Požadavek na oprávnění pro konektor Service Connector

Service Connector vytváří připojení mezi službami Azure pomocí tokenu on-behalf-of. Vytvoření připojení ke konkrétnímu prostředku Azure vyžaduje odpovídající oprávnění.

App Service

Akce	Popis
Microsoft.Web/sites/config/write	Aktualizace nastavení konfigurace webové aplikace
Microsoft.web/sites/config/delete	Odstraňte konfiguraci Web Apps.
Microsoft.Web/sites/config/list/action	Zobrazení seznamu nastavení citlivých na zabezpečení webové aplikace, jako jsou přihlašovací údaje pro publikování, nastavení aplikace a připojovací řetězec
Microsoft.Web/sites/config/Read	Získání nastavení konfigurace webové aplikace
Microsoft.Web/sites/write	Vytvoření nové webové aplikace nebo aktualizace existující webové aplikace
Microsoft.Web/sites/read	Získání vlastností webové aplikace

Slot webové aplikace

Akce	Popis
Microsoft.Web/sites/slots/Write	Vytvoření nového slotu webové aplikace nebo aktualizace existujícího slotu
Microsoft.Web/sites/slots/Read	Získání vlastností slotu nasazení webové aplikace
Microsoft.Web/sites/slots/config/Read	Získání nastavení konfigurace Slotu webové aplikace
Microsoft.Web/sites/slots/config/Write	Aktualizace nastavení konfigurace slotu webové aplikace
microsoft.web/sites/slots/config/delete	Odstraňte konfiguraci slotů Web Apps.
Microsoft.Web/sites/slots/config/list/Action	Zobrazení seznamu nastavení citlivých na zabezpečení slotu web appu, jako jsou přihlašovací údaje pro publikování, nastavení aplikace a připojovací řetězec

Aplikace Azure Spring

Akce	Popis
Microsoft.AppPlatform/Spring/read	Získání instancí služby Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read	Získání aplikací pro konkrétní instanci služby Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/write	Vytvoření nebo aktualizace aplikace pro konkrétní instanci služby Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/deployments/*/read	Získání nasazení pro konkrétní aplikaci
Microsoft.AppPlatform/Spring/apps/deployments/*/write	Vytvoření nebo aktualizace nasazení pro konkrétní aplikaci
Microsoft.AppPlatform/Spring/apps/deployments/*/delete	Odstranění nasazení pro konkrétní aplikaci

Azure Container Apps

Akce	Popis
Microsoft.App/containerApps/read	Získání kontejnerové aplikace
Microsoft.App/containerApps/write	Vytvoření nebo aktualizace kontejnerové aplikace
Microsoft.App/containerApps/listsecrets/action	Výpis tajných kódů aplikace typu kontejner
Microsoft.App/managedEnvironments/read	Získání spravovaného prostředí
Microsoft.App/locations/managedEnvironmentOperationStatuses/read	Získání stavu dlouhotrvající operace spravovaného prostředí
microsoft.app/locations/containerappoperationstatuses/read	Získání stavu dlouhotrvající operace aplikace kontejneru
microsoft.app/locations/containerappoperationresults/read	Získání výsledku dlouhotrvající operace aplikace kontejneru
microsoft.app/locations/managedenvironmentoperationresults/read	Získání výsledku dlouhotrvající operace spravovaného prostředí

Dapr v Azure Container Apps

Akce	Popis
Microsoft.App/managedEnvironments/daprComponents/read	Komponenta Dapr pro čtení spravovaného prostředí
Microsoft.App/managedEnvironments/daprComponents/write	Vytvoření nebo aktualizace komponenty Dapr spravovaného prostředí
Microsoft.App/managedEnvironments/daprComponents/delete	Odstranění komponenty Dapr spravovaného prostředí

Azure Cache for Redis

Akce	Popis
Microsoft.Cache/redis/read	Zobrazení nastavení a konfigurace služby Redis Cache na portálu pro správu
Microsoft.Cache/redis/firewallRules/read	Získání pravidel brány firewall protokolu IP služby Redis Cache
Microsoft.Cache/redis/firewallRules/write	Úprava pravidel brány firewall protokolu IP služby Redis Cache
Microsoft.Cache/redis/firewallRules/delete	Odstranění pravidel brány firewall protokolu IP služby Redis Cache
Microsoft.Cache/redis/listKeys/action	Zobrazení hodnoty přístupových klíčů Redis Cache na portálu pro správu

Azure Cache for Redis Enterprise

Akce	Popis
Microsoft.Cache/redisEnterprise/read	Zobrazení nastavení a konfigurace mezipaměti Redis Enterprise na portálu pro správu
Microsoft.Cache/redisEnterprise/databases/read	Zobrazení nastavení a konfigurace databáze mezipaměti Redis Enterprise na portálu pro správu
Microsoft.Cache/redisEnterprise/databases/listKeys/action	Zobrazení hodnoty přístupových klíčů k databázi Redis Enterprise na portálu pro správu

Azure Database for PostgreSQL

Azure Database for PostgreSQL

Akce	Popis
Microsoft.DBforPostgreSQL/servers/firewallRules/read	Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti zadaného pravidla brány firewall.
Microsoft.DBforPostgreSQL/servers/firewallRules/write	Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete	Odstraní existující pravidlo brány firewall.
Microsoft.DBForPostgreSQL/servers/read	Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBForPostgreSQL/servers/databases/read	Vrátí seznam databází PostgreSQL nebo získá vlastnosti pro zadanou databázi.
Microsoft.DBforPostgreSQL/servers/write	Vytvoří server se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadaný server.

Azure Database for PostgreSQL (koncový bod služby)

Akce	Popis
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read	Vrátí seznam pravidel virtuální sítě nebo získá vlastnosti zadaného pravidla virtuální sítě.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write	Vytvoří pravidlo virtuální sítě se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadané pravidlo virtuální sítě.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete	Odstraní existující pravidlo virtuální sítě.

Flexibilní server Azure Database for PostgreSQL

Akce	Popis
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read	Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti zadaného pravidla brány firewall.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write	Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete	Odstraní existující pravidlo brány firewall.
Microsoft.DBForPostgreSQL/flexibleServers/read	Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read	Vrátí seznam databází serveru PostgreSQL nebo získá databázi pro zadaný server.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read	Vrátí seznam konfigurací serveru PostgreSQL nebo získá konfigurace pro zadaný server.

Azure Database for MySQL

Akce	Popis
Microsoft.DBforMySQL/servers/firewallRules/read	Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti zadaného pravidla brány firewall.
Microsoft.DBforMySQL/servers/firewallRules/write	Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforMySQL/servers/firewallRules/delete	Odstraní existující pravidlo brány firewall.
Microsoft.DBforMySQL/servers/read	Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBforMySQL/servers/databases/read	Vrátí seznam databází MySQL nebo získá vlastnosti pro zadanou databázi.
Microsoft.DBforMySQL/servers/write	Vytvoří server se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadaný server.

Azure Database for MySQL (koncový bod služby)

Akce	Popis
Microsoft.DBforMySQL/servers/virtualNetworkRules/read	Vrátí seznam pravidel virtuální sítě nebo získá vlastnosti zadaného pravidla virtuální sítě.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write	Vytvoří pravidlo virtuální sítě se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadané pravidlo virtuální sítě.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete	Odstraní existující pravidlo virtuální sítě.

Flexibilní server Azure Database for MySQL

Akce	Popis
Microsoft.DBforMySQL/flexibleServers/firewallRules/read	Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti pro zadané pravidlo brány firewall.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write	Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete	Odstraní existující pravidlo brány firewall.
Microsoft.DBforMySQL/flexibleServers/read	Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBforMySQL/flexibleServers/databases/read	Vrátí seznam databází pro server nebo získá vlastnosti pro zadanou databázi.
Microsoft.DBforMySQL/flexibleServers/configurations/read	Vrátí seznam konfigurací serveru MySQL nebo získá konfigurace pro zadaný server.

Azure App Configuration

Akce	Popis
Microsoft.AppConfiguration/configurationStores/ListKeys/action	Zobrazí seznam klíčů rozhraní API pro zadané úložiště konfigurace.
Microsoft.AppConfiguration/configurationStores/read	Získá vlastnosti zadaného úložiště konfigurace nebo zobrazí seznam všech úložišť konfigurace v zadané skupině prostředků nebo předplatném.

Azure Event Hubs

Akce	Popis
Microsoft.EventHub/namespaces/read	Získání seznamu Namespace popis prostředku
Microsoft.EventHub/namespaces/ipFilterRules/read	Získání prostředku filtru IP adres
Microsoft.EventHub/namespaces/ipFilterRules/write	Vytvoření prostředku filtru IP adres
Microsoft.EventHub/namespaces/ipFilterRules/delete	Odstranění prostředku filtru IP adres
Microsoft.EventHub/namespaces/networkrulesets/read	Získá prostředek NetworkRuleSet.
Microsoft.EventHub/namespaces/networkrulesets/write	Vytvoření prostředku pravidla virtuální sítě
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action	Získání připojovacího řetězce k Namespace

Azure Service Bus

Akce	Popis
Microsoft.ServiceBus/namespaces/read	Získání seznamu Namespace popis prostředku
Microsoft.ServiceBus/namespaces/ipFilterRules/read	Získání prostředku filtru IP adres
Microsoft.ServiceBus/namespaces/ipFilterRules/write	Vytvoření prostředku filtru IP adres
Microsoft.ServiceBus/namespaces/ipFilterRules/delete	Odstranění prostředku filtru IP adres
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action	Získání připojovacího řetězce k Namespace
Microsoft.ServiceBus/namespaces/networkrulesets/read	Získá prostředek NetworkRuleSet.
Microsoft.ServiceBus/namespaces/networkrulesets/write	Vytvoření prostředku pravidla virtuální sítě

Azure Blob Storage

Akce	Popis
Microsoft.Storage/storageAccounts/read	Vrátí seznam účtů úložiště nebo získá vlastnosti zadaného účtu úložiště.
Microsoft.Storage/storageAccounts/write	Vytvoří účet úložiště se zadanými parametry nebo aktualizuje vlastnosti nebo značky nebo přidá vlastní doménu pro zadaný účet úložiště.
Microsoft.Storage/storageAccounts/listkeys/action	Vrátí přístupové klíče pro zadaný účet úložiště.

Azure SignalR Service

Akce	Popis
Microsoft.SignalRService/SignalR/read	Zobrazení nastavení a konfigurací služby SignalR na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/SignalR/write	Úprava nastavení a konfigurací služby SignalR na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/locations/operationresults/signalr/read	Dotaz na výsledek asynchronní operace založené na umístění
Microsoft.SignalRService/locations/operationStatuses/signalr/read	Dotazování na stav asynchronní operace založené na umístění
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action	Zobrazení hodnoty přístupových klíčů SignalR na portálu pro správu nebo prostřednictvím rozhraní API

Služba Azure Web PubSub

Akce	Popis
Microsoft.SignalRService/WebPubSub/read	Zobrazení nastavení a konfigurací webpubsub na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/WebPubSub/write	Úprava nastavení a konfigurací webPubSub na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/locations/operationresults/webpubsub/read	Dotaz na výsledek asynchronní operace založené na umístění
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read	Dotazování na stav asynchronní operace založené na umístění
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read	Zobrazení hodnoty přístupových klíčů WebPubSub na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/WebPubSub/listkeys/action	Zobrazení hodnoty přístupových klíčů WebPubSub na portálu pro správu nebo prostřednictvím rozhraní API

Azure Cosmos DB

Upozorňující

Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Ověřovací tok popsaný v tomto postupu vyžaduje velmi vysoký stupeň důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.

Akce	Popis
Microsoft.DocumentDB/databaseAccounts/read	Načte účet databáze.
Microsoft.DocumentDB/databaseAccounts/write	Aktualizujte databázové účty.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action	Získání připojovací řetězec pro databázový účet
Microsoft.DocumentDB/databaseAccounts/listKeys/action	Výpis klíčů databázového účtu

Azure SQL Database

Akce	Popis
Microsoft.Sql/servers/firewallRules/read	Vrátí seznam pravidel brány firewall serveru nebo získá vlastnosti pro zadané pravidlo brány firewall serveru.
Microsoft.Sql/servers/firewallRules/write	Vytvoří pravidlo brány firewall serveru se zadanými parametry, aktualizuje vlastnosti zadaného pravidla nebo přepíše všechna existující pravidla novými pravidly brány firewall serveru.
Microsoft.Sql/servers/firewallRules/delete	Odstraní existující pravidlo brány firewall serveru.
Microsoft.Sql/servers/databases/read	Vrátí seznam databází nebo získá vlastnosti pro zadanou databázi.
Microsoft.Sql/servers/read	Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.Sql/servers/virtualNetworkRules/read	Vrátí seznam pravidel virtuální sítě nebo získá vlastnosti zadaného pravidla virtuální sítě.
Microsoft.Sql/servers/virtualNetworkRules/write	Vytvoří pravidlo virtuální sítě se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadané pravidlo virtuální sítě.
Microsoft.Sql/servers/virtualNetworkRules/delete	Odstraní existující pravidlo virtuální sítě.

Azure Key Vault

Akce	Popis
Microsoft.KeyVault/vaults/write	Vytvoří nový trezor klíčů nebo aktualizuje vlastnosti existujícího trezoru klíčů. Některé vlastnosti mohou vyžadovat více oprávnění.
Microsoft.KeyVault/vaults/read	Zobrazení vlastností trezoru klíčů
Microsoft.KeyVault/vaults/secrets/write	Vytvoří nový tajný klíč nebo aktualizuje hodnotu existujícího tajného kódu.
Microsoft.KeyVault/vaults/accessPolicies/write	Aktualizuje existující zásady přístupu sloučením nebo nahrazením nebo přidáním nové zásady přístupu do trezoru klíčů.

Azure Cosmos DB

Akce	Popis
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read	Čtení definice role SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write	Vytvoření nebo aktualizace definice role SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete	Odstranění přiřazení role SQL

Spravovaná identita / připojení související s instančním objektem

Konektor služby může potřebovat udělit oprávnění spravované identitě nebo instančnímu objektu, pokud je připojení vytvořené s těmito typy ověřování. Následující tabulka uvádí požadavky na oprávnění pro vytvoření připojení v tomto scénáři.

Akce	Popis
Microsoft.Authorization/roleAssignments/read	Získejte informace o přiřazení role.
Microsoft.Authorization/roleAssignments/write	Vytvořte přiřazení role v zadaném oboru.
Microsoft.Authorization/roleAssignments/delete	Odstraňte přiřazení role v zadaném oboru.

Připojení spravovaných identit přiřazených uživatelem

Service Connector může potřebovat udělit oprávnění spravované identitě přiřazené uživatelem, pokud se s ním vytvoří připojení jako typ ověřování. Následující tabulka uvádí požadavky na oprávnění pro vytvoření připojení v tomto scénáři.

Akce	Popis
Microsoft.ManagedIdentity/userAssignedIdentities/read	Získá existující identitu přiřazenou uživatelem.
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action	Akce RBAC pro přiřazení existující identity přiřazené uživatelem k prostředku
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read	Získání nebo výpis přihlašovacích údajů federované identity
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write	Přidání nebo aktualizace přihlašovacích údajů federované identity
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete	Odstranění přihlašovacích údajů federované identity

Oprávnění související s privátním koncovým bodem nebo koncovým bodem služby

Pokud se jako síťové řešení vytvoří připojení s privátním koncovým bodem nebo koncovým bodem služby, může být potřeba službě Service Connector udělit oprávnění k vaší identitě. Následující tabulka uvádí požadavky na oprávnění pro vytvoření připojení v tomto scénáři.

Akce	Popis
Microsoft.Network/publicIPAddresses/read	Získá definici veřejné IP adresy.
Microsoft.Network/virtualNetworks/subnets/read	Získá definici podsítě virtuální sítě.
Microsoft.Network/virtualNetworks/subnets/write	Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě.
Microsoft.Network/privateEndpoints/read	Získá prostředek privátního koncového bodu.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action	Připojí prostředek, jako je účet úložiště nebo databáze SQL, k podsíti. Nelze upozorňovat.
Microsoft.Network/networkSecurityGroups/join/action	Připojí skupinu zabezpečení sítě. Nelze upozorňovat.
Microsoft.Network/serviceEndpointPolicies/join/action	Připojí zásadu koncového bodu služby. Nelze upozorňovat.
Microsoft.Network/natGateways/join/action	Připojí se ke službě NAT Gateway.
Microsoft.Network/networkIntentPolicies/join/action	Připojí zásadu záměru sítě. Nelze upozorňovat.
Microsoft.Network/networkSecurityGroups/join/action	Připojí skupinu zabezpečení sítě. Nelze upozorňovat.
Microsoft.Network/routeTables/join/action	Spojí směrovací tabulku. Nelze upozorňovat.

Vysoká dostupnost