Požadavek na oprávnění pro konektor Service Connector
Článek 10/14/2024
Přispěvatelé: 2
Váš názor
V tomto článku
Service Connector vytváří připojení mezi službami Azure pomocí tokenu on-behalf-of. Vytvoření připojení ke konkrétnímu prostředku Azure vyžaduje odpovídající oprávnění.
App Service
Akce
Popis
Microsoft.Web/sites/config/write
Aktualizace nastavení konfigurace webové aplikace
Microsoft.web/sites/config/delete
Odstraňte konfiguraci Web Apps.
Microsoft.Web/sites/config/list/action
Zobrazení seznamu nastavení citlivých na zabezpečení webové aplikace, jako jsou přihlašovací údaje pro publikování, nastavení aplikace a připojovací řetězec
Microsoft.Web/sites/config/Read
Získání nastavení konfigurace webové aplikace
Microsoft.Web/sites/write
Vytvoření nové webové aplikace nebo aktualizace existující webové aplikace
Microsoft.Web/sites/read
Získání vlastností webové aplikace
Slot webové aplikace
Akce
Popis
Microsoft.Web/sites/slots/Write
Vytvoření nového slotu webové aplikace nebo aktualizace existujícího slotu
Microsoft.Web/sites/slots/Read
Získání vlastností slotu nasazení webové aplikace
Microsoft.Web/sites/slots/config/Read
Získání nastavení konfigurace Slotu webové aplikace
Microsoft.Web/sites/slots/config/Write
Aktualizace nastavení konfigurace slotu webové aplikace
microsoft.web/sites/slots/config/delete
Odstraňte konfiguraci slotů Web Apps.
Microsoft.Web/sites/slots/config/list/Action
Zobrazení seznamu nastavení citlivých na zabezpečení slotu web appu, jako jsou přihlašovací údaje pro publikování, nastavení aplikace a připojovací řetězec
Aplikace Azure Spring
Akce
Popis
Microsoft.AppPlatform/Spring/read
Získání instancí služby Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read
Získání aplikací pro konkrétní instanci služby Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/write
Vytvoření nebo aktualizace aplikace pro konkrétní instanci služby Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/deployments/*/read
Získání nasazení pro konkrétní aplikaci
Microsoft.AppPlatform/Spring/apps/deployments/*/write
Vytvoření nebo aktualizace nasazení pro konkrétní aplikaci
Microsoft.AppPlatform/Spring/apps/deployments/*/delete
Odstranění nasazení pro konkrétní aplikaci
Azure Container Apps
Akce
Popis
Microsoft.App/containerApps/read
Získání kontejnerové aplikace
Microsoft.App/containerApps/write
Vytvoření nebo aktualizace kontejnerové aplikace
Microsoft.App/containerApps/listsecrets/action
Výpis tajných kódů aplikace typu kontejner
Microsoft.App/managedEnvironments/read
Získání spravovaného prostředí
Microsoft.App/locations/managedEnvironmentOperationStatuses/read
Získání stavu dlouhotrvající operace spravovaného prostředí
microsoft.app/locations/containerappoperationstatuses/read
Získání stavu dlouhotrvající operace aplikace kontejneru
microsoft.app/locations/containerappoperationresults/read
Získání výsledku dlouhotrvající operace aplikace kontejneru
microsoft.app/locations/managedenvironmentoperationresults/read
Získání výsledku dlouhotrvající operace spravovaného prostředí
Dapr v Azure Container Apps
Akce
Popis
Microsoft.App/managedEnvironments/daprComponents/read
Komponenta Dapr pro čtení spravovaného prostředí
Microsoft.App/managedEnvironments/daprComponents/write
Vytvoření nebo aktualizace komponenty Dapr spravovaného prostředí
Microsoft.App/managedEnvironments/daprComponents/delete
Odstranění komponenty Dapr spravovaného prostředí
Azure Cache for Redis
Akce
Popis
Microsoft.Cache/redis/read
Zobrazení nastavení a konfigurace služby Redis Cache na portálu pro správu
Microsoft.Cache/redis/firewallRules/read
Získání pravidel brány firewall protokolu IP služby Redis Cache
Microsoft.Cache/redis/firewallRules/write
Úprava pravidel brány firewall protokolu IP služby Redis Cache
Microsoft.Cache/redis/firewallRules/delete
Odstranění pravidel brány firewall protokolu IP služby Redis Cache
Microsoft.Cache/redis/listKeys/action
Zobrazení hodnoty přístupových klíčů Redis Cache na portálu pro správu
Azure Cache for Redis Enterprise
Akce
Popis
Microsoft.Cache/redisEnterprise/read
Zobrazení nastavení a konfigurace mezipaměti Redis Enterprise na portálu pro správu
Microsoft.Cache/redisEnterprise/databases/read
Zobrazení nastavení a konfigurace databáze mezipaměti Redis Enterprise na portálu pro správu
Microsoft.Cache/redisEnterprise/databases/listKeys/action
Zobrazení hodnoty přístupových klíčů k databázi Redis Enterprise na portálu pro správu
Azure Database for PostgreSQL
Azure Database for PostgreSQL
Akce
Popis
Microsoft.DBforPostgreSQL/servers/firewallRules/read
Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti zadaného pravidla brány firewall.
Microsoft.DBforPostgreSQL/servers/firewallRules/write
Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete
Odstraní existující pravidlo brány firewall.
Microsoft.DBForPostgreSQL/servers/read
Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBForPostgreSQL/servers/databases/read
Vrátí seznam databází PostgreSQL nebo získá vlastnosti pro zadanou databázi.
Microsoft.DBforPostgreSQL/servers/write
Vytvoří server se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadaný server.
Azure Database for PostgreSQL (koncový bod služby)
Akce
Popis
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read
Vrátí seznam pravidel virtuální sítě nebo získá vlastnosti zadaného pravidla virtuální sítě.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write
Vytvoří pravidlo virtuální sítě se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadané pravidlo virtuální sítě.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete
Odstraní existující pravidlo virtuální sítě.
Flexibilní server Azure Database for PostgreSQL
Akce
Popis
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read
Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti zadaného pravidla brány firewall.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write
Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete
Odstraní existující pravidlo brány firewall.
Microsoft.DBForPostgreSQL/flexibleServers/read
Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read
Vrátí seznam databází serveru PostgreSQL nebo získá databázi pro zadaný server.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read
Vrátí seznam konfigurací serveru PostgreSQL nebo získá konfigurace pro zadaný server.
Azure Database for MySQL
Akce
Popis
Microsoft.DBforMySQL/servers/firewallRules/read
Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti zadaného pravidla brány firewall.
Microsoft.DBforMySQL/servers/firewallRules/write
Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforMySQL/servers/firewallRules/delete
Odstraní existující pravidlo brány firewall.
Microsoft.DBforMySQL/servers/read
Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBforMySQL/servers/databases/read
Vrátí seznam databází MySQL nebo získá vlastnosti pro zadanou databázi.
Microsoft.DBforMySQL/servers/write
Vytvoří server se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadaný server.
Azure Database for MySQL (koncový bod služby)
Akce
Popis
Microsoft.DBforMySQL/servers/virtualNetworkRules/read
Vrátí seznam pravidel virtuální sítě nebo získá vlastnosti zadaného pravidla virtuální sítě.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write
Vytvoří pravidlo virtuální sítě se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadané pravidlo virtuální sítě.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete
Odstraní existující pravidlo virtuální sítě.
Flexibilní server Azure Database for MySQL
Akce
Popis
Microsoft.DBforMySQL/flexibleServers/firewallRules/read
Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti pro zadané pravidlo brány firewall.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write
Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete
Odstraní existující pravidlo brány firewall.
Microsoft.DBforMySQL/flexibleServers/read
Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBforMySQL/flexibleServers/databases/read
Vrátí seznam databází pro server nebo získá vlastnosti pro zadanou databázi.
Microsoft.DBforMySQL/flexibleServers/configurations/read
Vrátí seznam konfigurací serveru MySQL nebo získá konfigurace pro zadaný server.
Azure App Configuration
Akce
Popis
Microsoft.AppConfiguration/configurationStores/ListKeys/action
Zobrazí seznam klíčů rozhraní API pro zadané úložiště konfigurace.
Microsoft.AppConfiguration/configurationStores/read
Získá vlastnosti zadaného úložiště konfigurace nebo zobrazí seznam všech úložišť konfigurace v zadané skupině prostředků nebo předplatném.
Azure Event Hubs
Akce
Popis
Microsoft.EventHub/namespaces/read
Získání seznamu Namespace popis prostředku
Microsoft.EventHub/namespaces/ipFilterRules/read
Získání prostředku filtru IP adres
Microsoft.EventHub/namespaces/ipFilterRules/write
Vytvoření prostředku filtru IP adres
Microsoft.EventHub/namespaces/ipFilterRules/delete
Odstranění prostředku filtru IP adres
Microsoft.EventHub/namespaces/networkrulesets/read
Získá prostředek NetworkRuleSet.
Microsoft.EventHub/namespaces/networkrulesets/write
Vytvoření prostředku pravidla virtuální sítě
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action
Získání připojovacího řetězce k Namespace
Azure Service Bus
Akce
Popis
Microsoft.ServiceBus/namespaces/read
Získání seznamu Namespace popis prostředku
Microsoft.ServiceBus/namespaces/ipFilterRules/read
Získání prostředku filtru IP adres
Microsoft.ServiceBus/namespaces/ipFilterRules/write
Vytvoření prostředku filtru IP adres
Microsoft.ServiceBus/namespaces/ipFilterRules/delete
Odstranění prostředku filtru IP adres
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action
Získání připojovacího řetězce k Namespace
Microsoft.ServiceBus/namespaces/networkrulesets/read
Získá prostředek NetworkRuleSet.
Microsoft.ServiceBus/namespaces/networkrulesets/write
Vytvoření prostředku pravidla virtuální sítě
Azure Blob Storage
Akce
Popis
Microsoft.Storage/storageAccounts/read
Vrátí seznam účtů úložiště nebo získá vlastnosti zadaného účtu úložiště.
Microsoft.Storage/storageAccounts/write
Vytvoří účet úložiště se zadanými parametry nebo aktualizuje vlastnosti nebo značky nebo přidá vlastní doménu pro zadaný účet úložiště.
Microsoft.Storage/storageAccounts/listkeys/action
Vrátí přístupové klíče pro zadaný účet úložiště.
Azure SignalR Service
Akce
Popis
Microsoft.SignalRService/SignalR/read
Zobrazení nastavení a konfigurací služby SignalR na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/SignalR/write
Úprava nastavení a konfigurací služby SignalR na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/locations/operationresults/signalr/read
Dotaz na výsledek asynchronní operace založené na umístění
Microsoft.SignalRService/locations/operationStatuses/signalr/read
Dotazování na stav asynchronní operace založené na umístění
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action
Zobrazení hodnoty přístupových klíčů SignalR na portálu pro správu nebo prostřednictvím rozhraní API
Služba Azure Web PubSub
Akce
Popis
Microsoft.SignalRService/WebPubSub/read
Zobrazení nastavení a konfigurací webpubsub na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/WebPubSub/write
Úprava nastavení a konfigurací webPubSub na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/locations/operationresults/webpubsub/read
Dotaz na výsledek asynchronní operace založené na umístění
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read
Dotazování na stav asynchronní operace založené na umístění
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read
Zobrazení hodnoty přístupových klíčů WebPubSub na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/WebPubSub/listkeys/action
Zobrazení hodnoty přístupových klíčů WebPubSub na portálu pro správu nebo prostřednictvím rozhraní API
Azure Cosmos DB
Upozorňující
Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Ověřovací tok popsaný v tomto postupu vyžaduje velmi vysoký stupeň důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.
Akce
Popis
Microsoft.DocumentDB/databaseAccounts/read
Načte účet databáze.
Microsoft.DocumentDB/databaseAccounts/write
Aktualizujte databázové účty.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action
Získání připojovací řetězec pro databázový účet
Microsoft.DocumentDB/databaseAccounts/listKeys/action
Výpis klíčů databázového účtu
Azure SQL Database
Akce
Popis
Microsoft.Sql/servers/firewallRules/read
Vrátí seznam pravidel brány firewall serveru nebo získá vlastnosti pro zadané pravidlo brány firewall serveru.
Microsoft.Sql/servers/firewallRules/write
Vytvoří pravidlo brány firewall serveru se zadanými parametry, aktualizuje vlastnosti zadaného pravidla nebo přepíše všechna existující pravidla novými pravidly brány firewall serveru.
Microsoft.Sql/servers/firewallRules/delete
Odstraní existující pravidlo brány firewall serveru.
Microsoft.Sql/servers/databases/read
Vrátí seznam databází nebo získá vlastnosti pro zadanou databázi.
Microsoft.Sql/servers/read
Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.Sql/servers/virtualNetworkRules/read
Vrátí seznam pravidel virtuální sítě nebo získá vlastnosti zadaného pravidla virtuální sítě.
Microsoft.Sql/servers/virtualNetworkRules/write
Vytvoří pravidlo virtuální sítě se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadané pravidlo virtuální sítě.
Microsoft.Sql/servers/virtualNetworkRules/delete
Odstraní existující pravidlo virtuální sítě.
Azure Key Vault
Akce
Popis
Microsoft.KeyVault/vaults/write
Vytvoří nový trezor klíčů nebo aktualizuje vlastnosti existujícího trezoru klíčů. Některé vlastnosti mohou vyžadovat více oprávnění.
Microsoft.KeyVault/vaults/read
Zobrazení vlastností trezoru klíčů
Microsoft.KeyVault/vaults/secrets/write
Vytvoří nový tajný klíč nebo aktualizuje hodnotu existujícího tajného kódu.
Microsoft.KeyVault/vaults/accessPolicies/write
Aktualizuje existující zásady přístupu sloučením nebo nahrazením nebo přidáním nové zásady přístupu do trezoru klíčů.
Azure Cosmos DB
Akce
Popis
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read
Čtení definice role SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write
Vytvoření nebo aktualizace definice role SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete
Odstranění přiřazení role SQL
Konektor služby může potřebovat udělit oprávnění spravované identitě nebo instančnímu objektu, pokud je připojení vytvořené s těmito typy ověřování. Následující tabulka uvádí požadavky na oprávnění pro vytvoření připojení v tomto scénáři.
Akce
Popis
Microsoft.Authorization/roleAssignments/read
Získejte informace o přiřazení role.
Microsoft.Authorization/roleAssignments/write
Vytvořte přiřazení role v zadaném oboru.
Microsoft.Authorization/roleAssignments/delete
Odstraňte přiřazení role v zadaném oboru.
Připojení spravovaných identit přiřazených uživatelem
Service Connector může potřebovat udělit oprávnění spravované identitě přiřazené uživatelem, pokud se s ním vytvoří připojení jako typ ověřování. Následující tabulka uvádí požadavky na oprávnění pro vytvoření připojení v tomto scénáři.
Akce
Popis
Microsoft.ManagedIdentity/userAssignedIdentities/read
Získá existující identitu přiřazenou uživatelem.
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action
Akce RBAC pro přiřazení existující identity přiřazené uživatelem k prostředku
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read
Získání nebo výpis přihlašovacích údajů federované identity
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write
Přidání nebo aktualizace přihlašovacích údajů federované identity
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete
Odstranění přihlašovacích údajů federované identity
Pokud se jako síťové řešení vytvoří připojení s privátním koncovým bodem nebo koncovým bodem služby, může být potřeba službě Service Connector udělit oprávnění k vaší identitě. Následující tabulka uvádí požadavky na oprávnění pro vytvoření připojení v tomto scénáři.
Akce
Popis
Microsoft.Network/publicIPAddresses/read
Získá definici veřejné IP adresy.
Microsoft.Network/virtualNetworks/subnets/read
Získá definici podsítě virtuální sítě.
Microsoft.Network/virtualNetworks/subnets/write
Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě.
Microsoft.Network/privateEndpoints/read
Získá prostředek privátního koncového bodu.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action
Připojí prostředek, jako je účet úložiště nebo databáze SQL, k podsíti. Nelze upozorňovat.
Microsoft.Network/networkSecurityGroups/join/action
Připojí skupinu zabezpečení sítě. Nelze upozorňovat.
Microsoft.Network/serviceEndpointPolicies/join/action
Připojí zásadu koncového bodu služby. Nelze upozorňovat.
Microsoft.Network/natGateways/join/action
Připojí se ke službě NAT Gateway.
Microsoft.Network/networkIntentPolicies/join/action
Připojí zásadu záměru sítě. Nelze upozorňovat.
Microsoft.Network/networkSecurityGroups/join/action
Připojí skupinu zabezpečení sítě. Nelze upozorňovat.
Microsoft.Network/routeTables/join/action
Spojí směrovací tabulku. Nelze upozorňovat.