Předdefinované role Azure pro zabezpečení
Tento článek obsahuje seznam předdefinovaných rolí Azure v kategorii Zabezpečení.
Automatizace dodržování předpisů aplikací Správa istrator
Umožňuje vytvářet, číst, stahovat, upravovat a odstraňovat objekty sestav a související další objekty prostředků.
Akce | Popis |
---|---|
Microsoft.AppComplianceAutomation/* | |
Microsoft.Storage/storageAccounts/blobServices/write | Vrátí výsledek vlastností služby blob put. |
Microsoft.Storage/storageAccounts/fileservices/write | Vložení vlastností souborové služby |
Microsoft.Storage/storageAccounts/listKeys/action | Vrátí přístupové klíče pro zadaný účet úložiště. |
Microsoft.Storage/storageAccounts/write | Vytvoří účet úložiště se zadanými parametry nebo aktualizuje vlastnosti nebo značky nebo přidá vlastní doménu pro zadaný účet úložiště. |
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Vrátí klíč delegování uživatele pro službu blob. |
Microsoft.Storage/storageAccounts/read | Vrátí seznam účtů úložiště nebo získá vlastnosti zadaného účtu úložiště. |
Microsoft.Storage/storageAccounts/blobServices/containers/read | Vrátí seznam kontejnerů. |
Microsoft.Storage/storageAccounts/blobServices/containers/write | Vrátí výsledek kontejneru objektů blob put. |
Microsoft.Storage/storageAccounts/blobServices/read | Vrátí vlastnosti nebo statistiky služby Blob Service. |
Microsoft.Policy Přehledy/policyStates/queryResults/action | Zadejte dotaz na informace o stavech zásad. |
Microsoft.Policy Přehledy/policyStates/triggerEvaluation/action | Aktivuje nové vyhodnocení dodržování předpisů pro vybraný obor. |
Microsoft.Resources/resources/read | Získejte seznam prostředků na základě filtrů. |
Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Resources/subscriptions/resourceGroups/resources/read | Získá prostředky pro skupinu prostředků. |
Microsoft.Resources/subscriptions/resources/read | Získá prostředky předplatného. |
Microsoft.Resources/subscriptions/resourceGroups/delete | Odstraní skupinu prostředků a všechny její prostředky. |
Microsoft.Resources/subscriptions/resourceGroups/write | Vytvoří nebo aktualizuje skupinu prostředků. |
Microsoft.Resources/tags/read | Získá všechny značky prostředku. |
Microsoft.Resources/deployments/validate/action | Ověří nasazení. |
Microsoft.Security/automations/read | Získá automatizace pro obor. |
Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
Microsoft.Security/automations/delete | Odstraní automatizaci pro obor. |
Microsoft.Security/automations/write | Vytvoří nebo aktualizuje automatizaci pro obor. |
Microsoft.Security/register/action | Zaregistruje předplatné pro Azure Security Center. |
Microsoft.Security/unregister/action | Zrušení registrace předplatného ze služby Azure Security Center |
*/read | Čtení všech typů prostředků kromě tajných kódů. |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář automatizace dodržování předpisů aplikací
Přečtěte si, stáhněte si objekty sestav a související další objekty prostředků.
Akce | Popis |
---|---|
*/read | Čtení všech typů prostředků kromě tajných kódů. |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel ověření identity
Může číst zápis nebo odstranit instanci zprostředkovatele ověření identity.
Akce | Popis |
---|---|
Microsoft.Attestation/attestationProviders/attestationProviders/attestation/read | Získá stav služby ověření identity. |
Microsoft.Attestation/attestationProviders/attestation/write | Přidá službu ověření identity. |
Microsoft.Attestation/attestationProviders/attestationProviders/attestation/delete | Odebere službu ověření identity. |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář ověření identity
Může číst vlastnosti zprostředkovatele ověření identity.
Akce | Popis |
---|---|
Microsoft.Attestation/attestationProviders/attestationProviders/attestation/read | Získá stav služby ověření identity. |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správa istrator služby Key Vault
Proveďte všechny operace roviny dat v trezoru klíčů a všech objektů v něm, včetně certifikátů, klíčů a tajných kódů. Nejde spravovat prostředky trezoru klíčů ani spravovat přiřazení rolí. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/* | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel certifikátu služby Key Vault
Přečtěte si obsah certifikátu. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
žádné | |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/certificates/read | Výpis certifikátů v zadaném trezoru klíčů nebo získání informací o certifikátu |
Microsoft.KeyVault/vaults/secrets/getSecret/action | Získá hodnotu tajného kódu. |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Umožňuje zobrazit nebo zobrazit vlastnosti tajného klíče, ale ne její hodnotu. |
Microsoft.KeyVault/vaults/keys/read | Výpis klíčů v zadaném trezoru nebo čtení vlastností a veřejného materiálu klíče U asymetrických klíčů tato operace zveřejňuje veřejný klíč a zahrnuje schopnost provádět algoritmy veřejného klíče, jako je šifrování a ověření podpisu. Privátní klíče a symetrické klíče se nikdy nevystavují. |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Officer pro certifikáty služby Key Vault
Proveďte jakoukoli akci s certifikáty trezoru klíčů s výjimkou oprávnění pro správu. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/certificatecas/* | |
Microsoft.KeyVault/vaults/certificates/* | |
Microsoft.KeyVault/vaults/certificatecontacts/write | Spravovat kontakt certifikátu |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel služby Key Vault
Správa trezorů klíčů, ale neumožňuje přiřazovat role v Azure RBAC a neumožňuje přístup k tajným klíčům, klíčům nebo certifikátům.
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.KeyVault/* | |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
NotActions | |
Microsoft.KeyVault/locations/deletedVaults/purge/action | Vymazání obnovitelného odstraněného trezoru klíčů |
Microsoft.KeyVault/hsmPools/* | |
Microsoft.KeyVault/managedHsms/* | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kryptografický důstojník key vaultu
Proveďte všechny akce s klíči trezoru klíčů s výjimkou oprávnění pro správu. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/keys/* | |
Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel šifrování šifrovací služby Key Vault
Čtení metadat klíčů a provádění operací zabalení/rozbalení Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
Microsoft.EventGrid/eventSubscriptions/write | Vytvoření nebo aktualizace odběru události |
Microsoft.EventGrid/eventSubscriptions/read | Čtení odběru události |
Microsoft.EventGrid/eventSubscriptions/delete | Odstranění odběru události |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/keys/read | Výpis klíčů v zadaném trezoru nebo čtení vlastností a veřejného materiálu klíče U asymetrických klíčů tato operace zveřejňuje veřejný klíč a zahrnuje schopnost provádět algoritmy veřejného klíče, jako je šifrování a ověření podpisu. Privátní klíče a symetrické klíče se nikdy nevystavují. |
Microsoft.KeyVault/vaults/keys/wrap/action | Zabalí symetrický klíč pomocí klíče služby Key Vault. Všimněte si, že pokud je klíč služby Key Vault asymetrický, může tuto operaci provádět objekty zabezpečení s přístupem pro čtení. |
Microsoft.KeyVault/vaults/keys/unwrap/action | Rozbalí symetrický klíč pomocí klíče služby Key Vault. |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel kryptografických služeb služby Key Vault
Klíče vydaných verzí Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
žádné | |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/keys/release/action | Uvolněte klíč pomocí veřejné části klíče KEK z tokenu ověření identity. |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel kryptografických služeb Key Vault
Provádění kryptografických operací pomocí klíčů Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
žádné | |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/keys/read | Výpis klíčů v zadaném trezoru nebo čtení vlastností a veřejného materiálu klíče U asymetrických klíčů tato operace zveřejňuje veřejný klíč a zahrnuje schopnost provádět algoritmy veřejného klíče, jako je šifrování a ověření podpisu. Privátní klíče a symetrické klíče se nikdy nevystavují. |
Microsoft.KeyVault/vaults/keys/update/action | Aktualizace zadaných atributů přidružených k danému klíči. |
Microsoft.KeyVault/vaults/keys/backup/action | Vytvoří záložní soubor klíče. Soubor se dá použít k obnovení klíče ve službě Key Vault stejného předplatného. Mohou platit omezení. |
Microsoft.KeyVault/vaults/keys/encrypt/action | Šifruje prostý text pomocí klíče. Všimněte si, že pokud je klíč asymetrický, může tuto operaci provádět objekty zabezpečení s přístupem pro čtení. |
Microsoft.KeyVault/vaults/keys/decrypt/action | Dešifruje šifrový text klíčem. |
Microsoft.KeyVault/vaults/keys/wrap/action | Zabalí symetrický klíč pomocí klíče služby Key Vault. Všimněte si, že pokud je klíč služby Key Vault asymetrický, může tuto operaci provádět objekty zabezpečení s přístupem pro čtení. |
Microsoft.KeyVault/vaults/keys/unwrap/action | Rozbalí symetrický klíč pomocí klíče služby Key Vault. |
Microsoft.KeyVault/vaults/keys/sign/action | Podepíše hodnotu hash (hash) zprávy klíčem. |
Microsoft.KeyVault/vaults/keys/verify/action | Ověří podpis hodnoty hash (hash) zprávy pomocí klíče. Všimněte si, že pokud je klíč asymetrický, může tuto operaci provádět objekty zabezpečení s přístupem pro čtení. |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přístup k datům služby Key Vault Správa istrator
Přístup ke službě Azure Key Vault můžete spravovat přidáním nebo odebráním přiřazení rolí pro Správa istrator služby Key Vault, správce certifikátů služby Key Vault, šifrovacího důstojníka služby Key Vault, uživatele šifrování služby Key Vault, šifrovacího uživatele služby Key Vault, čtenáře služby Key Vault, tajného klíče služby Key Vault nebo role uživatele tajných kódů služby Key Vault. Zahrnuje podmínku ABAC pro omezení přiřazení rolí.
Akce | Popis |
---|---|
Microsoft.Authorization/roleAssignments/write | Vytvořte přiřazení role v zadaném oboru. |
Microsoft.Authorization/roleAssignments/delete | Odstraňte přiřazení role v zadaném oboru. |
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
Microsoft.Management/managementGroups/read | Zobrazí seznam skupin pro správu ověřeného uživatele. |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
Microsoft.KeyVault/vaults/*/read | |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné | |
Condition (Podmínka) | |
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Přidejte nebo odeberte přiřazení rolí pro následující role: Správa istrator služby Key Vault Officer pro certifikáty služby Key Vault Kryptografický důstojník key vaultu Uživatel šifrování šifrovací služby Key Vault Uživatel kryptografických služeb Key Vault Čtenář služby Key Vault Key Vault Secrets Officer Uživatel tajných kódů služby Key Vault |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář služby Key Vault
Čtení metadat trezorů klíčů a jeho certifikátů, klíčů a tajných kódů Citlivé hodnoty, jako je obsah tajného kódu nebo materiál klíče, nelze číst. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Umožňuje zobrazit nebo zobrazit vlastnosti tajného klíče, ale ne její hodnotu. |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Secrets Officer
Proveďte jakoukoli akci s tajnými klíči trezoru klíčů s výjimkou oprávnění pro správu. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/secrets/* | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel tajných kódů služby Key Vault
Čtení obsahu tajných kódů Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
Akce | Popis |
---|---|
žádné | |
NotActions | |
žádné | |
Akce dat | |
Microsoft.KeyVault/vaults/secrets/getSecret/action | Získá hodnotu tajného kódu. |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Umožňuje zobrazit nebo zobrazit vlastnosti tajného klíče, ale ne její hodnotu. |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel spravovaného HSM
Umožňuje spravovat spravované fondy HSM, ale ne přístup k nim.
Akce | Popis |
---|---|
Microsoft.KeyVault/managedHSMs/* | |
Microsoft.KeyVault/deletedManagedHsms/read | Zobrazení vlastností odstraněného spravovaného hsm |
Microsoft.KeyVault/locations/deletedManagedHsms/read | Zobrazení vlastností odstraněného spravovaného hsm |
Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Vymazání obnovitelně odstraněného spravovaného hsmu |
Microsoft.KeyVault/locations/managedHsmOperationResults/read | Kontrola výsledku dlouhotrvající operace |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel služby Microsoft Sentinel Automation
Přispěvatel služby Microsoft Sentinel Automation
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft.Logic/workflows/triggers/read | Přečte trigger. |
Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Získá adresu URL zpětného volání pro trigger. |
Microsoft.Logic/workflows/runs/read | Přečte spuštění pracovního postupu. |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Zobrazení seznamu aktivačních událostí pracovního postupu Hostruntime pro Web Apps |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Získání identifikátoru URI triggeru pracovního postupu Hostruntime pro Web Apps |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Zobrazit seznam spuštění pracovního postupu Hostruntime pro Web Apps |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel služby Microsoft Sentinel
Přispěvatel služby Microsoft Sentinel
Akce | Popis |
---|---|
Microsoft.Security Přehledy/* | |
Microsoft.Operational Přehledy/workspaces/analytics/query/action | Hledání pomocí nového modulu |
Microsoft.Operational Přehledy/workspaces/*/read | Zobrazení dat Log Analytics |
Microsoft.Operational Přehledy/workspaces/savedSearches/* | |
Microsoft.OperationsManagement/solutions/read | Získání stávajícího řešení OMS |
Microsoft.Operational Přehledy/workspaces/query/read | Spouštění dotazů nad daty v pracovním prostoru |
Microsoft.Operational Přehledy/workspaces/query/*/read | |
Microsoft.Operational Přehledy/workspaces/dataSources/read | Získejte zdroj dat v pracovním prostoru. |
Microsoft.Operational Přehledy/querypacks/*/read | |
Microsoft. Přehledy/sešity/* | |
Microsoft. Přehledy/mojeworkbooky/čtení | |
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
NotActions | |
Microsoft.Security Přehledy/ConfidentialWatchlists/* | |
Microsoft.Operational Přehledy/workspaces/query/ConfidentialWatchlist/* | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operátor playbooku Microsoft Sentinel
Operátor playbooku Microsoft Sentinel
Akce | Popis |
---|---|
Microsoft.Logic/workflows/read | Přečte pracovní postup. |
Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Získá adresu URL zpětného volání pro trigger. |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Získání identifikátoru URI triggeru pracovního postupu Hostruntime pro Web Apps |
Microsoft.Web/sites/read | Získání vlastností webové aplikace |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář služby Microsoft Sentinel
Čtenář služby Microsoft Sentinel
Akce | Popis |
---|---|
Microsoft.Security Přehledy/*/read | |
Microsoft.Security Přehledy/data Připojení orsCheckRequirements/action | Kontrola autorizace uživatele a licence |
Microsoft.Security Přehledy/threatIntelligence/indicators/query/action | Indikátory analýzy hrozeb dotazů |
Microsoft.Security Přehledy/threatIntelligence/queryIndicators/action | Indikátory analýzy hrozeb dotazů |
Microsoft.Operational Přehledy/workspaces/analytics/query/action | Hledání pomocí nového modulu |
Microsoft.Operational Přehledy/workspaces/*/read | Zobrazení dat Log Analytics |
Microsoft.Operational Přehledy/workspaces/LinkedServices/read | Získejte propojené služby v rámci daného pracovního prostoru. |
Microsoft.Operational Přehledy/workspaces/savedSearches/read | Získá uložený vyhledávací dotaz. |
Microsoft.OperationsManagement/solutions/read | Získání stávajícího řešení OMS |
Microsoft.Operational Přehledy/workspaces/query/read | Spouštění dotazů nad daty v pracovním prostoru |
Microsoft.Operational Přehledy/workspaces/query/*/read | |
Microsoft.Operational Přehledy/querypacks/*/read | |
Microsoft.Operational Přehledy/workspaces/dataSources/read | Získejte zdroj dat v pracovním prostoru. |
Microsoft. Přehledy/ sešity/ čtení | Čtení sešitu |
Microsoft. Přehledy/mojeworkbooky/čtení | |
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Resources/templateSpecs/*/read | Získání nebo výpis specifikací šablon a verzí specifikací šablon |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
NotActions | |
Microsoft.Security Přehledy/ConfidentialWatchlists/* | |
Microsoft.Operational Přehledy/workspaces/query/ConfidentialWatchlist/* | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Respondér služby Microsoft Sentinel
Respondér služby Microsoft Sentinel
Akce | Popis |
---|---|
Microsoft.Security Přehledy/*/read | |
Microsoft.Security Přehledy/data Připojení orsCheckRequirements/action | Kontrola autorizace uživatele a licence |
Microsoft.Security Přehledy/automationRules/* | |
Microsoft.Security Přehledy/cases/* | |
Microsoft.Security Přehledy/incidents/* | |
Microsoft.Security Přehledy/entities/runPlaybook/action | Spuštění playbooku v entitě |
Microsoft.Security Přehledy/threatIntelligence/indicators/appendTags/action | Připojení značek k indikátoru analýzy hrozeb |
Microsoft.Security Přehledy/threatIntelligence/indicators/query/action | Indikátory analýzy hrozeb dotazů |
Microsoft.Security Přehledy/threatIntelligence/bulkTag/action | Hromadné značky Analýzy hrozeb |
Microsoft.Security Přehledy/threatIntelligence/indicators/appendTags/action | Připojení značek k indikátoru analýzy hrozeb |
Microsoft.Security Přehledy/threatIntelligence/indicators/replaceTags/action | Nahrazení značek indikátoru analýzy hrozeb |
Microsoft.Security Přehledy/threatIntelligence/queryIndicators/action | Indikátory analýzy hrozeb dotazů |
Microsoft.Security Přehledy/businessApplicationAgents/systems/undoAction/action | Vrácení akce zpět |
Microsoft.Operational Přehledy/workspaces/analytics/query/action | Hledání pomocí nového modulu |
Microsoft.Operational Přehledy/workspaces/*/read | Zobrazení dat Log Analytics |
Microsoft.Operational Přehledy/workspaces/dataSources/read | Získejte zdroj dat v pracovním prostoru. |
Microsoft.Operational Přehledy/workspaces/savedSearches/read | Získá uložený vyhledávací dotaz. |
Microsoft.OperationsManagement/solutions/read | Získání stávajícího řešení OMS |
Microsoft.Operational Přehledy/workspaces/query/read | Spouštění dotazů nad daty v pracovním prostoru |
Microsoft.Operational Přehledy/workspaces/query/*/read | |
Microsoft.Operational Přehledy/workspaces/dataSources/read | Získejte zdroj dat v pracovním prostoru. |
Microsoft.Operational Přehledy/querypacks/*/read | |
Microsoft. Přehledy/ sešity/ čtení | Čtení sešitu |
Microsoft. Přehledy/mojeworkbooky/čtení | |
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
NotActions | |
Microsoft.Security Přehledy/cases/*/Delete | |
Microsoft.Security Přehledy/incidents/*/Delete | |
Microsoft.Security Přehledy/ConfidentialWatchlists/* | |
Microsoft.Operational Přehledy/workspaces/query/ConfidentialWatchlist/* | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce zabezpečení
Zobrazení a aktualizace oprávnění pro Microsoft Defender for Cloud Stejná oprávnění jako role Čtenář zabezpečení a může také aktualizovat zásady zabezpečení a zavřít výstrahy a doporučení.
Informace o Microsoft Defenderu pro IoT najdete v tématu Role uživatelů Azure pro monitorování OT a Enterprise IoT.
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft.Authorization/policyAssignments/* | Vytváření a správa přiřazení zásad |
Microsoft.Authorization/policyDefinitions/* | Vytváření a správa definic zásad |
Microsoft.Authorization/policyExemptions/* | Vytváření a správa výjimek zásad |
Microsoft.Authorization/policySetDefinitions/* | Vytváření a správa sad zásad |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.Management/managementGroups/read | Zobrazí seznam skupin pro správu ověřeného uživatele. |
Microsoft.operational Přehledy/workspaces/*/read | Zobrazení dat Log Analytics |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Security/* | Vytváření a správa komponent zabezpečení a zásad |
Microsoft.IoTSecurity/* | |
Microsoft.IoTFirmwareDefense/* | |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel posouzení zabezpečení
Umožňuje nabízená hodnocení do Microsoft Defenderu pro cloud.
Akce | Popis |
---|---|
Microsoft.Security/assessments/write | Vytvoření nebo aktualizace posouzení zabezpečení ve vašem předplatném |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Security Manager (starší verze)
Jedná se o starší roli. Místo toho použijte Správa zabezpečení.
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft.ClassicCompute/*/read | Čtení informací o konfiguraci klasických virtuálních počítačů |
Microsoft.ClassicCompute/virtualMachines/*/write | Konfigurace zápisu pro klasické virtuální počítače |
Microsoft.ClassicNetwork/*/read | Čtení informací o konfiguraci klasické sítě |
Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
Microsoft.ResourceHealth/availabilityStatuses/read | Získá stav dostupnosti pro všechny prostředky v zadaném oboru. |
Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Security/* | Vytváření a správa komponent zabezpečení a zásad |
Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář zabezpečení
Zobrazení oprávnění pro Microsoft Defender for Cloud Může zobrazit doporučení, výstrahy, zásady zabezpečení a stavy zabezpečení, ale nemůže provádět změny.
Informace o Microsoft Defenderu pro IoT najdete v tématu Role uživatelů Azure pro monitorování OT a Enterprise IoT.
Akce | Popis |
---|---|
Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
Microsoft. Přehledy/ upozornění/ čtení | Čtení klasického upozornění na metriku |
Microsoft.operational Přehledy/workspaces/*/read | Zobrazení dat Log Analytics |
Microsoft.Resources/deployments/*/read | |
Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
Microsoft.Security/*/read | Čtení komponent zabezpečení a zásad |
Microsoft.IoTSecurity/*/read | |
Microsoft.Support/*/read | |
Microsoft.Security/iotDefender Nastavení/packageDownloads/action | Získá informace o balíčcích IoT Defender ke stažení. |
Microsoft.Security/iotDefender Nastavení/downloadManagerActivation/action | Stažení aktivačního souboru správce s daty kvóty předplatného |
Microsoft.Security/iotSensors/downloadResetPassword/action | Stažení souboru pro resetování hesla pro Senzory IoT |
Microsoft.IoTSecurity/defender Nastavení/packageDownloads/action | Získá informace o balíčcích IoT Defender ke stažení. |
Microsoft.IoTSecurity/defender Nastavení/downloadManagerActivation/action | Stažení aktivačního souboru správce |
Microsoft.Management/managementGroups/read | Zobrazí seznam skupin pro správu ověřeného uživatele. |
NotActions | |
žádné | |
Akce dat | |
žádné | |
NotDataActions | |
žádné |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}