Compartir a través de

Detección, corrección y supervisión de permisos en infraestructuras multinube mediante las API de administración de permisos (versión preliminar)

Nota:

A partir del 1 de abril de 2025, Administración de permisos de Microsoft Entra dejará de estar disponible para la compra, y el 1 de octubre de 2025, retiraremos y descontinuamos el soporte técnico de este producto. Puede encontrar más información aquí.

Administración de permisos de Microsoft Entra proporciona una visibilidad completa de los permisos asignados a todas las identidades en varias infraestructuras en la nube, como Microsoft Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP). Las API de administración de permisos de Microsoft Graph proporcionan la manera mediante programación de detectar, administrar y supervisar estos permisos en la infraestructura multinube.

En este artículo se presentan las funcionalidades de Administración de permisos que puede administrar mediante programación a través de Microsoft Graph.

Para obtener más información sobre Administración de permisos, consulte What's Administración de permisos de Microsoft Entra.

Casos de uso clave de las API de administración de permisos

Al proporcionar una visibilidad completa de los permisos asignados a todas las identidades en varias nubes, las API de administración de permisos le permiten abordar tres casos de uso clave de Administración de permisos de Microsoft Entra: detectar, corregir y supervisar.

Sistemas de autorización

Un sistema de autorización es una plataforma que contiene identidades y recursos. Expone permisos que controlan a qué recursos tiene acceso una identidad y a qué acciones pueden realizar.

Use el tipo de recurso authorizationSystem y sus métodos relacionados para detectar los sistemas de autorización incorporados a Administración de permisos y sus detalles. Actualmente, Administración de permisos admite Microsoft Azure, AWS y GCP.

Los siguientes escenarios clave de API permiten recuperar los detalles de los sistemas de autorización.

Description API
Recuperación de sistemas de autorización Enumerar authorizationSystems
Obtener detalles de un sistema de autorización de AWS Enumerar awsAuthorizationSystems
Obtener detalles de un sistema de autorización de Azure Enumeración de azureAuthorizationSystems
Obtener detalles de un sistema de autorización de GCP Enumerar gcpAuthorizationSystems

Descubra la referencia rápida de operaciones de API para sistemas de autorización de AWS, sistemas de autorización de Azure y sistemas de autorización GCP.

Inventario del sistema de autorización

Cada sistema de autorización tiene un conjunto definido de objetos que forman las capacidades del sistema de autorización. Por ejemplo, identidades como usuarios y cuentas de servicio, o acciones y recursos.

Los siguientes escenarios clave de API permiten recuperar el inventario de sistemas de autorización.

Description API
Enumerar todas las identidades de un sistema de autorización
Enumerar tipos de identidad en sistemas de autorización específicos
Otro inventario

Solicitudes de permisos

Las identidades pueden solicitar permisos para acciones y recursos en un sistema de autorización. Las funcionalidades de solicitudes de permisos permiten a los autores de llamadas solicitar permisos por sí mismos o en nombre de otra identidad y otras identidades para aprobar, rechazar o cancelar las solicitudes.

Los siguientes escenarios clave de API permiten implementar permisos a petición.

Escenarios API
Solicitar permisos; conceder o rechazar una solicitud Creación de scheduledPermissionsRequest
Cancelación de una solicitud de permisos scheduledPermissionsRequest: cancelAll
Seguimiento de las solicitudes de permisos y su estado Enumeración de permisosRequestChanges

Análisis de permisos

A través de las API de análisis de permisos, Administración de permisos le ayuda a detectar el riesgo de permisos en identidades y recursos para los sistemas de autorización. Puede usar estos resultados para automatizar casos de uso como:

  • Creación de paneles
  • Desencadenar una revisión de riesgo
  • Priorización de la corrección
  • Generación de vales

Las siguientes conclusiones de ejemplo están disponibles a través de las API:

Hallazgo API de escenarios de ejemplo
Identidades inactivas: identidades que no han usado ninguno de sus permisos concedidos en los últimos 90 días.
Grupos inactivos: ninguna identidad ha utilizado los permisos asignados a través del grupo en los últimos 90 días.
Super identities: permisos de nivel de administrador en todo el sistema de autorización. Estas identidades pueden administrar todos los recursos del sistema de autorización.

Otros hallazgos incluyen:

  • Conclusiones basadas en recursos: por ejemplo, Azure contenedores de blobs, cubos S3 y cubos de almacenamiento accesibles públicamente; grupos de seguridad de red abiertos e identidades que pueden acceder a información secreta o usar herramientas de seguridad.
  • Usuarios, roles, recursos, entidades de servicio y cuentas de servicio sobreaprovisionados
  • Usuarios con autenticación multifactor no aplicada en AWS
  • Oportunidades para la escalación de privilegios
  • Uso y antigüedad de las claves de acceso de AWS

Confianza cero

Esta característica ayuda a las organizaciones a alinear sus inquilinos con los tres principios rectores de una arquitectura de Confianza cero:

  • Comprobar de forma explícita.
  • Uso de privilegios mínimos
  • Asumir la vulneración.

Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.

Permisos y privilegios

Para llamar a las API de administración de permisos, el autor de la llamada no necesita ningún permiso de Microsoft Graph. Sin embargo, deben tener privilegios adecuados en el inquilino Microsoft Entra y en el sistema externo.

Para obtener más información, consulte Administración de permisos roles y niveles de permisos.

Contenido relacionado

  • Last updated on