用于查看安全公告的提升访问权限
本文详细介绍了一项更改,该更改要求用户获取提升的访问角色,以便查看关于 Azure 服务运行状况的安全公告的详细信息。
Azure 客户使用“服务运行状况”来随时了解影响其关键和非关键业务应用程序的安全事件。 安全事件通知显示在“安全公告”体验的 Azure 服务运行状况上。 重要的安全公告详细信息显示在三个选项卡中:“摘要”、“受影响的资源”和“问题更新”。
在订阅或租户级别向用户显示安全公告。 具有订阅读取者角色或更高权限角色的用户可以查看“摘要”和“问题更新”选项卡上的安全公告详细信息。 拥有此处列出的租户角色的用户还可以访问“摘要”和“问题更新”选项卡上的租户级别的安全公告详细信息。
2023 年,针对安全公告事件引入了“受影响的资源”选项卡。 由于此选项卡中显示的详细信息很敏感,客户需要拥有基于角色的访问控制 (RBAC) 才能通过 UI 或 API 查看安全受到影响的资源。 查看本文,详细了解访问安全受到影响的资源的当前 RBAC 要求。
备注
上述屏幕截图反映了截至目前安全公告的 RBAC 体验。
现在,访问安全公告需要跨“摘要”、“受影响的资源”和“问题更新”选项卡的提升的访问权限。 在租户范围内具有订阅读取者访问权限或租户角色的用户在获取所需角色之前将无法查看安全公告详细信息。
在“摘要”和“问题更新”选项卡上向没有以下所需角色之一的用户显示错误消息:
订阅级别
- 订阅所有者
- 订阅管理员
- 具有 Microsoft.ResourceHealth/events/fetchEventDetails/action 权限或 Microsoft.ResourceHealth/events/action 权限的自定义角色
租户级别
- 安全管理员/安全读取者
- 具有 Microsoft.ResourceHealth/events/fetchEventDetails/action 权限或 Microsoft.ResourceHealth/events/action 权限的自定义角色
- 全局管理员/租户管理员
备注
建议不要使用全局管理员角色,除非绝对必要。 使用该角色可能会暴露敏感数据或允许未经授权的更改,从而带来安全风险。 它还可能违反最小特权原则,即用户只应拥有其任务所需的最低级别的权限。
事件 API 用户需要更新其代码才能使用新的 ARM 终结点 (/fetchEventDetails) 来接收安全公告通知详细信息。 如果用户具有上述角色,则可以使用新终结点查看特定事件的事件详细信息。 现有终结点 (/events) 会返回影响订阅或租户的所有服务运行状况事件类型,但是不会再返回敏感的安全通知详细信息。 此更新已更新到 API 版本 2023-10-01-preview 和将来的版本。
下面列出的新终结点和现有终结点返回特定事件的安全通知详细信息。
- 若要访问下面的新终结点,用户需要获得上述角色的授权。
- 此终结点返回事件对象,其中包含特定事件的所有可用属性。
- 这类似于以下受影响的资源终结点。
- 自 API 版本 2022-10-01 起可用
示例
https://management.chinacloudapi.cn/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/microsoft.ResourceHealth/events/{trackingId}/fetchEventDetails?api-version=2023-10-01-preview
操作:POST
- 获得上述角色授权的用户可以使用以下终结点来访问受安全事件影响的资源的列表。
- 自 API 版本 2022-05-01 起可用
订阅
https://management.chinacloudapi.cn/subscriptions/bbbb1b1b-cc2c-dd3d-ee4e-ffffff5f5f5f/providers/microsoft.resourcehealth/events/{trackingId}/listSecurityAdvisoryImpactedResources?api-version=2023-10-01-preview
操作:POST
租户
https://management.chinacloudapi.cn/providers/microsoft.resourcehealth/events/{trackingId}/listSecurityAdvisoryImpactedResources?api-version=2023-10-01-preview
操作:POST
安全公告订阅列表事件
使用 API 版本 2023-10-01-preview(以及未来的 API 版本),返回事件列表(包括 eventType 为“Security”的安全事件)的现有事件 API 终结点现在受到限制,仅传递以下针对安全事件列出的非敏感属性。
https://management.chinacloudapi.cn/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/providers/microsoft.ResourceHealth/events?api-version=2023-10-01-preview&$filter= "eventType eq SecurityAdvisory"
Operation:GET
事件对象响应中的以下内容使用此终结点填充安全公告事件:
- Id
- name
- type
- nextLink
- properties
只会填充属性对象的以下属性:
- eventType
- eventSource
- status
- title
- platformInitiated
- level
- EventLevel
- isHIR
- priority
- subscriptionId
- lastUpdateTime
- 影响
为影响对象填充 impactedService 属性,但只填充影响对象中 impactedServiceRegion 对象中的以下属性:
- impactedService
- impactedSubscriptions
- impactedTenants
- impactedRegion
- status