроллер должен быть включен при настройке сбора данных.

Чтобы настроить сбор данных, выполните приведенные действия.

  1. В разделе "Управление разрешениями" перейдите на страницу сборщиков данных.
  2. Выберите облачную среду: AWS, Azure или GCP.
  3. Нажмите кнопку " Создать конфигурацию".

Примечание.

Процесс сбора данных занимает некоторое время и в большинстве случаев выполняется примерно через 4–5 часов. Интервал времени зависит от размера используемой системы авторизации и объема данных, доступных для сбора.

Подключение Amazon Web Services (AWS)

Так как управление разрешениями размещено в Microsoft Entra, вам потребуется выполнить дополнительные действия для подключения среды AWS.

Чтобы подключить AWS к управлению разрешениями, необходимо создать приложение Microsoft Entra в клиенте Центра администрирования Microsoft Entra, где включено управление разрешениями. Это приложение Microsoft Entra используется для настройки подключения OIDC к среде AWS.

OpenID Подключение (OIDC) — это протокол проверки подлинности взаимодействия на основе семейства спецификаций OAuth 2.0.

Схема, показывающая подключение между идентификатором Microsoft Entra и облачной средой AWS.

Необходимые компоненты

Пользователь должен иметь назначение роли управления разрешениями Администратор istrator, чтобы создать новую регистрацию приложения в идентификаторе Microsoft Entra.

Идентификаторы учетных записей и роли для:

  • Учетная запись AWS OIDC: учетная запись участника AWS, назначенная вами для создания и размещения подключения OIDC через OIDC IdP
  • Учетная запись ведения журнала AWS (необязательно, но рекомендуется)
  • Учетная запись управления AWS (необязательно, но рекомендуется)
  • Учетные записи участников AWS отслеживаются и управляются с помощью управления разрешениями (для ручного режима)

Чтобы использовать режим автоматического или выбора режимов сбора данных, необходимо подключить учетную запись управления AWS.

На этом шаге контроллер можно включить, введя имя контейнера S3 с журналами действий AWS CloudTrail (найденными в трассах AWS).

Сведения о подключении среды AWS и настройке сбора данных см. в статье "Подключение учетной записи Amazon Web Services (AWS).

Подключение Microsoft Azure

Когда вы включили управление разрешениями в клиенте Microsoft Entra, было создано корпоративное приложение для CIEM. Чтобы подключить среду Azure, предоставьте этому приложению разрешения для управления разрешениями.

  1. В клиенте Microsoft Entra, где включено управление разрешениями, найдите корпоративное приложение CIEM .

  2. Назначьте роль читателя приложению CIEM, чтобы разрешить управлению разрешениями читать подписки Microsoft Entra в вашей среде.

Схема, показывающая подключение между подключениями роли Microsoft Entra к подписке Azure.

Необходимые компоненты

  • Пользователь с Microsoft.Authorization/roleAssignments/write разрешениями в подписке или группе управления область назначить роли приложению CIEM.

  • Чтобы использовать режимы автоматической или выборки сбора данных, необходимо назначить роль читателя в группе управления область.

  • Чтобы включить контроллер, необходимо назначить роль пользователя Администратор istrator приложению CIEM.

Сведения о подключении среды Azure и настройке сбора данных см. в статье "Подключение подписки Microsoft Azure".

Подключение Google Cloud Platform (GCP)

Так как управление разрешениями размещено в Microsoft Azure, необходимо выполнить дополнительные действия для подключения среды GCP.

Чтобы подключить GCP к управлению разрешениями, необходимо создать приложение Центра администрирования Microsoft Entra в клиенте Microsoft Entra, где включено управление разрешениями. Это приложение Центра администрирования Microsoft Entra используется для настройки подключения OIDC к среде GCP.

OpenID Подключение (OIDC) — это протокол проверки подлинности взаимодействия на основе семейства спецификаций OAuth 2.0.

Схема, показывающая подключение между приложением Microsoft Entra OIDC и облачной средой GCP.

Необходимые компоненты

Пользователю с возможностью создания регистрации приложений в Microsoft Entra (необходимо для упрощения подключения OIDC) требуется для подключения AWS и GCP.

Сведения об идентификаторе:

  • Проект GCP OIDC: проект GCP, назначенный вами для создания и размещения подключения OIDC через OIDC IdP.
    • Номер проекта и идентификатор проекта
  • Удостоверение рабочей нагрузки GCP OIDC
    • Идентификатор пула, идентификатор поставщика пула
  • Учетная запись службы GCP OIDC
    • G-suite IdP Secret name and G-suite IdP user email (необязательно)
    • Идентификаторы для проектов GCP, которые вы хотите подключить (необязательно, для ручного режима)

Назначьте роли средства просмотра и рецензента безопасности учетной записи службы GCP на уровнях организации, папки или проекта, чтобы предоставить доступ к управлению разрешениями для чтения в среде GCP.

На этом шаге можно включить режим контроллера, назначив роли Администратор istrator и безопасность Администратор istrator учетной записи службы GCP на уровнях организации, папки или проекта.

Примечание.

Область управления разрешениями по умолчанию находится на уровне проекта.

Сведения о подключении среды GCP и настройке сбора данных см. в разделе "Подключение проекта GCP".

Итоги

Поздравляем! Вы завершили настройку сбора данных для вашей среды, а процесс сбора данных начался. Процесс сбора данных занимает некоторое время; в большинстве случаев приблизительно 4-5 часов. Интервал времени зависит от объема подключенных систем авторизации и объема данных, доступных для сбора.

Столбец состояния в пользовательском интерфейсе управления разрешениями показывает, какой шаг сбора данных вы находитесь.

  • Ожидание. Управление разрешениями еще не начало обнаруживать или подключиться.
  • Обнаружение. Управление разрешениями обнаруживает системы авторизации.
  • В ходе выполнения: управление разрешениями завершило обнаружение систем авторизации и подключение.
  • Подключено: сбор данных завершен, и все обнаруженные системы авторизации подключены к управлению разрешениями.

Примечание.

Пока процесс сбора данных продолжается, можно приступить к настройке пользователей и групп в службе "Управление разрешениями".

Следующие шаги

Ссылки: