Roles integrados en los recursos de Azure
El control de acceso basado en rol de Azure (Azure RBAC) tiene varios roles integrados de Azure que se pueden asignar a usuarios, grupos, entidades de servicio e identidades administradas. Las asignaciones de roles sirven para controlar el acceso a los recursos de Azure. Si los roles integrados no satisfacen las necesidades específicas de la organización, puede crear roles personalizados de Azure propios. Para información sobre cómo asignar roles, consulte Pasos para asignar un rol de Azure.
En este artículo se enumeran los roles integrados de Azure. Si busca roles de administrador para microsoft Entra ID, consulte Roles integrados de Microsoft Entra.
En la tabla siguiente se proporciona una breve descripción de cada rol integrado. Haga clic en el nombre del rol para ver la lista de Actions, NotActions, DataActions y NotDataActions para cada rol. Para obtener información sobre lo que significan estas acciones y cómo se aplican a los planos de control y de datos, consulte Descripción de las definiciones de roles de Azure.
General
| Rol integrado | Descripción | ID |
|---|---|---|
| Colaborador | Concede acceso completo para administrar todos los recursos, pero no le permite asignar roles en Azure RBAC, administrar asignaciones en Azure Blueprints ni compartir galerías de imágenes. | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Propietario | Permite conceder acceso total para administrar todos los recursos, incluida la posibilidad de asignar roles en Azure RBAC. | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
| Lector | Permite ver todos los recursos, pero no realizar ningún cambio. | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Administrador de control de acceso basado en roles | Administra el acceso a los recursos de Azure asignando roles mediante RBAC de Azure. Este rol no permite administrar el acceso de otras formas, como Azure Policy. | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
| Administrador de acceso de usuario | Permite administrar el acceso de usuario a los recursos de Azure. | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
Proceso
| Rol integrado | Descripción | ID |
|---|---|---|
| Colaborador de la máquina virtual clásica | Permite administrar máquinas virtuales clásicas, pero no acceder a ellas, ni tampoco a la red virtual ni la cuenta de almacenamiento a las que están conectadas. | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| Operador de datos para Managed Disks | Proporciona permisos para cargar datos en discos administrados vacíos, leer o exportar datos de discos administrados (no conectados a máquinas virtuales en ejecución) e instantáneas mediante URI de SAS y la autenticación de Azure AD. | 959f8984-c045-4866-89c7-12bf9737be2e |
| Colaborador del grupo de aplicaciones de Desktop Virtualization | Colaborador del grupo de aplicaciones de Desktop Virtualization. | 86240b0e-9422-4c43-887b-b61143f32ba8 |
| Lector del grupo de aplicaciones de Desktop Virtualization | Lector del grupo de aplicaciones de Desktop Virtualization. | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
| Colaborador de virtualización del escritorio | Colaborador de Desktop Virtualization. | 082f0a83-3be5-4ba1-904c-961cca79b387 |
| Colaborador del grupo de hosts de Desktop Virtualization | Colaborador del grupo de hosts de Desktop Virtualization. | e307426c-f9b6-4e81-87de-d99efb3c32bc |
| Lector del grupo de hosts de Desktop Virtualization | Lector del grupo de hosts de Desktop Virtualization. | ceadfde2-b300-400a-ab7b-6143895aa822 |
| Lector de virtualización del escritorio | Lector de Desktop Virtualization. | 49a72310-ab8d-41df-bbb0-79b649203868 |
| Operador de host de sesión de Desktop Virtualization | Operador del host de sesión de Desktop Virtualization. | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
| Usuario de Desktop Virtualization | Permite al usuario emplear las aplicaciones de un grupo de aplicaciones. | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
| Operador de sesión de usuario de Desktop Virtualization | Operador de sesión de usuario de Desktop Virtualization. | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
| Colaborador del área de trabajo de Desktop Virtualization | Colaborador del área de trabajo de Desktop Virtualization. | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
| Lector del área de trabajo de Desktop Virtualization | Lector del área de trabajo de Desktop Virtualization. | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
| Lector de copias de seguridad de disco | Proporciona permiso para realizar copias de seguridad del almacén para realizar copias de seguridad de disco. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| Operador de grupo de discos | Proporcione permiso al proveedor de recursos StoragePool para administrar los discos agregados a un grupo de discos. | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
| Operador de restauración de disco | Proporciona permiso para realizar copias de seguridad del almacén para realizar restauraciones de disco. | b50d9833-a0cb-478e-945f-707fcc997c13 |
| Colaborador de instantáneas de discos | Proporciona permiso para realizar copias de seguridad del almacén para administrar instantáneas de disco. | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
| Inicio de sesión de administrador de Virtual Machine | Visualización de máquinas virtuales en el portal e inicio de sesión como administrador | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
| Colaborador de la máquina virtual | Cree y administre máquinas virtuales, administre discos, instale y ejecute software, restablezca la contraseña del usuario raíz de la máquina virtual mediante extensiones de VM, y administre cuentas de usuario locales mediante extensiones de VM. Este rol no le concede acceso de administración a la red virtual ni a la cuenta de almacenamiento a la que están conectadas las máquinas virtuales. Este rol no le permite asignar roles en Azure RBAC. | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Acceso a datos de máquina virtual Administración istrator (versión preliminar) | Administre el acceso a Virtual Machines mediante la adición o eliminación de asignaciones de roles para los roles Inicio de sesión de administrador de máquina virtual e Inicio de sesión de usuario de máquina virtual. Incluye una condición de ABAC para restringir las asignaciones de roles. | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
| Inicio de sesión de usuario local de máquina virtual | Visualización de Virtual Machines en el portal e inicio de sesión como un usuario local configurado en el servidor de Arc | 602da2ba-a5c2-41da-b01d-5360126ab525 |
| Inicio de sesión de usuario de Virtual Machine | Visualización de máquinas virtuales en el portal e inicio de sesión como usuario normal. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| Inicio de sesión de administrador de Windows Admin Center | Permite administrar el sistema operativo del recurso mediante Windows Admin Center como administrador. | a6333a3e-0164-44c3-b281-7a577aff287f |
Redes
| Rol integrado | Descripción | ID |
|---|---|---|
| Colaborador de dominio de Azure Front Door | Para uso interno en Azure. Puede administrar dominios de Azure Front Door, pero no puede conceder acceso a otros usuarios. | 0ab34830-df19-4f8c-b84e-aa85b8afa6e8 |
| Lector de dominio de Azure Front Door | Para uso interno en Azure. Puede ver los dominios de Azure Front Door, pero no puede realizar cambios. | 0f99d363-226e-4dca-9920-b807cf8e1a5f |
| Lector de perfiles de Azure Front Door | Puede ver los perfiles estándar y premium de AFD y sus puntos de conexión, pero no puede realizar cambios. | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
| Colaborador secreto de Azure Front Door | Para uso interno en Azure. Puede administrar secretos de Azure Front Door, pero no puede conceder acceso a otros usuarios. | 3f2eb865-5811-4578-b90a-6fc6fa0df8e5 |
| Lector de secretos de Azure Front Door | Para uso interno en Azure. Puede ver los secretos de Azure Front Door, pero no puede realizar cambios. | 0db238c4-885e-4c4f-a933-aa2cef684fca |
| Colaborador de punto de conexión de CDN | Puede administrar puntos de conexión de CDN, pero no conceder acceso a otros usuarios. | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| Lector de punto de conexión de CDN | Puede ver puntos de conexión de CDN, pero no hacer cambios. | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| Colaborador de perfil de CDN | Puede administrar los perfiles estándar y premium de CDN y Azure Front Door y sus puntos de conexión, pero no puede conceder acceso a otros usuarios. | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
| Lector de perfil de CDN | Puede ver perfiles de CDN y sus puntos de conexión, pero no hacer cambios. | 8f96442b-4075-438f-813d-ad51ab4019af |
| Colaborador de la red clásica | Permite administrar las redes clásicas, pero no acceder a ellas. | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| Colaborador de zona DNS | Permite administrar zonas y conjuntos de registros DNS en Azure DNS, pero no controlar los usuarios que tienen acceso. | befefa01-2a29-4197-83a8-272ff33ce314 |
| Colaborador de la red | Permite administrar redes, pero no acceder a ellas. | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| Colaborador de zona DNS privada | Permite administrar recursos de zonas DNS privadas, pero no las redes virtuales a las que están vinculados. | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
| Colaborador de Traffic Manager | Le permite administrar perfiles de Traffic Manager, pero no controlar los usuarios que tienen acceso a ellos. | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
Storage
| Rol integrado | Descripción | ID |
|---|---|---|
| Colaborador de Avere | Puede crear y administrar un clúster de Avere vFXT. | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
| Operador de Avere | Lo usa el clúster de Avere vFXT para su administración. | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
| Colaborador de copias de seguridad | Permite administrar el servicio de copias de seguridad, pero no puede crear almacenes ni conceder acceso a otros usuarios | 5e467623-bb1f-42f4-a55d-6e525e11384b |
| Operador de copias de seguridad | Permite administrar los servicios de copias de seguridad, excepto la eliminación de copias de seguridad, la creación de almacenes y la concesión de acceso a otros usuarios | 00c29273-979b-4161-815c-10b084fb9324 |
| Lector de copias de seguridad | Puede ver servicios de copia de seguridad, pero no puede realizar cambios. | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
| Colaborador de cuentas de almacenamiento clásico | Permite administrar cuentas de almacenamiento clásicas, pero no acceder a ellas. | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| Rol de servicio de operador de claves de cuentas de almacenamiento clásicas | Los operadores de claves de cuentas de almacenamiento clásicas pueden enumerar y regenerar claves en cuentas de almacenamiento clásicas | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| Colaborador de Data Box | Permite administrarlo todo en el servicio Data Box, excepto dar acceso a otros usuarios. | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| Lector de Data Box | Permite administrar el servicio Data Box excepto la creación o edición de detalles de pedido y dar acceso a otros usuarios. | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| Desarrollador de Data Lake Analytics | Le permite enviar, supervisar y administrar sus propios trabajos, pero no crear ni eliminar cuentas de Data Lake Analytics. | 47b7735b-770e-4598-a7da-8b91488b4c88 |
| Analizador de datos de Defender for Storage | Concede acceso a la lectura de blobs y a la actualización de etiquetas de índice. El analizador de datos de Defender for Storage usa este rol. | 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40 |
| Propietario de Elastic SAN | Permite el acceso total a todos los recursos de Azure Elastic SAN, incluido el cambio de directivas de seguridad de red para desbloquear el acceso a la ruta de acceso de los datos. | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
| Lector de Elastic SAN | Permite el acceso de lectura a la ruta de acceso de control a Azure Elastic SAN | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
| Propietario del grupo de volúmenes de Elastic SAN | Permite el acceso total a un grupo de volúmenes de Azure Elastic SAN, incluido el cambio de directivas de seguridad de red para desbloquear el acceso a la ruta de acceso de los datos. | a8281131-f312-4f34-8d98-ae12be9f0d23 |
| Lector y acceso a los datos | Permite ver todo el contenido, pero no eliminar ni crear una cuenta de almacenamiento ni un recurso incluido. También permitirá el acceso de lectura o escritura para todos los datos incluidos en una cuenta de almacenamiento a través del acceso a las claves de la cuenta de almacenamiento. | c12c1c16-33a1-487b-954d-41c89c60f349 |
| Colaborador de copia de seguridad de la cuenta de almacenamiento | Permite realizar operaciones de copia de seguridad y restauración mediante Azure Backup en la cuenta de almacenamiento. | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
| Colaborador de la cuenta de almacenamiento | Permite la administración de cuentas de almacenamiento. Proporciona acceso a la clave de cuenta, que puede usarse para tener acceso a datos a través de la autorización de clave compartida. | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
| Rol de servicio de operador de claves de cuentas de almacenamiento | Permite enumerar y regenerar claves de acceso de la cuenta de almacenamiento. | 81a9662b-bebf-436f-a333-f67b29880f12 |
| Colaborador de datos de blobs de almacenamiento | Lee, escribe y elimina blobs y contenedores de Azure Storage. Para obtener información sobre qué acciones son necesarias para una operación de datos determinada, consulte Permisos para llamar a operaciones de datos. | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| Propietario de datos de blobs de almacenamiento | Proporciona acceso total a los contenedores de blobs y los datos de Azure Storage, incluida la asignación de control de acceso POSIX. Para obtener información sobre qué acciones son necesarias para una operación de datos determinada, consulte Permisos para llamar a operaciones de datos. | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
| Lector de datos de blobs de almacenamiento | Lee y enumera blobs y contenedores de Azure Storage. Para obtener información sobre qué acciones son necesarias para una operación de datos determinada, consulte Permisos para llamar a operaciones de datos. | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
| Delegador de Blob Storage | Obtiene una clave de delegación de usuarios, que se puede usar a continuación para crear una firma de acceso compartido para un contenedor o un blob firmado con credenciales de Azure AD. Para más información, vea Creación de SAS de delegación de usuarios. | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
| Colaborador con privilegios de datos de archivos de Storage | Permite leer, escribir, eliminar y modificar las ACL en archivos o directorios de recursos compartidos de archivos de Azure reemplazando los permisos ACL o NTFS existentes. Este rol no tiene ningún equivalente integrado en los servidores de archivos de Windows. | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
| Lector con privilegios de datos de archivos de Storage | Permite el acceso de lectura en archivos o directorios de recursos compartidos de archivos de Azure reemplazando los permisos ACL o NTFS existentes. Este rol no tiene ningún equivalente integrado en los servidores de archivos de Windows. | b8eda974-7b85-4f76-af95-65846b26df6d |
| Colaborador de recursos compartidos de SMB de datos de archivos de Storage | Permite el acceso de lectura, escritura y eliminación a los archivos y directorios de los recursos compartidos de Azure. Este rol no tiene ningún equivalente integrado en los servidores de archivos de Windows. | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
| Colaborador elevado de recursos compartidos de SMB de datos de archivos de Storage | Permite el acceso de lectura, escritura, eliminación y modificación de ACL en los archivos y directorios de los recursos compartidos de Azure. Este rol es equivalente a una ACL de recurso compartido de cambio en los servidores de archivos de Windows. | a7264617-510b-434b-a828-9731dc254ea7 |
| Lector de recursos compartidos de SMB de datos de archivos de Storage | Permite el acceso de lectura a los archivos y directorios de los recursos compartidos de Azure. Este rol es equivalente a una ACL de recurso compartido de lectura en los servidores de archivos de Windows. | aba4ae5f-2193-4029-9191-0cb91df5e314 |
| Colaborador de datos de la cola de Storage | Lee, escribe y elimina los mensajes de la cola y a la cola de Azure Storage. Para obtener información sobre qué acciones son necesarias para una operación de datos determinada, consulte Permisos para llamar a operaciones de datos. | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| Procesador de mensajes de datos de la cola de Storage | Consulta, recupera y elimina un mensaje de una cola de Azure Storage. Para obtener información sobre qué acciones son necesarias para una operación de datos determinada, consulte Permisos para llamar a operaciones de datos. | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
| Emisor de mensajes de datos de la cola de Storage | Agrega mensaje a una cola de Azure Storage. Para obtener información sobre qué acciones son necesarias para una operación de datos determinada, consulte Permisos para llamar a operaciones de datos. | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
| Lector de datos de la cola de Storage | Lee y enumera los mensajes de la cola y las colas de Azure Storage. Para obtener información sobre qué acciones son necesarias para una operación de datos determinada, consulte Permisos para llamar a operaciones de datos. | 19e7f393-937e-4f77-808e-94535e297925 |
| Colaborador de datos de la tabla de almacenamiento | Permite el acceso de lectura, escritura y eliminación a tablas y entidades de Azure Storage | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
| Lector de datos de tabla de Storage | Permite el acceso de lectura a tablas y entidades de Azure Storage | 76199698-9eea-4c19-bc75-cec21354c6b6 |
Web y dispositivos móviles
| Rol integrado | Descripción | ID |
|---|---|---|
| Colaborador de datos de Azure Mapas | Conde acceso para leer, escribir y eliminar datos relacionados con mapas desde una cuenta de mapas de Azure. | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
| Azure Maps Data Reader | Concede acceso de lectura a los datos de los mapas de una cuenta de Azure Maps. | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
| Colaborador del servidor de configuración de Azure Spring Cloud | Permite el acceso de lectura, escritura y eliminación en Config Server en Azure Spring Cloud. | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
| Lector del servidor de configuración de Azure Spring Cloud | Permite el acceso de lectura a Config Server en Azure Spring Cloud. | d04c6db6-4947-4782-9e91-30a88feb7be7 |
| Lector de datos de Azure Spring Cloud | Permite el acceso de lectura a los datos de Azure Spring Cloud. | b5537268-8956-4941-a8f0-646150406f0c |
| Colaborador del Registro del servicio Azure Spring Cloud | Permite el acceso de lectura, escritura y eliminación en el registro de servicios de Azure Spring Cloud. | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
| Lector del Registro del servicio Azure Spring Cloud | Permite el acceso de lectura en el registro de servicios de Azure Spring Cloud. | cff1b556-2399-4e7e-856d-a8f754be7b65 |
| Administrador de cuenta de Media Services | Crear, leer, modificar y eliminar cuentas de Media Services; acceso de solo lectura a otros recursos de Media Services. | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
| Administrador de eventos en directo de Media Services | Crear, leer, modificar y eliminar eventos en directo, recursos, filtros de recursos y localizadores de streaming; acceso de solo lectura a otros recursos de Media Services. | 532bc159-b25e-42c0-969e-a1d439f60d77 |
| Operador multimedia de Media Services | Crear, leer, modificar y eliminar recursos, filtros de recursos, localizadores de streaming y trabajos; acceso de solo lectura a otros recursos de Media Services. | e4395492-1534-4db2-bedf-88c14621589c |
| Administrador de directivas de Media Services | Crear, leer, modificar y eliminar filtros de cuenta, directivas de streaming, directivas de clave de contenido y transformaciones; acceso de solo lectura a otros recursos de Media Services. No puede crear trabajos, recursos o recursos de streaming. | c4bba371-dacd-4a26-b320-7250bca963ae |
| Administrador de puntos de conexión de streaming de Media Services | Crear, leer, modificar y eliminar puntos de conexión de streaming; acceso de solo lectura a otros recursos de Media Services. | 99dba123-b5fe-44d5-874c-ced7199a5804 |
| Lector AccessKey de SignalR | Lee las claves de acceso de SignalR Service. | 04165923-9d83-45d5-8227-78b77b0a687e |
| SignalR App Server | Permite que el servidor de aplicaciones acceda al servicio SignalR con opciones de autenticación de AAD. | 420fcaa2-552c-430f-98ca-3264be4806c7 |
| Propietario de la API REST de SignalR | Acceso completo a las API REST de Azure SignalR Service. | fd53cd77-2268-407a-8f46-7e7863d0f521 |
| Lector de la API REST de SignalR | Acceso de solo lectura a las API REST de Azure SignalR Service. | ddde6b66-c0df-4114-a159-3618637b3035 |
| Propietario de SignalR Service | Acceso completo a las API REST de Azure SignalR Service. | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
| Colaborador de SignalR y Web PubSub | Crea, lee, actualiza y elimina recursos del servicio SignalR. | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
| Colaborador de plan web | Administra los planes web para los sitios web. No le permite asignar roles en RBAC de Azure. | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| Colaborador de sitio web | Administra sitios web, pero no planes web. No le permite asignar roles en RBAC de Azure. | de139f84-1756-47ae-9be6-808fbbe84772 |
Contenedores
| Rol integrado | Descripción | ID |
|---|---|---|
| AcrDelete | Permite eliminar repositorios, etiquetas o manifiestos de un registro de contenedor. | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
| AcrImageSigner | Permite insertar imágenes de confianza en un registro de contenedor habilitado para la confianza en el contenido, así como extraerlas de dicho registro. | 6cef56e8-d556-48e5-a04f-b8e64114680f |
| AcrPull | Permite extraer artefactos de un registro de contenedor. | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
| AcrPush | Permite insertar artefactos en un registro de contenedor, así como extraerlos. | 8311e382-0749-4cb8-b61a-304f252e45ec |
| AcrQuarantineReader | Permite extraer imágenes en cuarentena de un registro de contenedor. | cdda3590-29a3-44f6-95f2-9f980659eb04 |
| AcrQuarantineWriter | Permite insertar imágenes en cuarentena en un registro de contenedor, así como extraerlas. | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
| Rol de usuario del clúster de Kubernetes habilitado para Azure Arc | Permite enumerar las acciones de credenciales de usuario de clúster. | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
| Administrador de Azure Arc Kubernetes | Permite administrar todos los recursos en un clúster o espacio de nombres, excepto actualizar o eliminar cuotas de recursos y espacios de nombres. | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
| Administrador de clústeres de Azure Arc Kubernetes | Permite administrar todos los recursos del clúster. | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
| Visor de Azure Arc Kubernetes | Permite ver todos los recursos del clúster o espacio de nombres, excepto los secretos. | 63f0a09d-1495-4db4-a681-037d84835eb4 |
| Escritor de Azure Arc Kubernetes | Le permite actualizar todo el contenido del clúster o el espacio de nombres, excepto los roles (del clúster) y los enlaces de roles (del clúster). | 5b999177-9696-4545-85c7-50de3797e5a1 |
| Rol colaborador de Fleet Manager de Azure Kubernetes | Concede acceso de lectura y escritura a los recursos de Azure proporcionados por Azure Kubernetes Fleet Manager, incluidas las flotas, los miembros de la flota, las estrategias de actualización de flota, las ejecuciones de actualizaciones de flota, etc. | 63bb64ad-9799-4770-b5c3-24ed299a07bf |
| Administrador de RBAC de Azure Kubernetes Fleet Manager | Concede acceso de lectura y escritura a los recursos de Kubernetes dentro de un espacio de nombres en el clúster del centro administrado por flotas: proporciona permisos de escritura en la mayoría de los objetos de un espacio de nombres, con la excepción del objeto ResourceQuota y el propio objeto de espacio de nombres. Al aplicar este rol en el ámbito del clúster, se proporcionará acceso a todos los espacios de nombres. | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
| Administrador de clústeres de RBAC de Azure Kubernetes Fleet Manager | Concede acceso de lectura y escritura a todos los recursos de Kubernetes del clúster del centro administrado por flotas. | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
| Lector de RBAC de Azure Kubernetes Fleet Manager | Concede acceso de solo lectura a la mayoría de los recursos de Kubernetes dentro de un espacio de nombres en el clúster del centro administrado por flotas. No permite la visualización de roles o enlaces de roles. Este rol no permite visualización de secretos, ya que leer el contenido de estos permite el acceso a las credenciales de ServiceAccount en el espacio de nombres, que permitiría el acceso a la API como cualquier ServiceAccount en el espacio de nombres (una forma de elevación de privilegios). Al aplicar este rol en el ámbito del clúster, se proporcionará acceso a todos los espacios de nombres. | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
| Escritor de RBAC de Azure Kubernetes Fleet Manager | Concede acceso de lectura y escritura a la mayoría de los recursos de Kubernetes dentro de un espacio de nombres en el clúster del centro administrado por flotas. Este rol no permite la visualización o modificación de roles o enlaces de roles. Pero este rol permite acceder a secretos como cualquier ServiceAccount en el espacio de nombres, por lo que se puede usar para obtener los niveles de acceso de la API de cualquier ServiceAccount en el espacio de nombres. Al aplicar este rol en el ámbito del clúster, se proporcionará acceso a todos los espacios de nombres. | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
| Rol de administrador de clúster de Azure Kubernetes Service | Enumerar la acción de credenciales administrativas del clúster. | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
| Usuario de supervisión de clústeres de Azure Kubernetes Service | Enumerar la acción de credenciales de usuario de supervisión del clúster. | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
| Rol de usuario de clúster de Azure Kubernetes Service | Enumerar la acción de credenciales de usuario del clúster. | 4abbcc35-e782-43D8-92c5-2d3f1bd2253f |
| Rol de colaborador de Azure Kubernetes Service | Concede acceso de lectura y escritura a los clústeres de Azure Kubernetes Service | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
| Administrador de Azure Kubernetes Service RBAC | Permite administrar todos los recursos en un clúster o espacio de nombres, excepto actualizar o eliminar cuotas de recursos y espacios de nombres. | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
| Administrador de clúster de Azure Kubernetes Service RBAC | Permite administrar todos los recursos del clúster. | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
| Lector de Azure Kubernetes Service RBAC | Permite el acceso de solo lectura para ver la mayoría de los objetos en un espacio de nombres. No permite la visualización de roles o enlaces de roles. Este rol no permite visualización de secretos, ya que leer el contenido de estos permite el acceso a las credenciales de ServiceAccount en el espacio de nombres, que permitiría el acceso a la API como cualquier ServiceAccount en el espacio de nombres (una forma de elevación de privilegios). Al aplicar este rol en el ámbito del clúster, se proporcionará acceso a todos los espacios de nombres. | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
| Escritor de Azure Kubernetes Service RBAC | Permite el acceso de lectura y escritura para ver la mayoría de los objetos en un espacio de nombres. Este rol no permite la visualización o modificación de roles o enlaces de roles. Sin embargo, este rol permite acceder a secretos y ejecutar pods como cualquier ServiceAccount en el espacio de nombres, por lo que se puede usar para obtener los niveles de acceso de la API de cualquier ServiceAccount en el espacio de nombres. Al aplicar este rol en el ámbito del clúster, se proporcionará acceso a todos los espacios de nombres. | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
| Operador sin agente de Kubernetes | Concede a Microsoft Defender for Cloud acceso a Azure Kubernetes Services | d5a2ae44-610b-4500-93be-660a0c5f5ca6 |
| Clúster de Kubernetes: incorporación de Azure Arc | Definición de roles para permitir crear el recurso connectedClusters a cualquier usuario o servicio | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
| Kubernetes Extension Contributor | Puede crear, actualizar, obtener, enumerar y eliminar extensiones de Kubernetes y obtener operaciones asincrónicas de extensión. | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
Bases de datos
| Rol integrado | Descripción | ID |
|---|---|---|
| Azure Connected SQL Server Onboarding | Permite el acceso de lectura y escritura a los recursos de Azure para SQL Server en servidores habilitados para Arc. | e8113dce-c529-4d33-91fa-e9b972617508 |
| Rol de lector de cuentas de Cosmos DB | Puede leer los datos de cuentas de Azure Cosmos DB. Vea Colaborador de cuenta de DocumentDB para administrar cuentas de Azure Cosmos DB. | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| Operador de Cosmos DB | Permite administrar las cuentas de Azure Cosmos DB, pero no acceder a los datos que contienen. Evita el acceso a las claves de cuenta y a las cadenas de conexión. | 230815da-be43-4aae-9cb4-875f7bd000aa |
| CosmosBackupOperator | Puede enviar una solicitud de restauración para una base de datos de Cosmos DB o un contenedor de una cuenta | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
| CosmosRestoreOperator | Puede realizar una acción de restauración en la cuenta de la base de datos de Cosmos DB con el modo de copia de seguridad continua | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
| Colaborador de cuenta de DocumentDB | Puede administrar cuentas de Azure Cosmos DB. Azure Cosmos DB se llamaba anteriormente DocumentDB. | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| Colaborador de la memoria caché de Redis | Permite administrar cachés de Redis, pero no acceder a ellas. | e0f68234-74aa-48ed-b826-c38b57376e17 |
| Colaborador de Base de datos de SQL | Permite administrar las bases de datos de SQL, pero no acceder a ellas. Además, no puede administrar sus directivas relacionadas con la seguridad ni los servidores SQL primarios. | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| Colaborador de Instancia administrada de SQL | Permite administrar Instancias administradas de SQL y la configuración de red necesaria, pero no puede conceder acceso a otros usuarios. | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
| Administrador de seguridad SQL | Permite administrar las directivas relacionadas con seguridad de bases de datos y servidores SQL, pero no acceder a ellas. | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| Colaborador de SQL Server | Permite administrar bases de datos y servidores SQL, pero no acceder a ellos, ni a sus directivas relacionadas con la seguridad. | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
Análisis
| Rol integrado | Descripción | ID |
|---|---|---|
| Propietario de los datos de Azure Event Hubs | Concede acceso total a los recursos de Azure Event Hubs. | f526a384-b230-433a-b45c-95f59c4a2dec |
| Receptor de datos de Azure Event Hubs | Concede acceso de recepción a los recursos de Azure Event Hubs. | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Emisor de datos de Azure Event Hubs | Concede acceso de emisión a los recursos de Azure Event Hubs. | 2b629674-e913-4c01-ae53-ef4638d8f975 |
| Colaborador de Factoría de datos | Crea y administra factorías de datos, así como recursos secundarios dentro de ellas. | 673868aa-7521-48a0-acc6-0f60742d39f5 |
| Purgador de datos | Permite eliminar datos privados de un área de trabajo de Log Analytics. | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| Operador de clústeres de HDInsight | Permite leer y modificar las configuraciones de clúster de HDInsight. | 61ed4efc-Fab3-44fd-b111-e24485cc132a |
| Colaborador de Domain Services para HDInsight | Puede leer, crear, modificar y eliminar operaciones relacionadas con Domain Services para HDInsight Enterprise Security Package | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
| Colaborador de Log Analytics | Un colaborador de Log Analytics puede leer todos los datos de supervisión y editar la configuración de supervisión. La edición de la configuración de supervisión incluye la posibilidad de agregar la extensión de máquina virtual a las máquinas virtuales, leer las claves de las cuentas de almacenamiento para poder configurar la recopilación de registros de Azure Storage, agregar soluciones y configurar Azure Diagnostics en todos los recursos de Azure. | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
| Lector de Log Analytics | Un lector de Log Analytics puede ver y buscar todos los datos de supervisión, así como consultar la configuración de supervisión, incluida la de Azure Diagnostics en todos los recursos de Azure. | 73c42c96-874c-492b-b04d-ab87d138a893 |
| Colaborador del registro de esquema (versión preliminar) | Leer, escribir y eliminar esquemas y grupos de registros de esquema. | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
| Lector del registro de esquemas (versión preliminar) | Leer y enumerar grupos y esquemas del registro de esquemas. | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
| Evaluador de consultas de Stream Analytics | Permite hacer pruebas de consultas sin crear primero un trabajo de Stream Analytics. | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
Inteligencia artificial y aprendizaje automático
| Rol integrado | Descripción | ID |
|---|---|---|
| Operador de proceso de AzureML | Puede acceder y realizar operaciones CRUD en recursos de proceso administrados de Machine Learning Services (incluidas las máquinas virtuales de Notebook). | e503ece1-11d0-4e8e-8e2c-7a6c3bf3bf38815 |
| Científico de datos de AzureML | Puede realizar todas las acciones dentro de un área de trabajo de Azure Machine Learning, excepto crear o eliminar recursos de proceso, y modificar la propia área de trabajo. | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
| Colaborador de Cognitive Services | Le permite crear, leer, actualizar, eliminar y administrar las claves de Cognitive Services. | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
| Colaborador de Custom Vision de Cognitive Services | Acceso completo al proyecto, lo que incluye la capacidad para ver, crear, editar o eliminar proyectos. | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
| Implementación de Custom Vision de Cognitive Services | Publicar, anular publicaciones o exportar modelos. La implementación puede ver el proyecto pero no puede actualizarlo. | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
| Etiquetador de Custom Vision de Cognitive Services | Ver y editar imágenes de entrenamiento, además de crear, agregar, quitar o eliminar etiquetas de imágenes. Los etiquetadores pueden ver el proyecto, pero no pueden actualizar nada más que las imágenes y etiquetas de entrenamiento. | 88424f51-ebe7-446f-bc41-7fa16989e96c |
| Lector de Custom Vision de Cognitive Services | Acciones de solo lectura en el proyecto. Los lectores no pueden crear ni actualizar el proyecto. | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
| Entrenador de Custom Vision de Cognitive Services | Ver, editar proyectos y entrenar los modelos, lo que incluye la capacidad de publicar, anular la publicación y exportar los modelos. Los entrenadores no pueden crear ni eliminar el proyecto. | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
| Lector de datos de Cognitive Services (versión preliminar) | Permite leer los datos de Cognitive Services. | b59867f0-fa02-499b-be73-45a86b5b3e1c |
| Cognitive Services Face Recognizer | Permite detectar, comprobar, identificar, agrupar y buscar operaciones similares en Face API. Este rol no permite operaciones de creación o eliminación, de modo que es adecuado para los puntos de conexión que solo necesitan funcionalidades de inferencia, según los procedimientos recomendados de "privilegios mínimos". | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
| Administrador de Metrics Advisor de Cognitive Services | Acceso total al proyecto, lo que incluye la configuración del nivel de sistema. | cb43c632-a144-4ec5-977c-e80c4affc34a |
| Colaborador de OpenAI de Cognitive Services | Acceso completo, incluida la capacidad de ajustar, implementar y generar texto | a001fd3d-188f-4b5d-821b-7da978bf7442 |
| Usuario de OpenAI de Cognitive Services | Acceso de lectura para ver archivos, modelos e implementaciones. La capacidad de crear llamadas de finalización e inserción. | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
| Cognitive Services QnA Maker Editor | Permite crear, editar, importar y exportar un knowledge base. No se puede publicar ni eliminar un knowledge base. | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
| Lector de QnA Maker de Cognitive Services | Permite leer y probar solo un knowledge base. | 466ccd10-b268-4a11-b098-b4849f024126 |
| Lector de usos de Cognitive Services | Permiso mínimo para ver los usos de Cognitive Services. | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
| Usuario de Cognitive Services | Le permite leer y mostrar las claves de Cognitive Services. | a97b65f3-24c7-4388-baec-2e87135dc908 |
| Colaborador de datos de índice de búsqueda | Concede acceso total a los datos de índice de Azure Cognitive Search. | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
| Lector de datos de índice de búsqueda | Concede acceso de lectura a los datos de índice de Azure Cognitive Search. | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
| Colaborador del servicio Search | Permite administrar los servicios de Búsqueda, pero no acceder a ellos. | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
Internet de las cosas
| Rol integrado | Descripción | ID |
|---|---|---|
| Propietario de datos de Azure Digital Twins | Rol de acceso completo para plano de datos de Digital Twins | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Lector de datos de Azure Digital Twins | Rol de solo lectura para las propiedades del plano de datos de Digital Twins | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
| Device Update Administración istrator | Proporciona acceso total a operaciones de contenido y administración. | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
| Administración istrator de contenido de Device Update | Proporciona acceso total a operaciones de contenido. | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
| Lector de contenido de Device Update | Proporciona acceso de lectura a operaciones de contenido, pero no permite realizar cambios. | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
| Implementaciones de Device Update Administración istrator | Proporciona acceso total a operaciones de administración. | e4237640-0e3d-4a46-8fda-70bc94856432 |
| Lector de implementaciones de Device Update | Proporciona acceso de lectura a operaciones de administración, pero no permite realizar cambios. | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
| Lector de Device Update | Proporciona acceso de lectura a operaciones de contenido y administración, pero no permite realizar cambios. | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
| Colaborador de datos de IoT Hub | Permite el acceso total a las operaciones del plano de datos de IoT Hub. | 4fc6c259-987e-4a07-842e-c321cc9d413f |
| Lector de datos de IoT Hub | Permite el acceso de lectura total a las propiedades del plano de datos de IoT Hub. | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
| Colaborador del registro de IoT Hub | Permite el acceso completo al registro de dispositivos de IoT Hub. | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
| Colaborador de gemelos de IoT Hub | Permite el acceso de lectura y escritura a todos los dispositivos y módulos gemelos de IoT Hub. | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
Realidad mixta
| Rol integrado | Descripción | ID |
|---|---|---|
| Administrador de Remote Rendering | Proporciona al usuario funcionalidades de conversión, administración de sesiones, representación y diagnóstico para Azure Remote Rendering. | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
| Cliente de Remote Rendering | Proporciona al usuario funcionalidades de administración de sesiones, representación y diagnóstico para Azure Remote Rendering. | d39065c4-c120-43c9-ab0a-63eed9795f0a |
| Colaborador de la cuenta de Spatial Anchors | Permite administrar los anclajes espaciales en su cuenta, pero no eliminarlos. | 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827 |
| Propietario de la cuenta de Spatial Anchors | Permite administrar los anclajes espaciales en su cuenta y eliminarlos. | 70bbe301-9835-447d-afdd-19eb3167307c |
| Lector de la cuenta de Spatial Anchors | Permite encontrar y leer propiedades de los anclajes espaciales en la cuenta. | 5d51204f-eb77-4b1c-b86a-2ec626c49413 |
Integración
| Rol integrado | Descripción | ID |
|---|---|---|
| Colaborador de servicio de administración de API | Puede administrar servicios y las API. | 312a565d-c81f-4fd8-895a-4e21e48d571c |
| Rol del operador del servicio API Management | Puede administrar el servicio, pero no las API. | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| Rol de lector del servicio API Management | Acceso de solo lectura al servicio y las API. | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| Desarrollador de API de área de trabajo de Servicio de API Management | Tiene acceso de lectura a etiquetas y productos y acceso de escritura para permitir: asignar API a productos, asignar etiquetas a productos y API. Este rol debe asignarse en el ámbito de servicio. | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
| Administrador de productos de API del área de trabajo de servicio de API Management | Tiene el mismo acceso que el desarrollador de API de área de trabajo de servicio de API Management, así como acceso de lectura a usuarios y acceso de escritura para permitir la asignación de usuarios a grupos. Este rol debe asignarse en el ámbito de servicio. | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
| Desarrollador de API de área de trabajo de API Management | Tiene acceso de lectura a las entidades del área de trabajo y acceso de lectura y escritura a las entidades para editar las API. Este rol debe asignarse en el ámbito del área de trabajo. | 56328988-075d-4c6a-8766-d93edd6725b6 |
| Administrador de productos de API del área de trabajo de API Management | Tiene acceso de lectura a las entidades del área de trabajo y acceso de lectura y escritura a las entidades para publicar API. Este rol debe asignarse en el ámbito del área de trabajo. | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
| Colaborador del área de trabajo de API Management | Puede administrar el área de trabajo y la vista, pero no modificar sus miembros. Este rol debe asignarse en el ámbito del área de trabajo. | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
| Lector del área de trabajo de API Management | Tiene acceso de solo lectura a las entidades del área de trabajo. Este rol debe asignarse en el ámbito del área de trabajo. | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2 |
| Propietario de los datos de App Configuration | Permite el acceso completo a los datos de App Configuration. | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
| Lector de los datos de App Configuration | Permite el acceso de lectura a los datos de App Configuration. | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| Administrador de cumplimiento del Centro de API de Azure | Permite administrar el cumplimiento de api en el servicio Azure API Center. | ede9aaa3-4627-494e-be13-4aa7c256148d |
| Lector de datos del Centro de API de Azure | Permite el acceso a las operaciones de lectura del plano de datos del Centro de API de Azure. | c7244dfb-f447-457d-b2ba-3999044d1706 |
| Colaborador del servicio Azure API Center | Permite administrar el servicio Azure API Center. | dd24193f-ef65-44e5-8a7e-6fa6e03f7713 |
| Lector de servicios del Centro de API de Azure | Permite el acceso de solo lectura al servicio Azure API Center. | 6cba8790-29c5-48e5-bab1-c7541b01cb04 |
| Cliente de escucha de Azure Relay | Permite el acceso de escucha a recursos de Azure Relay. | 26e0b698-aa6d-4085-9386-aadae190014d |
| Propietario de Azure Relay | Permite el acceso completo a los recursos de Azure Relay. | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
| Emisor de Azure Relay | Permite el acceso de envío a los recursos de Azure Relay. | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
| Propietario de los datos de Azure Service Bus | Concede acceso total a los recursos de Azure Service Bus. | 090c5cfd-751d-490a-894a-3ce6f1109419 |
| Receptor de datos de Azure Service Bus | Concede acceso de recepción a los recursos de Azure Service Bus. | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
| Emisor de datos de Azure Service Bus | Concede acceso de emisión a los recursos de Azure Service Bus. | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
| Colaborador de BizTalk | Permite administrar los servicios de BizTalk, pero no acceder a ellos. | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
| Colaborador de Event Grid | Permite administrar las operaciones de Event Grid. | 1e241071-0855-49ea-94dc-649edcd759de |
| Emisor de datos de EventGrid | Permite el acceso de envío a eventos de Event Grid. | d5a91429-5739-47e2-a06b-3470a27159e7 |
| Colaborador de EventGrid EventSubscription | Permite administrar las operaciones de suscripción de eventos de EventGrid. | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
| Lector de EventGrid EventSubscription | Permite leer las suscripciones de eventos de EventGrid. | 2414bbcf-6497-4faf-8c65-045460748405 |
| Colaborador de datos de FHIR | El rol permite el acceso completo del usuario o la entidad de seguridad a los datos de FHIR. | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
| Exportador de datos de FHIR | El rol permite al usuario o a la entidad de seguridad leer y exportar datos de FHIR. | 3db33094-8700-4567-8da5-1501d4e7e843 |
| Importador de datos de FHIR | El rol permite que el usuario o la entidad de seguridad lean e importen datos de FHIR | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
| Lector de datos de FHIR | El rol permite al usuario o a la entidad de seguridad leer datos de FHIR. | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
| Escritor de datos de FHIR | El rol permite al usuario o a la entidad de seguridad leer y escribir datos de FHIR. | 3f88fce4-5892-4214-ae73-ba5294559913 |
| Colaborador del Entorno del servicio de integración | Permite administrar entornos de servicio de integración, pero no acceder a ellos. | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
| Desarrollador del Entorno del servicio de integración | Permite a los desarrolladores crear y actualizar flujos de trabajo, cuentas de integración y conexiones API en entornos de servicios de integración. | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
| Colaborador de la cuenta de Sistemas inteligentes | Permite administrar las cuentas de Intelligent Systems, pero no acceder a ellas. | 03a6d094-3444-4b3d-88af-7477090a9e5e |
| Colaborador de aplicación lógica | Le permite administrar aplicaciones lógicas, pero no cambiar el acceso a ellas. | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
| Operador de aplicación lógica | Le permite leer, habilitar y deshabilitar aplicaciones lógicas, pero no permite editarlas ni actualizarlas. | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
| Colaborador de Logic Apps Estándar (vista previa) | Puede administrar todos los aspectos de una aplicación lógica estándar y flujos de trabajo. No se puede cambiar el acceso ni la propiedad. | ad710c24-b039-4e85-a019-deb4a06e8570 |
| Desarrollador de Logic Apps Estándar (vista previa) | Puede crear y editar flujos de trabajo, conexiones y configuraciones para una aplicación lógica estándar. No puede realizar cambios fuera del ámbito del flujo de trabajo. | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
| Operador de Logic Apps Estándar (vista previa) | Puede habilitar, volver a enviar y deshabilitar flujos de trabajo, así como crear conexiones. No se pueden editar flujos de trabajo ni configuraciones. | b70c96e9-66fe-4c09-b6e7-c98e69c985555 |
| Lector de Logic Apps Estándar (vista previa) | Tiene acceso de solo lectura a todos los recursos de una aplicación lógica Estándar y los flujos de trabajo, incluidas las ejecuciones de flujo de trabajo y su historial. | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
| Colaborador de colecciones de trabajos de Scheduler | Permite administrar colecciones de trabajos de Scheduler, pero no acceder a ellas. | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
| Services Hub Operator | Services Hub Operator permite realizar todas las operaciones de lectura, escritura y eliminación relacionadas con los conectores de Services Hub. | 82200a5b-e217-47a5-b665-6d8765ee745b |
Identidad
| Rol integrado | Descripción | ID |
|---|---|---|
| Colaborador de Domain Services | Permite administrar Azure AD Domain Services y la configuración de red relacionada. | eeaeda52-9324-47f6-8069-5d5bade478b2 |
| Lector de Domain Services | Permite ver Azure AD Domain Services y la configuración de red relacionada. | 361898ef-9ed1-48c2-849c-a832951106bb |
| Colaborador de identidad administrada | Le permite crear, leer, actualizar y eliminar identidades asignadas por el usuario. | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
| Operador de identidad administrada | Le permite leer y asignar identidades asignadas por el usuario. | f1a07417-d97a-45cb-824c-7a7467783830 |
Seguridad
| Rol integrado | Descripción | ID |
|---|---|---|
| Automatización del cumplimiento de aplicaciones Administración istrator | Crear, leer, descargar, modificar y eliminar objetos de informes y otros objetos de recursos relacionados. | 0f37683f-2463-46b6-9ce7-9b788b988ba2 |
| Lector de Automatización de cumplimiento de aplicaciones | Leer, descargar los objetos de informes y otros objetos de recursos relacionados. | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
| Colaborador de atestación | Puede leer, escribir o eliminar la instancia del proveedor de atestación | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
| Lector de atestación | No se pueden leer las propiedades del proveedor de atestación | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
| Administrador de Key Vault | Permite realizar todas las operaciones de plano de datos en un almacén de claves y en todos los objetos que contiene, incluidos los certificados, las claves y los secretos. No permite administrar los recursos del almacén de claves ni administrar las asignaciones de roles. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Usuario de certificado de Key Vault | Leer el contenido del certificado. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
| Agente de certificados de Key Vault | Permite realizar cualquier acción en los certificados de un almacén de claves, excepto administrar permisos. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Colaborador de almacén de claves | Permite administrar almacenes de claves, per no asignar roles en Azure RBAC ni acceder a secretos, claves o certificados. | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| Agente criptográfico de Key Vault | Permite realizar cualquier acción en las claves de un almacén de claves, excepto administrar permisos. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Usuario de cifrado de servicio criptográfico de Key Vault | Permite leer los metadatos de las claves y realizar operaciones de encapsulado/desencapsulado. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Usuario de la versión del servicio criptográfico de Key Vault | Liberar claves. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 08bbd89e-9f13-488c-ac41-acfcb10c90ab |
| Usuario criptográfico de Key Vault | Permite realizar operaciones criptográficas mediante claves. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault Data Access Administración istrator | Administre el acceso a Azure Key Vault mediante la adición o eliminación de asignaciones de roles para el administrador de Key Vault, el oficial de certificados de Key Vault, el oficial de cifrado de Key Vault, el usuario de cifrado del servicio criptográfico de Key Vault, el usuario criptográfico de Key Vault, el lector de Key Vault, el oficial de secretos de Key Vault o los roles de usuario de secretos de Key Vault. Incluye una condición de ABAC para restringir las asignaciones de roles. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
| Lector de Key Vault | Permite leer metadatos de almacenes de claves y sus certificados, claves y secretos. No se pueden leer valores confidenciales, como el contenido de los secretos o el material de las claves. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Agente de secretos de Key Vault | Permite realizar cualquier acción en los secretos de un almacén de claves, excepto administrar permisos. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Usuario de secretos de Key Vault | Permite leer el contenido de los secretos. Solo funciona para almacenes de claves que usan el modelo de permisos "Control de acceso basado en rol de Azure". | 4633458b-17de-408a-b874-0445c86b69e6 |
| Colaborador de HSM administrado | Permite administrar grupos de HSM administrados, pero no accede a ellas. | 18500a29-7fe2-46b2-a342-b16a415e101d |
| Colaborador de automatización de Microsoft Sentinel | Colaborador de automatización de Microsoft Sentinel | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
| Colaborador de Microsoft Sentinel | Colaborador de Microsoft Sentinel | ab8e14d6-4a74-4a29-9ba8-549422addade |
| Operador de cuaderno de estrategias de Microsoft Sentinel | Operador de cuaderno de estrategias de Microsoft Sentinel | 51d6186e-6489-4900-b93f-92e23144cca5 |
| Lector de Microsoft Sentinel | Lector de Microsoft Sentinel | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
| Respondedor de Microsoft Sentinel | Respondedor de Microsoft Sentinel | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
| Administrador de seguridad | Ver y actualizar permisos para Microsoft Defender for Cloud. Tiene los mismos permisos que el rol de lector de seguridad, y también puede actualizar la directiva de seguridad y descartar las alertas y las recomendaciones. En el caso de Microsoft Defender para IoT, vea Roles de usuario de Azure para la supervisión de OT y Enterprise IoT |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
| Colaborador de evaluación de la seguridad | Le permite insertar evaluaciones en Microsoft Defender for Cloud. | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
| Administrador de seguridad (heredado) | Se trata de un rol heredado. En su lugar, use el Administrador de seguridad. | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
| Lector de seguridad | Ver permisos para Microsoft Defender for Cloud. Puede ver las recomendaciones, las alertas, una directiva de seguridad y los estados de seguridad, pero no puede realizar cambios. En el caso de Microsoft Defender para IoT, vea Roles de usuario de Azure para la supervisión de OT y Enterprise IoT |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
DevOps
| Rol integrado | Descripción | ID |
|---|---|---|
| Usuario de DevTest Labs | Permite conectarse a sus máquinas virtuales, así como iniciarlas, reiniciarlas y apagarlas, en su instancia de Azure DevTest Labs. | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
| Asistente de laboratorio | Permite ver un laboratorio existente, realizar acciones en las máquinas virtuales de ese laboratorio y enviar invitaciones al laboratorio. | ce40b423-cede-4313-a93f-9b28290b72e1 |
| Colaborador de laboratorio | Usado en el nivel de laboratorio, permite administrar el laboratorio. Usado en un grupo de recursos, permite crear y administrar laboratorios. | 5daaa2af-1fe8-407c-9122-bba179798270 |
| Creador de laboratorio | Permite crear nuevos laboratorios en las cuentas de Azure Lab. | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
| Operador de laboratorio | Ofrece capacidad limitada para administrar los laboratorios existentes. | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
| Colaborador de Lab Services | Permite controlar completamente todos los escenarios de Lab Services en el grupo de recursos. | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
| Lector de Lab Services | Permite ver (pero no cambiar) todos los planes y recursos de laboratorio. | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
| Colaborador de la prueba de carga | Puede ver, crear, actualizar, eliminar y ejecutar pruebas de carga. Puede ver y mostrar los recursos de prueba de carga, pero no puede realizar ningún cambio. | 749a398d-560b-491b-bb21-08924219302e |
| Propietario de la prueba de carga | Ejecutar todas las operaciones en los recursos de prueba de carga y en las pruebas de carga | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
| Lector de la prueba de carga | Ver y enumerar todas las pruebas de carga y sus recursos, pero no realizar cambios | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
Monitor
| Rol integrado | Descripción | ID |
|---|---|---|
| Colaborador de componentes de Application Insights | Puede administrar los componentes de Application Insights | ae349356-3a1b-4a5e-921d-050484c6347e |
| Depurador de instantáneas de Application Insights | Concede permiso al usuario para ver y descargar las instantáneas de depuración que se recopilan con Snapshot Debugger de Application Insights. Tenga en cuenta que estos permisos no se incluyen en los roles Propietario ni Colaborador. Si concede el rol Depurador de instantáneas de Application Insights a los usuarios, debe concederlo directamente al usuario. El rol no se reconoce cuando se agrega a un rol personalizado. | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
| Grafana Administración | Realice todas las operaciones de Grafana, incluida la capacidad de administrar orígenes de datos, crear paneles y administrar asignaciones de roles en Grafana. | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Grafana Editor | Vea y edite una instancia de Grafana, incluidos sus paneles y alertas. | a79a5197-3a5c-4973-a920-486035ffd60f |
| Visor de Grafana | Vea una instancia de Grafana, incluidos sus paneles y alertas. | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
| Colaborador de supervisión | Puede leer todos los datos de supervisión y editar la configuración de supervisión. Consulte también Introducción a roles, permisos y seguridad con Azure Monitor. | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| Supervisión del publicador de métricas | Permite publicar las métricas de los recursos de Azure. | 3913510d-42f4-4e42-8a64-420c390055eb |
| Lector de supervisión | Puede leer todos los datos de supervisión (métricas, registros, etc.). Consulte también Introducción a roles, permisos y seguridad con Azure Monitor. | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
| Colaborador de libros | Puede guardar los libros compartidos. | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
| Lector de libros | Puede leer libros. | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
Administración y gobernanza
| Rol integrado | Descripción | ID |
|---|---|---|
| Colaborador de Automation | Administra los recursos de Azure Automation y otros recursos mediante Azure Automation. | f353d9bd-d4a6-484e-a77a-8050b599b867 |
| Operador de trabajos de Automation | Permite crear y administrar trabajos con los runbooks de Automation. | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
| Operador de Automation | Los operadores de automatización pueden iniciar, detener, suspender y reanudar trabajos. | d3881f73-407a-4167-8283-e981cbba0404 |
| Operador de runbooks de Automation | Permite leer las propiedades de runbook para poder crear trabajos del runbook. | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
| Incorporación de Azure Connected Machine | Puede incorporar máquinas conectadas a Azure. | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
| Administrador de recursos de Azure Connected Machine | Puede leer, escribir, eliminar y volver a incorporar máquinas conectadas a Azure. | cd570a14-e51a-42ad-bac8-bafd67325302 |
| Azure Conectar Machine Resource Manager | Rol personalizado para AzureStackHCI RP para administrar máquinas de proceso híbridas y puntos de conexión de conectividad híbrida en un grupo de recursos | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
| Lector de facturación | Permite acceso de lectura a los datos de facturación. | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| Colaborador de plano técnico | Puede administrar las definiciones del plano técnico, pero no asignarlas. | 41077137-e803-4205-871c-5a86e6a753b4 |
| Operador del plano técnico | Puede asignar los planos técnicos publicados existentes, pero no puede crear nuevos. Tenga en cuenta que esto solo funciona si la asignación se realiza con una identidad administrada asignada por el usuario. | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
| Lector de optimización de carbono | Permitir el acceso de lectura a los datos de Azure Carbon Optimization | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
| Colaborador de Cost Management | Puede ver los costos y administrar la configuración de estos (por ejemplo, presupuestos, exportaciones) | 434105ed-43f6-45c7-a02f-909b2ba83430 |
| Lector de Cost Management | Puede ver los datos de costo y la configuración (por ejemplo, presupuestos, exportaciones) | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
| Administrador de configuración de jerarquía | Permite a los usuarios editar y eliminar la configuración de jerarquía. | 350f8d15-c687-4448-8ae1-157740a3936d |
| Rol Colaborador de la aplicación administrada | Permite crear recursos de aplicaciones administradas. | 641177b8-a67a-45b9-a033-47bc880bb21e |
| Rol de operador de aplicación administrada | Permite leer y realizar acciones en los recursos de aplicación administrada. | c7393b34-138c-406f-901b-d8cf2b17e6ae |
| Lector de aplicaciones administradas | Le permite leer los recursos de una aplicación administrada y solicitar acceso JIT. | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
| Rol para eliminar la asignación de registros de servicios administrados | El rol para eliminar la asignación de registros de servicios administrados permite que los usuarios que administran el inquilino eliminen la asignación de registros asignada a su inquilino. | 91c1777a-f3dc-4fae-b103-61d183457e46 |
| Colaborador de grupo de administración | Rol de colaborador de grupo de administración | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| Lector de grupo de administración | Rol de lector de grupo de administración | ac63b705-f282-497d-ac71-919bf39d939d |
| Colaborador de la cuenta de NewRelic APM | Le permite administrar las aplicaciones y cuentas de Application Performance Management de New Relic, pero no acceder a ellas. | 5d28c62d-5b37-4476-8438-e587778df237 |
| Escritor de datos de Policy Insights (versión preliminar) | Permite el acceso de lectura a las directivas de los recursos y el acceso de escritura a los eventos de directiva de los componentes de los recursos. | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
| Operador de solicitud de cuota | Leer y crear solicitudes de cuota, obtener el estado de la solicitud de cuota y crear incidencias de soporte técnico. | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
| Comprador de reservas | Permite comprar reservas | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
| Reservas Administración istrator | Permite leer y administrar todas las reservas de un inquilino | a8889054-8d42-49c9-bc1c-52486c10e7cd |
| Lector de reservas | Permite leer todas las reservas de un inquilino | 582fc458-8989-419f-a480-75249bc5db7e |
| Colaborador de directivas de recursos | Los usuarios con derechos para crear o modificar la directiva de recursos pueden crear solicitudes de soporte técnico y leer los recursos o la jerarquía. | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| Colaborador de revisiones programadas | Proporciona acceso para administrar las configuraciones de mantenimiento con el ámbito de mantenimiento InGuestPatch y las asignaciones de configuración correspondientes. | cd08ab90-6b14-449c-ad9a-8f8e549482c6 |
| Colaborador de Site Recovery | Permite administrar el servicio Site Recovery, excepto la creación de almacenes y la asignación de roles. | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| Operador de Site Recovery | Permite realizar una conmutación por error o una conmutación por recuperación, pero no otras operaciones de administración de Site Recovery. | 494ae006-db33-4328-bf46-533a6560a3ca |
| Lector de Site Recovery | Permite visualizar el estado de Site Recovery, pero no realizar otras operaciones de administración. | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| Colaborador de la solicitud de soporte técnico | Permite crear y administrar solicitudes de soporte técnico. | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| Colaborador de etiquetas | Permite administrar etiquetas en las entidades sin proporcionar acceso a las entidades mismas. | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
| Colaborador de especificación de plantilla | Permite acceso total a las operaciones de especificación de plantilla en el ámbito asignado. | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
| Lector de especificación de plantilla | Permite acceso de lectura a las especificaciones de plantilla en el ámbito asignado. | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
Entornos híbridos y multinube
| Rol integrado | Descripción | ID |
|---|---|---|
| Rol de implementación de Azure Resource Bridge | Rol de implementación de Azure Resource Bridge | 7b1f81f9-4196-4058-8aae-762e593270df |
| Azure Stack HCI Administración istrator | Concede acceso completo al clúster y a sus recursos, incluida la capacidad de registrar Azure Stack HCI y asignar otros usuarios como colaborador de máquina virtual de Azure Arc HCI o lector de máquinas virtuales de Azure Arc HCI. | bda0d508-adf1-4af0-9c28-88919fc3ae06 |
| Rol de Administración de dispositivos de Azure Stack HCI | Rol de Administración de dispositivos Microsoft.AzureStackHCI | 865ae368-6a45-4bd1-8fbf-0d5151f56fc1 |
| Colaborador de máquina virtual de Azure Stack HCI | Concede permisos para realizar todas las acciones de máquina virtual | 874d1c73-6003-4e60-a13a-cb31ea190a85 |
| Lector de máquinas virtuales de Azure Stack HCI | Concede permisos para ver las máquinas virtuales | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
| Propietario del registro de Azure Stack | Permite administrar los registros de Azure Stack. | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |