Předdefinované role Azure pro zabezpečení
Tento článek obsahuje seznam předdefinovaných rolí Azure v kategorii Zabezpečení.
Správce automatizace dodržování předpisů aplikací
Umožňuje vytvářet, číst, stahovat, upravovat a odstraňovat objekty sestav a související další objekty prostředků.
| Akce | Popis |
|---|---|
| Microsoft.AppComplianceAutomation/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | Vrátí výsledek vlastností služby blob put. |
| Microsoft.Storage/storageAccounts/fileservices/write | Vložení vlastností souborové služby |
| Microsoft.Storage/storageAccounts/listKeys/action | Vrátí přístupové klíče pro zadaný účet úložiště. |
| Microsoft.Storage/storageAccounts/write | Vytvoří účet úložiště se zadanými parametry nebo aktualizuje vlastnosti nebo značky nebo přidá vlastní doménu pro zadaný účet úložiště. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Vrátí klíč delegování uživatele pro službu blob. |
| Microsoft.Storage/storageAccounts/read | Vrátí seznam účtů úložiště nebo získá vlastnosti zadaného účtu úložiště. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Vrátí seznam kontejnerů. |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Vrátí výsledek kontejneru objektů blob put. |
| Microsoft.Storage/storageAccounts/blobServices/read | Vrátí vlastnosti nebo statistiky služby Blob Service. |
| Microsoft.PolicyInsights/policyStates/queryResults/action | Zadejte dotaz na informace o stavech zásad. |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | Aktivuje nové vyhodnocení dodržování předpisů pro vybraný obor. |
| Microsoft.Resources/resources/read | Získejte seznam prostředků na základě filtrů. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | Získá prostředky pro skupinu prostředků. |
| Microsoft.Resources/subscriptions/resources/read | Získá prostředky předplatného. |
| Microsoft.Resources/subscriptions/resourceGroups/delete | Odstraní skupinu prostředků a všechny její prostředky. |
| Microsoft.Resources/subscriptions/resourceGroups/write | Vytvoří nebo aktualizuje skupinu prostředků. |
| Microsoft.Resources/tags/read | Získá všechny značky prostředku. |
| Microsoft.Resources/deployments/validate/action | Ověří nasazení. |
| Microsoft.Security/automations/read | Získá automatizace pro obor. |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Security/automations/delete | Odstraní automatizaci pro obor. |
| Microsoft.Security/automations/write | Vytvoří nebo aktualizuje automatizaci pro obor. |
| Microsoft.Security/register/action | Zaregistruje předplatné pro Azure Security Center. |
| Microsoft.Security/unregister/action | Zrušení registrace předplatného ze služby Azure Security Center |
| */read | Čtení všech typů prostředků kromě tajných kódů. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář automatizace dodržování předpisů aplikací
Přečtěte si, stáhněte si objekty sestav a související další objekty prostředků.
| Akce | Popis |
|---|---|
| */read | Čtení všech typů prostředků kromě tajných kódů. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel ověření identity
Může číst zápis nebo odstranit instanci zprostředkovatele ověření identity.
| Akce | Popis |
|---|---|
| Microsoft.Attestation/attestationProviders/attestationProviders/attestation/read | Získá stav služby ověření identity. |
| Microsoft.Attestation/attestationProviders/attestation/write | Přidá službu ověření identity. |
| Microsoft.Attestation/attestationProviders/attestationProviders/attestation/delete | Odebere službu ověření identity. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář ověření identity
Může číst vlastnosti zprostředkovatele ověření identity.
| Akce | Popis |
|---|---|
| Microsoft.Attestation/attestationProviders/attestationProviders/attestation/read | Získá stav služby ověření identity. |
| Microsoft.Attestation/attestationProviders/read | Získá stav služby ověření identity. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce služby Key Vault
Proveďte všechny operace roviny dat v trezoru klíčů a všech objektů v něm, včetně certifikátů, klíčů a tajných kódů. Nejde spravovat prostředky trezoru klíčů ani spravovat přiřazení rolí. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
| Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel certifikátu služby Key Vault
Přečtěte si obsah certifikátu. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| žádné | |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/certificates/read | Výpis certifikátů v zadaném trezoru klíčů nebo získání informací o certifikátu |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Získá hodnotu tajného kódu. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Umožňuje zobrazit nebo zobrazit vlastnosti tajného klíče, ale ne její hodnotu. |
| Microsoft.KeyVault/vaults/keys/read | Výpis klíčů v zadaném trezoru nebo čtení vlastností a veřejného materiálu klíče U asymetrických klíčů tato operace zveřejňuje veřejný klíč a zahrnuje schopnost provádět algoritmy veřejného klíče, jako je šifrování a ověření podpisu. Privátní klíče a symetrické klíče se nikdy nevystavují. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Officer pro certifikáty služby Key Vault
Proveďte jakoukoli akci s certifikáty trezoru klíčů s výjimkou oprávnění pro správu. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
| Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | Spravovat kontakt certifikátu |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel služby Key Vault
Správa trezorů klíčů, ale neumožňuje přiřazovat role v Azure RBAC a neumožňuje přístup k tajným klíčům, klíčům nebo certifikátům.
Důležité
Při použití modelu oprávnění zásad přístupu může uživatel s Contributorrolí , Key Vault Contributornebo jakoukoli jinou roli, která zahrnuje Microsoft.KeyVault/vaults/write oprávnění pro rovinu správy trezoru klíčů, udělit přístup k rovině dat nastavením zásad přístupu ke službě Key Vault. Pokud chcete zabránit neoprávněnému přístupu a správě trezorů klíčů, klíčů, tajných kódů a certifikátů, je nezbytné omezit přístup role přispěvatele k trezorům klíčů v rámci modelu oprávnění zásad přístupu. Pokud chcete toto riziko zmírnit, doporučujeme použít model oprávnění řízení přístupu na základě role (RBAC), který omezuje správu oprávnění na role Vlastník a Správce uživatelských přístupů, což umožňuje jasné oddělení mezi operacemi zabezpečení a administrativními povinnostmi. Další informace najdete v průvodci RBAC služby Key Vault a co je Azure RBAC?
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | Vymazání obnovitelného odstraněného trezoru klíčů |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kryptografický důstojník key vaultu
Proveďte všechny akce s klíči trezoru klíčů s výjimkou oprávnění pro správu. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
| Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel šifrování šifrovací služby Key Vault
Čtení metadat klíčů a provádění operací zabalení/rozbalení Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | Vytvoření nebo aktualizace odběru události |
| Microsoft.EventGrid/eventSubscriptions/read | Čtení odběru události |
| Microsoft.EventGrid/eventSubscriptions/delete | Odstranění odběru události |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/keys/read | Výpis klíčů v zadaném trezoru nebo čtení vlastností a veřejného materiálu klíče U asymetrických klíčů tato operace zveřejňuje veřejný klíč a zahrnuje schopnost provádět algoritmy veřejného klíče, jako je šifrování a ověření podpisu. Privátní klíče a symetrické klíče se nikdy nevystavují. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Zabalí symetrický klíč pomocí klíče služby Key Vault. Všimněte si, že pokud je klíč služby Key Vault asymetrický, může tuto operaci provádět objekty zabezpečení s přístupem pro čtení. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Rozbalí symetrický klíč pomocí klíče služby Key Vault. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel kryptografických služeb služby Key Vault
Klíče vydaných verzí Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| žádné | |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/keys/release/action | Uvolněte klíč pomocí veřejné části klíče KEK z tokenu ověření identity. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel kryptografických služeb Key Vault
Provádění kryptografických operací pomocí klíčů Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| žádné | |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/keys/read | Výpis klíčů v zadaném trezoru nebo čtení vlastností a veřejného materiálu klíče U asymetrických klíčů tato operace zveřejňuje veřejný klíč a zahrnuje schopnost provádět algoritmy veřejného klíče, jako je šifrování a ověření podpisu. Privátní klíče a symetrické klíče se nikdy nevystavují. |
| Microsoft.KeyVault/vaults/keys/update/action | Aktualizuje zadané atributy přidružené k danému klíči. |
| Microsoft.KeyVault/vaults/keys/backup/action | Vytvoří záložní soubor klíče. Soubor se dá použít k obnovení klíče ve službě Key Vault stejného předplatného. Mohou platit omezení. |
| Microsoft.KeyVault/vaults/keys/encrypt/action | Šifruje prostý text pomocí klíče. Všimněte si, že pokud je klíč asymetrický, může tuto operaci provádět objekty zabezpečení s přístupem pro čtení. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | Dešifruje šifrový text klíčem. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Zabalí symetrický klíč pomocí klíče služby Key Vault. Všimněte si, že pokud je klíč služby Key Vault asymetrický, může tuto operaci provádět objekty zabezpečení s přístupem pro čtení. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Rozbalí symetrický klíč pomocí klíče služby Key Vault. |
| Microsoft.KeyVault/vaults/keys/sign/action | Podepíše hodnotu hash (hash) zprávy klíčem. |
| Microsoft.KeyVault/vaults/keys/verify/action | Ověří podpis hodnoty hash (hash) zprávy pomocí klíče. Všimněte si, že pokud je klíč asymetrický, může tuto operaci provádět objekty zabezpečení s přístupem pro čtení. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce přístupu k datům služby Key Vault
Spravujte přístup ke službě Azure Key Vault přidáním nebo odebráním přiřazení rolí pro správce služby Key Vault, správce certifikátů služby Key Vault, kryptografického důstojníka služby Key Vault, uživatele šifrování služby Key Vault, uživatele kryptografických služeb Key Vault, čtenáře služby Key Vault, správce tajných kódů služby Key Vault nebo role uživatele tajných kódů služby Key Vault. Zahrnuje podmínku ABAC pro omezení přiřazení rolí.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Vytvořte přiřazení role v zadaném oboru. |
| Microsoft.Authorization/roleAssignments/delete | Odstraňte přiřazení role v zadaném oboru. |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Management/managementGroups/read | Zobrazí seznam skupin pro správu ověřeného uživatele. |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné | |
| Condition (Podmínka) | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Přidejte nebo odeberte přiřazení rolí pro následující role: Správce služby Key Vault Officer pro certifikáty služby Key Vault Kryptografický důstojník key vaultu Uživatel šifrování šifrovací služby Key Vault Uživatel kryptografických služeb Key Vault Čtenář služby Key Vault Key Vault Secrets Officer Uživatel tajných kódů služby Key Vault |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář služby Key Vault
Čtení metadat trezorů klíčů a jeho certifikátů, klíčů a tajných kódů Citlivé hodnoty, jako je obsah tajného kódu nebo materiál klíče, nelze číst. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
| Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Umožňuje zobrazit nebo zobrazit vlastnosti tajného klíče, ale ne její hodnotu. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Secrets Officer
Proveďte jakoukoli akci s tajnými klíči trezoru klíčů s výjimkou oprávnění pro správu. Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| Microsoft.KeyVault/checkNameAvailability/read | Kontroluje platnost názvu trezoru klíčů a nepoužívá se. |
| Microsoft.KeyVault/deletedVaults/read | Zobrazení vlastností trezorů klíčů s obnovitelném odstraněním |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Uvádí operace dostupné u poskytovatele prostředků Microsoft.KeyVault. |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/secrets/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel tajných kódů služby Key Vault
Čtení obsahu tajných kódů Funguje jenom pro trezory klíčů, které používají model oprávnění Řízení přístupu na základě role v Azure.
| Akce | Popis |
|---|---|
| žádné | |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Získá hodnotu tajného kódu. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Umožňuje zobrazit nebo zobrazit vlastnosti tajného klíče, ale ne její hodnotu. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel spravovaného HSM
Umožňuje spravovat spravované fondy HSM, ale ne přístup k nim.
| Akce | Popis |
|---|---|
| Microsoft.KeyVault/managedHSMs/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | Zobrazení vlastností odstraněného spravovaného hsm |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | Zobrazení vlastností odstraněného spravovaného hsm |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Vymazání obnovitelně odstraněného spravovaného hsmu |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | Kontrola výsledku dlouhotrvající operace |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel služby Microsoft Sentinel Automation
Přispěvatel služby Microsoft Sentinel Automation
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Logic/workflows/triggers/read | Přečte trigger. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Získá adresu URL zpětného volání pro trigger. |
| Microsoft.Logic/workflows/runs/read | Přečte spuštění pracovního postupu. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Zobrazení seznamu aktivačních událostí pracovního postupu Hostruntime pro Web Apps |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Získání identifikátoru URI triggeru pracovního postupu Hostruntime pro Web Apps |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Zobrazit seznam spuštění pracovního postupu Hostruntime pro Web Apps |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel služby Microsoft Sentinel
Přispěvatel služby Microsoft Sentinel
| Akce | Popis |
|---|---|
| Microsoft.SecurityInsights/* | |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Hledání pomocí nového modulu |
| Microsoft.OperationalInsights/workspaces/*/read | Zobrazení dat Log Analytics |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | |
| Microsoft.OperationsManagement/solutions/read | Získání stávajícího řešení OMS |
| Microsoft.OperationalInsights/workspaces/query/read | Spouštění dotazů nad daty v pracovním prostoru |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Získejte zdroj dat v pracovním prostoru. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/* | |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operátor playbooku Microsoft Sentinel
Operátor playbooku Microsoft Sentinel
| Akce | Popis |
|---|---|
| Microsoft.Logic/workflows/read | Přečte pracovní postup. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Získá adresu URL zpětného volání pro trigger. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Získání identifikátoru URI triggeru pracovního postupu Hostruntime pro Web Apps |
| Microsoft.Web/sites/read | Získání vlastností webové aplikace |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář služby Microsoft Sentinel
Čtenář služby Microsoft Sentinel
| Akce | Popis |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Kontrola autorizace uživatele a licence |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Indikátory analýzy hrozeb dotazů |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Indikátory analýzy hrozeb dotazů |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Hledání pomocí nového modulu |
| Microsoft.OperationalInsights/workspaces/*/read | Zobrazení dat Log Analytics |
| Microsoft.OperationalInsights/workspaces/LinkedServices/read | Získejte propojené služby v rámci daného pracovního prostoru. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Získá uložený vyhledávací dotaz. |
| Microsoft.OperationsManagement/solutions/read | Získání stávajícího řešení OMS |
| Microsoft.OperationalInsights/workspaces/query/read | Spouštění dotazů nad daty v pracovním prostoru |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Získejte zdroj dat v pracovním prostoru. |
| Microsoft.Insights/workbooks/read | Čtení sešitu |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Resources/templateSpecs/*/read | Získání nebo výpis specifikací šablon a verzí specifikací šablon |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Respondér služby Microsoft Sentinel
Respondér služby Microsoft Sentinel
| Akce | Popis |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Kontrola autorizace uživatele a licence |
| Microsoft.SecurityInsights/automationRules/* | |
| Microsoft.SecurityInsights/cases/* | |
| Microsoft.SecurityInsights/incidents/* | |
| Microsoft.SecurityInsights/entities/runPlaybook/action | Spuštění playbooku v entitě |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Připojení značek k indikátoru analýzy hrozeb |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Indikátory analýzy hrozeb dotazů |
| Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | Hromadné značky Analýzy hrozeb |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Připojení značek k indikátoru analýzy hrozeb |
| Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | Nahrazení značek indikátoru analýzy hrozeb |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Indikátory analýzy hrozeb dotazů |
| Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | Vrácení akce zpět |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Hledání pomocí nového modulu |
| Microsoft.OperationalInsights/workspaces/*/read | Zobrazení dat Log Analytics |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Získejte zdroj dat v pracovním prostoru. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Získá uložený vyhledávací dotaz. |
| Microsoft.OperationsManagement/solutions/read | Získání stávajícího řešení OMS |
| Microsoft.OperationalInsights/workspaces/query/read | Spouštění dotazů nad daty v pracovním prostoru |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Získejte zdroj dat v pracovním prostoru. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/read | Čtení sešitu |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| Microsoft.SecurityInsights/cases/*/Delete | |
| Microsoft.SecurityInsights/incidents/*/Delete | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce zabezpečení
Zobrazení a aktualizace oprávnění pro Microsoft Defender for Cloud Stejná oprávnění jako role Čtenář zabezpečení a může také aktualizovat zásady zabezpečení a zavřít výstrahy a doporučení.
Informace o Microsoft Defenderu pro IoT najdete v tématu Role uživatelů Azure pro monitorování OT a Enterprise IoT.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Authorization/policyAssignments/* | Vytváření a správa přiřazení zásad |
| Microsoft.Authorization/policyDefinitions/* | Vytváření a správa definic zásad |
| Microsoft.Authorization/policyExemptions/* | Vytváření a správa výjimek zásad |
| Microsoft.Authorization/policySetDefinitions/* | Vytváření a správa sad zásad |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Management/managementGroups/read | Zobrazí seznam skupin pro správu ověřeného uživatele. |
| Microsoft.operationalInsights/workspaces/*/read | Zobrazení dat Log Analytics |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Security/* | Vytváření a správa komponent zabezpečení a zásad |
| Microsoft.IoTSecurity/* | |
| Microsoft.IoTFirmwareDefense/* | |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel posouzení zabezpečení
Umožňuje nabízená hodnocení do Microsoft Defenderu pro cloud.
| Akce | Popis |
|---|---|
| Microsoft.Security/assessments/write | Vytvoření nebo aktualizace posouzení zabezpečení ve vašem předplatném |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Security Manager (starší verze)
Jedná se o starší roli. Místo toho použijte správce zabezpečení.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.ClassicCompute/*/read | Čtení informací o konfiguraci klasických virtuálních počítačů |
| Microsoft.ClassicCompute/virtualMachines/*/write | Konfigurace zápisu pro klasické virtuální počítače |
| Microsoft.ClassicNetwork/*/read | Čtení informací o konfiguraci klasické sítě |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.ResourceHealth/availabilityStatuses/read | Získá stav dostupnosti pro všechny prostředky v zadaném oboru. |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Security/* | Vytváření a správa komponent zabezpečení a zásad |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář zabezpečení
Zobrazení oprávnění pro Microsoft Defender for Cloud Může zobrazit doporučení, výstrahy, zásady zabezpečení a stavy zabezpečení, ale nemůže provádět změny.
Informace o Microsoft Defenderu pro IoT najdete v tématu Role uživatelů Azure pro monitorování OT a Enterprise IoT.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/read | Čtení klasického upozornění na metriku |
| Microsoft.operationalInsights/workspaces/*/read | Zobrazení dat Log Analytics |
| Microsoft.Resources/deployments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Security/*/read | Čtení komponent zabezpečení a zásad |
| Microsoft.IoTSecurity/*/read | |
| Microsoft.Support/*/read | |
| Microsoft.Security/iotDefenderSettings/packageDownloads/action | Získá informace o balíčcích IoT Defender ke stažení. |
| Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | Stažení aktivačního souboru správce s daty kvóty předplatného |
| Microsoft.Security/iotSensors/downloadResetPassword/action | Stažení souboru pro resetování hesla pro Senzory IoT |
| Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | Získá informace o balíčcích IoT Defender ke stažení. |
| Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | Stažení aktivačního souboru správce |
| Microsoft.Management/managementGroups/read | Zobrazí seznam skupin pro správu ověřeného uživatele. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}