Descobrir, corrigir e monitorar permissões em infraestruturas de várias nuvens usando APIs de gerenciamento de permissões (versão prévia)
Gerenciamento de Permissões do Microsoft Entra fornece visibilidade abrangente sobre permissões atribuídas a todas as identidades em várias infraestruturas de nuvem, como Microsoft Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). As APIs de gerenciamento de permissões no Microsoft Graph fornecem a maneira programática de descobrir, gerenciar e monitorar essas permissões em sua infraestrutura de várias nuvens.
Este artigo apresenta os recursos de Gerenciamento de Permissões que você pode gerenciar programaticamente por meio do Microsoft Graph.
Para obter mais informações sobre o Gerenciamento de Permissões, consulte O que está Gerenciamento de Permissões do Microsoft Entra.
Principais casos de uso de APIs de gerenciamento de permissões
Ao fornecer visibilidade abrangente sobre permissões atribuídas a todas as identidades em várias nuvens, as APIs de gerenciamento de permissões permitem que você resolva três casos de uso chave de Gerenciamento de Permissões do Microsoft Entra: descobrir, corrigir e monitorar.
Sistemas de autorização
Um sistema de autorização é uma plataforma que contém identidades e recursos. Ele expõe permissões que controlam quais recursos uma identidade tem acesso e quais ações podem ser executadas.
Use o tipo de recurso authorizationSystem e seus métodos relacionados para descobrir os sistemas de autorização integrados ao Gerenciamento de Permissões e seus detalhes. Atualmente, o Gerenciamento de Permissões dá suporte ao Microsoft Azure, AWS e GCP.
Os principais cenários de API a seguir permitem que você recupere detalhes para sistemas de autorização.
| Descrição | APIs |
|---|---|
| Recuperar sistemas de autorização | Listar sistemas de autorização |
| Obter detalhes de um sistema de autorização do AWS | Listar awsAuthorizationSystems |
| Obter detalhes de um sistema de autorização do Azure | Listar azureAuthorizationSystems |
| Obter detalhes de um sistema de autorização do GCP | Listar gcpAuthorizationSystems |
Descubra a referência rápida de operações de API para sistemas de autorização do AWS, sistemas de autorização do Azure e sistemas de autorização GCP.
Inventário do sistema de autorização
Cada sistema de autorização tem um conjunto definido de objetos que formam os recursos do sistema de autorização. Por exemplo, identidades como usuários e contas de serviço ou ações e recursos.
Os principais cenários de API a seguir permitem que você recupere o inventário para sistemas de autorização.
| Descrição | APIs |
|---|---|
| Listar todas as identidades em um sistema de autorização | |
| Listar tipos de identidade em sistemas de autorização específicos | |
| Outro inventário |
Solicitações de permissões
As identidades podem solicitar permissões contra ações e recursos em um sistema de autorização. As permissões solicitam recursos que permitem que os chamadores solicitem permissões para si mesmos ou em nome de outra identidade e outras identidades para aprovar, rejeitar ou cancelar as solicitações.
Os principais cenários de API a seguir permitem implementar as permissões sob demanda.
| Cenários | API |
|---|---|
| Solicitar permissões; conceder ou rejeitar uma solicitação | Criar scheduledPermissionsRequest |
| Cancelar uma solicitação de permissões | scheduledPermissionsRequest: cancelAll |
| Rastrear solicitações de permissões e seus status | Permissões de listaRequestChanges |
Análise de permissões
Por meio das APIs de análise de permissões, o Gerenciamento de Permissões ajuda você a descobrir o risco de permissões em identidades e recursos para seus sistemas de autorização. Você pode usar essas descobertas para automatizar casos de uso, como:
- Criar painéis
- Disparar uma revisão de risco
- Priorizar a correção
- Gerar tíquetes
As seguintes descobertas de exemplo estão disponíveis por meio das APIs:
| Encontrar | API de cenários de exemplo |
|---|---|
| Identidades inativas: identidades que não usaram nenhuma de suas permissões concedidas nos últimos 90 dias. | |
| Grupos inativos: nenhuma identidade utilizou as permissões atribuídas por meio do grupo nos últimos 90 dias. | |
| Super identidades: permissões no nível do administrador em todo o sistema de autorização. Essas identidades podem gerenciar todos os recursos no sistema de autorização. |
Outras descobertas incluem:
- Descobertas baseadas em recursos: por exemplo, contêineres de blob do Azure, buckets S3 e buckets de armazenamento acessíveis publicamente; abrir grupos de segurança de rede; e identidades que podem acessar informações secretas ou utilizar ferramentas de segurança
- Usuários, funções, recursos, entidades de serviço e contas de serviço superprovisionados
- Usuários com autenticação multifator não forçada no AWS
- Oportunidades de escalonamento de privilégios
- AWS acessa a idade e o uso da chave de acesso
Confiança Zero
Esse recurso ajuda as organizações a alinhar suas identidades com os três princípios orientadores de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Usar privilégio mínimo
- Assumir violação
Para saber mais sobre Confiança Zero e outras maneiras de alinhar sua organização aos princípios orientadores, consulte o Centro de Diretrizes Confiança Zero.
Permissões e privilégios
Para chamar as APIs de gerenciamento de permissões, o chamador não precisa de permissões do Microsoft Graph. No entanto, eles devem ter privilégios apropriados no locatário Microsoft Entra e no sistema externo.
Para obter mais informações, confira funções de gerenciamento de permissões e níveis de permissões
Conteúdo relacionado
- O que é Gerenciamento de Permissões do Microsoft Entra
- Guia de início rápido para Gerenciamento de Permissões do Microsoft Entra
- referência de operações Gerenciamento de Permissões do Microsoft Entra
- Microsoft Entra permissões gerenciam referências rápidas de operações de API de gerenciamento de permissões: