Detetar, remediar e monitorizar permissões em infraestruturas de várias clouds através de APIs de gestão de permissões (pré-visualização)
Gerenciamento de Permissões do Microsoft Entra fornece visibilidade abrangente sobre as permissões atribuídas a todas as identidades em várias infraestruturas de cloud, como o Microsoft Azure, Amazon Web Services (AWS) e Google Cloud Platform (GCP). As APIs de gestão de permissões no Microsoft Graph fornecem a forma programática de detetar, gerir e monitorizar estas permissões na sua infraestrutura multicloud.
Este artigo apresenta as capacidades de Gerenciamento de Permissões que pode gerir programaticamente através do Microsoft Graph.
Para obter mais informações sobre Gerenciamento de Permissões, consulte O que é Gerenciamento de Permissões do Microsoft Entra.
Principais casos de utilização de APIs de gestão de permissões
Ao fornecer-lhe visibilidade abrangente sobre as permissões atribuídas a todas as identidades em várias clouds, as APIs de gestão de permissões permitem-lhe abordar três casos de utilização chave de Gerenciamento de Permissões do Microsoft Entra: detetar, remediar e monitorizar.
Sistemas de autorização
Um sistema de autorização é uma plataforma que contém identidades e recursos. Expõe permissões que controlam a que recursos uma identidade tem acesso e a que ações podem realizar.
Utilize o tipo de recurso authorizationSystem e os respetivos métodos relacionados para detetar os sistemas de autorização integrados para Gerenciamento de Permissões e os respetivos detalhes. Atualmente, o Gerenciamento de Permissões suporta o Microsoft Azure, o AWS e o GCP.
Os seguintes cenários principais de API permitem-lhe obter detalhes para sistemas de autorização.
| Descrição | APIs |
|---|---|
| Obter sistemas de autorização | Listar authorizationSystems |
| Obter detalhes para um sistema de autorização do AWS | Listar awsAuthorizationSystems |
| Obter detalhes para um sistema de autorização do Azure | Listar azureAuthorizationSystems |
| Obter detalhes para um sistema de autorização GCP | Listar gcpAuthorizationSystems |
Descubra a referência rápida das operações de API para sistemas de autorização do AWS, sistemas de autorização do Azure e sistemas de autorização GCP.
Inventário do sistema de autorização
Cada sistema de autorização tem um conjunto definido de objetos que formam as capacidades do sistema de autorização. Por exemplo, identidades como utilizadores e contas de serviço ou ações e recursos.
Os seguintes cenários principais de API permitem-lhe obter o inventário para sistemas de autorização.
| Descrição | APIs |
|---|---|
| Listar todas as identidades num sistema de autorização | |
| Listar tipos de identidade em sistemas de autorização específicos | |
| Outro inventário |
Pedidos de permissões
As identidades podem pedir permissões relativamente a ações e recursos num sistema de autorização. As capacidades de pedidos de permissões permitem que os autores da chamada peçam permissões para si próprios ou em nome de outra identidade e outras identidades para aprovar, rejeitar ou cancelar os pedidos.
Os seguintes cenários principais de API permitem-lhe implementar permissões nas capacidades a pedido.
| Cenários | API |
|---|---|
| Pedir permissões; conceder ou rejeitar um pedido | Criar scheduledPermissionsRequest |
| Cancelar um pedido de permissões | scheduledPermissionsRequest: cancelAll |
| Controlar pedidos de permissões e os respetivos status | Permissões de listaRequestChanges |
Análise de permissões
Através das APIs de análise de permissões, Gerenciamento de Permissões ajuda-o a descobrir o risco de permissões em identidades e recursos para os seus sistemas de autorização. Pode utilizar estas descobertas para automatizar casos de utilização, tais como:
- Criar dashboards
- Acionar uma revisão de risco
- Priorizar a remediação
- Gerar pedidos de suporte
Os seguintes resultados de exemplo estão disponíveis através das APIs:
| Localizar | API de cenários de exemplo |
|---|---|
| Identidades inativas: identidades que não utilizaram nenhuma das permissões concedidas nos últimos 90 dias. | |
| Grupos inativos: nenhuma identidade utilizou as permissões atribuídas através do grupo nos últimos 90 dias. | |
| Super-identidades: permissões ao nível do administrador em todo o sistema de autorização. Estas identidades podem gerir todos os recursos no sistema de autorização. |
Outras conclusões incluem:
- Resultados baseados em recursos: por exemplo, contentores de blobs do Azure, registos S3 e registos de Armazenamento acessíveis publicamente; abrir grupos de segurança de rede; e identidades que podem aceder a informações secretas ou utilizar ferramentas de segurança
- Utilizadores, funções, recursos, principais de serviço e contas de serviço sobreaprovisionados
- Utilizadores com autenticação multifator não forçada no AWS
- Oportunidades de escalamento de privilégios
- Utilização e idade da chave de acesso do AWS
Confiança Zero
Esta funcionalidade ajuda as organizações a alinhar os respetivos inquilinos com os três princípios de orientação de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Utilizar menos privilégios
- Assumir violação
Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.
Permissões e privilégios
Para chamar as APIs de gestão de permissões, o autor da chamada não precisa de permissões do Microsoft Graph. No entanto, têm de ter privilégios adequados no inquilino Microsoft Entra e no sistema externo.
Para obter mais informações, veja Gerenciamento de Permissões funções e níveis de permissões
Conteúdo relacionado
- O que é Gerenciamento de Permissões do Microsoft Entra
- Guia de início rápido para Gerenciamento de Permissões do Microsoft Entra
- referência de operações de Gerenciamento de Permissões do Microsoft Entra
- Microsoft Entra referências rápidas das operações da API de gestão de permissões: