Source | Azure Portal | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Display name | API Management direct management endpoint should not be enabled | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Id | b741306c-968e-4b67-b916-5675e5c709f4 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Version | 1.0.2 Details on versioning |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Versioning |
Versions supported for Versioning: 1 1.0.2 Built-in Versioning [Preview] |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Category | API Management Microsoft Learn |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Description | The direct management REST API in Azure API Management bypasses Azure Resource Manager role-based access control, authorization, and throttling mechanisms, thus increasing the vulnerability of your service. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Cloud environments | AzureCloud = true AzureUSGovernment = unknown AzureChinaCloud = unknown |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Available in AzUSGov | Unknown, no evidence if Policy definition is/not available in AzureUSGovernment | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Assessment(s) |
Assessments count: 1 Assessment Id: e2aeced9-6ef0-410e-b948-4aaa65ded9a7 DisplayName: API Management direct management endpoint should not be enabled Description: The direct management REST API in Azure API Management bypasses Azure Resource Manager role-based access control, authorization, and throttling mechanisms, thus increasing the vulnerability of your service. Related OWASP API Security Top 10 Risks: (API4:2023) Unrestricted Resource Consumption Remediation description: To disable direct management of your API Management instance: 1. In the Azure portal, find your API Management Resource 2. Navigate to the Management API blade 3. Set Enable Management REST API to 'No.' Categories: Compute Severity: Low User impact: High Threats: ElevationOfPrivilege |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Mode | All | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Type | BuiltIn | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Preview | False | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Deprecated | False | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Effect | Default Audit Allowed Audit, Disabled, Deny |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
RBAC role(s) | none | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Rule aliases | IF (1)
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Rule resource types | IF (1) |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Compliance |
The following 6 compliance controls are associated with this Policy definition 'API Management direct management endpoint should not be enabled' (b741306c-968e-4b67-b916-5675e5c709f4)
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Initiatives usage |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
History |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
JSON compare |
compare mode:
version left:
version right:
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
JSON |
|