أدوار Azure المضمنة للأمان
تسرد هذه المقالة الأدوار المضمنة في Azure في فئة الأمان.
مسؤول أتمتة توافق التطبيقات
إنشاء عناصر التقارير وعناصر الموارد الأخرى ذات الصلة وقراءتها وتنزيلها وتعديلها وحذفها.
| الإجراءات | الوصف |
|---|---|
| Microsoft.AppComplianceAutomation/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | إرجاع نتيجة وضع خصائص خدمة كائن ثنائي كبير الحجم |
| Microsoft.Storage/storageAccounts/fileservices/write | وضع خصائص خدمة الملفات |
| Microsoft.Storage/storageAccounts/listKeys/action | إرجاع مفاتيح الوصول لحساب التخزين المحدد. |
| Microsoft.Storage/storageAccounts/write | إنشاء حساب تخزين بالمعلمات المحددة أو تحديث الخصائص أو العلامات أو إضافة مجال مخصص لحساب التخزين المحدد. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | إرجاع مفتاح تفويض مستخدم لخدمة blob |
| Microsoft.Storage/storageAccounts/read | إرجاع قائمة حسابات التخزين أو الحصول على خصائص حساب التخزين المحدد. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | إرجاع قائمة الحاويات |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | إرجاع نتيجة وضع حاوية كائن ثنائي كبير الحجم |
| Microsoft.Storage/storageAccounts/blobServices/read | إرجاع خصائص خدمة كائن ثنائي كبير الحجم أو إحصائياتها |
| Microsoft.PolicyInsights/policyStates/queryResults/action | الاستعلام عن معلومات حول حالات النهج. |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | تشغيل تقييم توافق جديد للنطاق المحدد. |
| Microsoft.Resources/resources/read | احصل على قائمة الموارد استنادا إلى عوامل التصفية. |
| Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | الحصول على الموارد لمجموعة الموارد. |
| Microsoft.Resources/subscriptions/resources/read | الحصول على موارد الاشتراك. |
| Microsoft.Resources/subscriptions/resourceGroups/delete | حذف مجموعة موارد وكافة مواردها. |
| Microsoft.Resources/subscriptions/resourceGroups/write | إنشاء مجموعة موارد أو تحديثها. |
| Microsoft.Resources/tags/read | يحصل على جميع العلامات على مورد. |
| Microsoft.Resources/deployments/validate/action | التحقق من صحة التوزيع. |
| Microsoft.Security/automations/read | الحصول على عمليات التشغيل التلقائي للنطاق |
| Microsoft.Resources/deployments/write | إنشاء عملية نشر أو تحديثها. |
| Microsoft.Security/automations/delete | حذف التنفيذ التلقائي للنطاق |
| Microsoft.Security/automations/write | إنشاء أو تحديث التنفيذ التلقائي للنطاق |
| Microsoft.Security/register/action | تسجيل الاشتراك في Azure Security Center |
| Microsoft.Security/unregister/action | إلغاء تسجيل الاشتراك من Azure Security Center |
| */read | قراءة المصادر بجميع أنواعها ما عدا البيانات السرية. |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
قارئ أتمتة توافق التطبيقات
قراءة عناصر التقارير وعناصر الموارد الأخرى ذات الصلة وتنزيلها.
| الإجراءات | الوصف |
|---|---|
| */read | قراءة المصادر بجميع أنواعها ما عدا البيانات السرية. |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مساهم التصديق
يمكن قراءة كتابة أو حذف مثيل موفر التصديق
| الإجراءات | الوصف |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | يحصل على حالة خدمة التصديق. |
| Microsoft.Attestation/attestationProviders/attestation/write | إضافة خدمة التصديق. |
| Microsoft.Attestation/attestationProviders/attestation/delete | إزالة خدمة التصديق. |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
قارئ الإثبات
يمكن قراءة خصائص موفر التصديق
| الإجراءات | الوصف |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | يحصل على حالة خدمة التصديق. |
| Microsoft.Attestation/attestationProviders/read | يحصل على حالة خدمة التصديق. |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول Key Vault
نفذ كل عمليات مستوى البيانات على مخزن المفتاح وكل العناصر فيه بما في ذلك الشهادات والمفاتيح والبيانات السرية. لا يمكن إدارة موارد Key Vault أو إدارة تعيينات الدور. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| Microsoft.KeyVault/checkNameAvailability/read | التحقق من صحة اسم مخزن المفاتيح وعدم استخدامه |
| Microsoft.KeyVault/deletedVaults/read | عرض خصائص خزائن المفاتيح المحذوفة مبدئيا |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | سرد العمليات المتوفرة على موفر موارد Microsoft.KeyVault |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مستخدم شهادة Key Vault
قراءة محتويات الشهادة. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| لا شيء | |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/certificates/read | سرد الشهادات في مخزن مفاتيح محدد، أو الحصول على معلومات حول شهادة. |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | يحصل على قيمة سر. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | سرد خصائص البيانات السرية أو عرضها، ولكن ليس قيمتها. |
| Microsoft.KeyVault/vaults/keys/read | سرد المفاتيح في المخزن المحدد، أو قراءة الخصائص والمواد العامة للمفتاح. بالنسبة للمفاتيح غير المتماثلة، تعرض هذه العملية المفتاح العام وتتضمن القدرة على تنفيذ خوارزميات المفتاح العام مثل تشفير التوقيع والتحقق من صحته. لا يتم كشف المفاتيح الخاصة والمفاتيح المتماثلة أبدا. |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول شهادات Key Vault
تنفيذ أي إجراء على شهادات Key Vault، باستثناء إدارة الأذونات. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| Microsoft.KeyVault/checkNameAvailability/read | التحقق من صحة اسم مخزن المفاتيح وعدم استخدامه |
| Microsoft.KeyVault/deletedVaults/read | عرض خصائص خزائن المفاتيح المحذوفة مبدئيا |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | سرد العمليات المتوفرة على موفر موارد Microsoft.KeyVault |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | إدارة جهة اتصال الشهادة |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Contributor
إدارة خزائن المفاتيح، ولكن لا يسمح لك بتعيين أدوار في Azure RBAC، ولا يسمح لك بالوصول إلى الأسرار أو المفاتيح أو الشهادات.
هام
عند استخدام نموذج إذن نهج الوصول، يمكن للمستخدم الذي لديه Contributorأو Key Vault Contributorأو أي دور آخر يتضمن Microsoft.KeyVault/vaults/write أذونات لمستوى إدارة مخزن المفاتيح منح نفسه حق الوصول إلى مستوى البيانات عن طريق تعيين نهج الوصول إلى Key Vault. لمنع الوصول غير المصرح به وإدارة خزائن المفاتيح والمفاتيح والأسرار والشهادات، من الضروري الحد من وصول دور المساهم إلى خزائن المفاتيح ضمن نموذج إذن نهج الوصول. للتخفيف من هذه المخاطر، نوصي باستخدام نموذج إذن التحكم في الوصول استنادا إلى الدور (RBAC)، والذي يقيد إدارة الأذونات إلى أدوار "المالك" و"مسؤول وصول المستخدم"، ما يسمح بفصل واضح بين عمليات الأمان والواجبات الإدارية. راجع دليل التحكم في الوصول استنادا إلى الدور في Key Vault وما هو Azure RBAC؟ لمزيد من المعلومات.
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | تطهير مخزن مفتاح محذوف |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول Key Vault Crypto
تنفيذ أي إجراء على مفاتيح Key Vault، باستثناء إدارة الأذونات. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| Microsoft.KeyVault/checkNameAvailability/read | التحقق من صحة اسم مخزن المفاتيح وعدم استخدامه |
| Microsoft.KeyVault/deletedVaults/read | عرض خصائص خزائن المفاتيح المحذوفة مبدئيا |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | سرد العمليات المتوفرة على موفر موارد Microsoft.KeyVault |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مستخدم تشفير خدمة key Vault Crypto
قراءة بيانات تعريف المفاتيح وإجراء عمليات تضمين/فك. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | إنشاء أو تحديث eventSubscription |
| Microsoft.EventGrid/eventSubscriptions/read | قراءة eventSubscription |
| Microsoft.EventGrid/eventSubscriptions/delete | حذف eventSubscription |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/keys/read | سرد المفاتيح في المخزن المحدد، أو قراءة الخصائص والمواد العامة للمفتاح. بالنسبة للمفاتيح غير المتماثلة، تعرض هذه العملية المفتاح العام وتتضمن القدرة على تنفيذ خوارزميات المفتاح العام مثل تشفير التوقيع والتحقق من صحته. لا يتم كشف المفاتيح الخاصة والمفاتيح المتماثلة أبدا. |
| Microsoft.KeyVault/vaults/keys/wrap/action | يلف مفتاحا متماثلا بمفتاح Key Vault. لاحظ أنه إذا كان مفتاح Key Vault غير متماثل، يمكن تنفيذ هذه العملية من قبل الأساسيات التي لها حق الوصول للقراءة. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | فك تشفير مفتاح متماثل باستخدام مفتاح Key Vault. |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مستخدم إصدار خدمة تشفير Key Vault
مفاتيح الإصدار. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| لا شيء | |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/keys/release/action | حرر مفتاحا باستخدام جزء عام من KEK من رمز التصديق المميز. |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مستخدم Key Vault Crypto
إجراء عمليات التشفير باستخدام المفاتيح. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| لا شيء | |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/keys/read | سرد المفاتيح في المخزن المحدد، أو قراءة الخصائص والمواد العامة للمفتاح. بالنسبة للمفاتيح غير المتماثلة، تعرض هذه العملية المفتاح العام وتتضمن القدرة على تنفيذ خوارزميات المفتاح العام مثل تشفير التوقيع والتحقق من صحته. لا يتم كشف المفاتيح الخاصة والمفاتيح المتماثلة أبدا. |
| Microsoft.KeyVault/vaults/keys/update/action | تحديث السمات المحددة المقترنة بالمفتاح المحدد. |
| Microsoft.KeyVault/vaults/keys/backup/action | إنشاء ملف النسخ الاحتياطي لمفتاح. يمكن استخدام الملف لاستعادة المفتاح في Key Vault بنفس الاشتراك. قد يتم تطبيق القيود. |
| Microsoft.KeyVault/vaults/keys/encrypt/action | تشفير النص العادي باستخدام مفتاح. لاحظ أنه إذا كان المفتاح غير متماثل، يمكن تنفيذ هذه العملية من قبل الأساسيات التي لها حق الوصول للقراءة. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | فك تشفير النص المشفر باستخدام مفتاح. |
| Microsoft.KeyVault/vaults/keys/wrap/action | يلف مفتاحا متماثلا بمفتاح Key Vault. لاحظ أنه إذا كان مفتاح Key Vault غير متماثل، يمكن تنفيذ هذه العملية من قبل الأساسيات التي لها حق الوصول للقراءة. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | فك تشفير مفتاح متماثل باستخدام مفتاح Key Vault. |
| Microsoft.KeyVault/vaults/keys/sign/action | توقيع ملخص رسالة (تجزئة) باستخدام مفتاح. |
| Microsoft.KeyVault/vaults/keys/verify/action | التحقق من توقيع ملخص رسالة (تجزئة) باستخدام مفتاح. لاحظ أنه إذا كان المفتاح غير متماثل، يمكن تنفيذ هذه العملية من قبل الأساسيات التي لها حق الوصول للقراءة. |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول الوصول إلى بيانات Key Vault
إدارة الوصول إلى Azure Key Vault عن طريق إضافة أو إزالة تعيينات الأدوار لمسؤول Key Vault أو مسؤول شهادات Key Vault أو مسؤول تشفير Key Vault أو مستخدم تشفير خدمة تشفير Key Vault أو مستخدم تشفير Key Vault أو قارئ Key Vault أو مسؤول أسرار Key Vault أو أدوار مستخدم أسرار Key Vault. يتضمن شرط ABAC لتقييد تعيينات الأدوار.
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/roleAssignments/write | إنشاء تعيين دور في النطاق المحدد. |
| Microsoft.Authorization/roleAssignments/delete | حذف تعيين دور في النطاق المحدد. |
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
| Microsoft.Management/managementGroups/read | سرد مجموعات الإدارة للمستخدم المصادق عليه. |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء | |
| الشرط | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | إضافة تعيينات الأدوار للأدوار التالية أو إزالتها: مسؤول Key Vault مسؤول شهادات Key Vault مسؤول Key Vault Crypto مستخدم تشفير خدمة key Vault Crypto مستخدم Key Vault Crypto قارئ Key Vault مسؤول بيانات Key Vault السرية مستخدم بيانات Key Vault السرية |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
قارئ Key Vault
اقرأ بيانات التعريف لـ Key Vaults وشهاداتها ومفاتيحها وبياناتها السرية. لا يمكن قراءة القيم الحساسة مثل محتويات البيانات السرية أو المواد الرئيسية. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| Microsoft.KeyVault/checkNameAvailability/read | التحقق من صحة اسم مخزن المفاتيح وعدم استخدامه |
| Microsoft.KeyVault/deletedVaults/read | عرض خصائص خزائن المفاتيح المحذوفة مبدئيا |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | سرد العمليات المتوفرة على موفر موارد Microsoft.KeyVault |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | سرد خصائص البيانات السرية أو عرضها، ولكن ليس قيمتها. |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول بيانات Key Vault السرية
نفذ أي إجراء على مفاتيح Key Vault، باستثناء إدارة الأذونات. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| Microsoft.KeyVault/checkNameAvailability/read | التحقق من صحة اسم مخزن المفاتيح وعدم استخدامه |
| Microsoft.KeyVault/deletedVaults/read | عرض خصائص خزائن المفاتيح المحذوفة مبدئيا |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | سرد العمليات المتوفرة على موفر موارد Microsoft.KeyVault |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/secrets/* | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مستخدم بيانات Key Vault السرية
قراءة محتويات البيانات السرية. يعمل فقط لـ Key Vault التي تستخدم نموذج إذن "التحكم في الوصول المستند إلى دور Azure".
| الإجراءات | الوصف |
|---|---|
| لا شيء | |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | يحصل على قيمة سر. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | سرد خصائص البيانات السرية أو عرضها، ولكن ليس قيمتها. |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مساهم HSM المدار
يتيح لك إدارة تجمعات HSM المدارة، ولكن ليس الوصول إليها.
| الإجراءات | الوصف |
|---|---|
| Microsoft.KeyVault/managedHSMs/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | عرض خصائص hsm المدار المحذوف |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | عرض خصائص hsm المدار المحذوف |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | إزالة hsm المدار المحذوف مبدئيا |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | التحقق من نتيجة عملية طويلة المدى |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مساهم أتمتة Microsoft Azure Sentinel
مساهم أتمتة Microsoft Azure Sentinel
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Logic/workflows/triggers/read | يقرأ المشغل. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | الحصول على عنوان URL لرد الاتصال للمشغل. |
| Microsoft.Logic/workflows/runs/read | قراءة تشغيل سير العمل. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | قائمة مشغلات سير عمل وقت تشغيل مضيف تطبيقات الويب. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | الحصول على Web Apps Hostruntime Workflow Trigger Uri. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | قائمة Web Apps Hostruntime Workflow Runs. |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Contributor
Microsoft Sentinel Contributor
| الإجراءات | الوصف |
|---|---|
| Microsoft.SecurityInsights/* | |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | البحث باستخدام محرك جديد. |
| Microsoft.OperationalInsights/workspaces/*/read | عرض بيانات تحليلات السجل |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | |
| Microsoft.OperationsManagement/solutions/read | الحصول على حل OMS الحالي |
| Microsoft.OperationalInsights/workspaces/query/read | تشغيل الاستعلامات عبر البيانات في مساحة العمل |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | الحصول على مصدر البيانات ضمن مساحة عمل. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/* | |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
عامل تشغيل دليل مبادئ Microsoft Sentinel
عامل تشغيل دليل مبادئ Microsoft Sentinel
| الإجراءات | الوصف |
|---|---|
| Microsoft.Logic/workflows/read | يقرأ سير العمل. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | الحصول على عنوان URL لرد الاتصال للمشغل. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | الحصول على Web Apps Hostruntime Workflow Trigger Uri. |
| Microsoft.Web/sites/read | الحصول على خصائص تطبيق ويب |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Reader
Microsoft Sentinel Reader
| الإجراءات | الوصف |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | التحقق من تخويل المستخدم والترخيص |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | مؤشرات التحليل الذكي للمخاطر للاستعلام |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | مؤشرات التحليل الذكي للمخاطر للاستعلام |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | البحث باستخدام محرك جديد. |
| Microsoft.OperationalInsights/workspaces/*/read | عرض بيانات تحليلات السجل |
| Microsoft.OperationalInsights/workspaces/LinkedServices/read | الحصول على خدمات مرتبطة ضمن مساحة عمل معينة. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | الحصول على استعلام بحث محفوظ. |
| Microsoft.OperationsManagement/solutions/read | الحصول على حل OMS الحالي |
| Microsoft.OperationalInsights/workspaces/query/read | تشغيل الاستعلامات عبر البيانات في مساحة العمل |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | الحصول على مصدر البيانات ضمن مساحة عمل. |
| Microsoft.Insights/workbooks/read | قراءة مصنف |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| Microsoft.Resources/templateSpecs/*/read | الحصول على مواصفات قالب وإصدارات مواصفات القالب أو سردها |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مستجيب Microsoft Sentinel
مستجيب Microsoft Sentinel
| الإجراءات | الوصف |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | التحقق من تخويل المستخدم والترخيص |
| Microsoft.SecurityInsights/automationRules/* | |
| Microsoft.SecurityInsights/cases/* | |
| Microsoft.SecurityInsights/incidents/* | |
| Microsoft.SecurityInsights/entities/runPlaybook/action | تشغيل دليل المبادئ على الكيان |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | إلحاق علامات إلى مؤشر التحليل الذكي للمخاطر |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | مؤشرات التحليل الذكي للمخاطر للاستعلام |
| Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | تحليل ذكي للمخاطر للعلامات المجمعة |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | إلحاق علامات إلى مؤشر التحليل الذكي للمخاطر |
| Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | استبدال علامات مؤشر التحليل الذكي للمخاطر |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | مؤشرات التحليل الذكي للمخاطر للاستعلام |
| Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | التراجع عن إجراء |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | البحث باستخدام محرك جديد. |
| Microsoft.OperationalInsights/workspaces/*/read | عرض بيانات تحليلات السجل |
| Microsoft.OperationalInsights/workspaces/dataSources/read | الحصول على مصدر البيانات ضمن مساحة عمل. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | الحصول على استعلام بحث محفوظ. |
| Microsoft.OperationsManagement/solutions/read | الحصول على حل OMS الحالي |
| Microsoft.OperationalInsights/workspaces/query/read | تشغيل الاستعلامات عبر البيانات في مساحة العمل |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | الحصول على مصدر البيانات ضمن مساحة عمل. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/read | قراءة مصنف |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| NotActions | |
| Microsoft.SecurityInsights/cases/*/Delete | |
| Microsoft.SecurityInsights/incidents/*/Delete | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول الأمان
عرض أذونات Microsoft Defender for Cloud وتحديثها. نفس الأذونات مثل دور قارئ الأمان ويمكن أيضا تحديث نهج الأمان ورفض التنبيهات والتوصيات.
بالنسبة إلى Microsoft Defender for IoT، راجع أدوار مستخدم Azure لمراقبة OT وEnterprise IoT.
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Authorization/policyAssignments/* | إنشاء تعيينات النهج وإدارتها |
| Microsoft.Authorization/policyDefinitions/* | إنشاء تعريفات النهج وإدارتها |
| Microsoft.Authorization/policyExemptions/* | إنشاء إعفاءات النهج وإدارتها |
| Microsoft.Authorization/policySetDefinitions/* | إنشاء مجموعات النهج وإدارتها |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.Management/managementGroups/read | سرد مجموعات الإدارة للمستخدم المصادق عليه. |
| Microsoft.operationalInsights/workspaces/*/read | عرض بيانات تحليلات السجل |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| Microsoft.Search/* | إنشاء مكونات وسياسات الأمان وإدارتها |
| Microsoft.IoTCentral/* | |
| Microsoft.IoTFirmwareDefense/* | |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
المساهم في تقييم الأمان
يتيح لك دفع التقييمات إلى Microsoft Defender for Cloud
| الإجراءات | الوصف |
|---|---|
| Microsoft.Security/assessments/write | إنشاء تقييمات الأمان أو تحديثها على اشتراكك |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Security Manager (قديم)
هذا دور قديم. الرجاء استخدام مسؤول الأمان بدلا من ذلك.
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.ClassicCompute/*/read | قراءة معلومات التكوين الأجهزة الظاهرية الكلاسيكية |
| Microsoft.ClassicCompute/virtualMachines/*/write | تكوين الكتابة للأجهزة الظاهرية الكلاسيكية |
| Microsoft.ClassicNetwork/*/read | قراءة معلومات التكوين حول الشبكة الكلاسيكية |
| Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
| Microsoft.ResourceHealth/availabilityStatuses/read | الحصول على حالات التوفر لكافة الموارد في النطاق المحدد |
| Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| Microsoft.Search/* | إنشاء مكونات وسياسات الأمان وإدارتها |
| دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
قارئ معلومات الأمان
عرض أذونات Microsoft Defender for Cloud. يمكنه عرض التوصيات والتنبيهات ونهج الأمان وحالات الأمان، ولكن لا يمكنه إجراء تغييرات.
بالنسبة إلى Microsoft Defender for IoT، راجع أدوار مستخدم Azure لمراقبة OT وEnterprise IoT.
| الإجراءات | الوصف |
|---|---|
| Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
| Microsoft.Insights/alertRules/read | قراءة تنبيه قياسي كلاسيكي |
| Microsoft.operationalInsights/workspaces/*/read | عرض بيانات تحليلات السجل |
| Microsoft.Resources/deployments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
| Microsoft.Security/*/read | قراءة مكونات الأمان ونهجه |
| Microsoft.IoTSecurity/*/read | |
| Microsoft.Support/*/read | |
| Microsoft.Security/iotDefenderSettings/packageDownloads/action | الحصول على معلومات حزم IoT Defender القابلة للتنزيل |
| Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | تنزيل ملف تنشيط المدير مع بيانات الحصة النسبية للاشتراك |
| Microsoft.Security/iotSensors/downloadResetPassword/action | تنزيلات إعادة تعيين ملف كلمة المرور لأجهزة استشعار IoT |
| Microsoft.IoTSecurity/defenderSettings/packageتنزيلات/إجراء | الحصول على معلومات حزم IoT Defender القابلة للتنزيل |
| Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | تنزيل ملف تنشيط المدير |
| Microsoft.Management/managementGroups/read | سرد مجموعات الإدارة للمستخدم المصادق عليه. |
| NotActions | |
| لا شيء | |
| عمليات البيانات | |
| لا شيء | |
| NotDataActions | |
| لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}