通过

使用权限管理 API (预览版) 发现、修正和监视多云基础结构中的权限

  • 项目

Microsoft Entra 权限管理提供对跨多个云基础结构(例如 Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) )分配给所有标识的权限的全面可见性。 Microsoft Graph 中的权限管理 API 提供了在多云基础结构中发现、管理和监视这些权限的编程方式。

本文介绍可以通过 Microsoft Graph 以编程方式管理的权限管理功能。

有关权限管理的详细信息,请参阅 what's Microsoft Entra 权限管理

权限管理 API 的主要用例

权限管理 API 让你全面了解分配给跨多个云的所有标识的权限,使你能够处理Microsoft Entra 权限管理的三个关键用例:发现修正监视

授权系统

授权系统是包含标识和资源的平台。 它公开了控制标识有权访问哪些资源及其可以执行的操作的权限。

使用 authorizationSystem 资源类型 及其相关方法发现载入权限管理的授权系统及其详细信息。 目前,权限管理支持 Microsoft Azure、AWS 和 GCP。

通过以下关键 API 方案,可以检索授权系统的详细信息。

说明 API
检索授权系统 列出 authorizationSystems
获取 AWS 授权系统的详细信息 列出 awsAuthorizationSystems
获取 Azure 授权系统的详细信息 列出 azureAuthorizationSystems
获取 GCP 授权系统的详细信息 列出 gcpAuthorizationSystems

了解 AWS 授权系统Azure 授权系统和 GCP 授权系统的 API 操作快速参考。

授权系统清单

每个授权系统都有一组定义的对象,这些对象构成了授权系统的功能。 例如,用户和服务帐户等标识,或者操作和资源。

通过以下关键 API 方案,可以检索授权系统的清单。

说明 API
列出授权系统中的所有标识
  • 列出所有 AWS 标识
  • 列出所有 Azure 标识
  • 列出所有 GCP 标识
    		•
    列出特定授权系统中的标识类型
  • 列出 AWS 中的角色用户
  • 列出 Azure 中的托管标识用户和服务主体
  • 列出 GCP 中的用户和服务帐户
    		•
    其他清单
  • 列出 AWS 中的操作策略资源和服务
  • 列出 Azure 中的操作资源角色定义和服务
  • 列出 GCP 中的操作资源角色和服务
    		•

    权限请求

    标识可以针对授权系统中的操作和资源请求权限。 权限请求功能允许调用方为自己或代表其他标识请求权限,其他标识可以批准、拒绝或取消请求。

    以下关键 API 方案允许实现按需权限功能。

    应用场景 API
    请求权限;授予或拒绝请求 创建 scheduledPermissionsRequest
    取消权限请求 scheduledPermissionsRequest:cancelAll
    跟踪权限请求及其状态 列出权限RequestChanges

    权限分析

    通过权限分析 API,权限管理可帮助你发现授权系统标识和资源中的权限风险。 可以使用这些发现来自动执行用例,例如:

    • 生成仪表板
    • 触发风险评审
    • 确定修正的优先级
    • 生成票证

    可通过 API 获取以下示例结果:

    发现 示例方案 API
    非活动标识:过去 90 天内未使用任何已授予权限的标识。
  • 跨多个授权系统的非活动用户
  • 跨多个授权系统的非活动无服务器函数
  • 非活动 Azure 服务主体
  • 非活动 GCP 服务帐户
  • 非活动 AWS 角色
  • 非活动 AWS 资源,例如 ec2
    		•
    非活动组:在过去 90 天内,没有标识利用通过组分配的权限。
  • 跨多个授权系统的非活动组
    		•
    超级标识:跨授权系统的管理员级权限。 这些标识可以管理授权系统下的所有资源。
  • 跨多个授权系统的超级用户
  • 跨多个授权系统的超级无服务器功能
  • 超级 Azure 服务主体
  • 超级 GCP 服务帐户
  • 超级 AWS 角色
  • 超级 AWS 资源,例如 ec2
    		•

    其他发现包括:

    • 基于资源的发现结果:例如,可公开访问的 Azure Blob 容器、S3 存储桶和存储桶;打开网络安全组;和可以访问机密信息或利用安全工具的标识
    • 过度预配的用户、角色、资源、服务主体和服务帐户
    • 在 AWS 中使用非强制多重身份验证的用户
    • 特权提升的机会
    • AWS 访问密钥期限和使用情况

    零信任

    此功能可帮助组织将其标识与零信任体系结构的三个指导原则保持一致:

    • 显式验证
    • 使用最低特权
    • 假定漏洞

    若要详细了解零信任和其他使组织符合指导原则的方法,请参阅零信任指导中心

    权限和特权

    若要调用权限管理 API,调用方不需要任何 Microsoft Graph 权限。 但是,它们必须在Microsoft Entra租户和外部系统中具有适当的特权。

    有关详细信息,请参阅 权限管理角色和权限级别

    相关内容