Rôles intégrés Azure pour Privileged
Cet article répertorie les rôles intégrés Azure dans la catégorie Privileged.
Contributeur
Accorde un accès total pour gérer toutes les ressources, mais ne vous permet pas d’affecter des rôles dans Azure RBAC, de gérer des affectations dans Azure Blueprints ou de partager des galeries d’images.
| Actions | Description |
|---|---|
| * | Créer et gérer les ressources de tous les types |
| NotActions | |
| Microsoft.Authorization/*/Delete | Supprimer des rôles, des affectations de stratégie, des définitions de stratégie et des définitions d’ensemble de stratégies |
| Microsoft.Authorization/*/Write | Créer des rôles, des attributions de rôle, des affectations de stratégie, des définitions de stratégie et des définitions d’ensemble de stratégies |
| Microsoft.Authorization/elevateAccess/Action | Accorde à l’appelant un accès Administrateur de l’accès utilisateur au niveau de la portée du client |
| Microsoft.Blueprint/blueprintAssignments/write | Créer ou mettre à jour toutes les affectations de blueprint |
| Microsoft.Blueprint/blueprintAssignments/delete | Supprimer toutes les affectations de blueprint |
| Microsoft.Compute/galleries/share/action | Partage une galerie sur des différentes étendues |
| Microsoft.Purview/consents/write | Créez ou mettez à jour une ressource de consentement. |
| Microsoft.Purview/consents/delete | Supprimez la ressource de consentement. |
| Microsoft.Resources/deploymentStacks/manageDenySetting/action | Gérez la propriété denySettings d’une pile de déploiement. |
| DataActions | |
| aucune | |
| NotDataActions | |
| aucune |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Owner
Octroie un accès total pour gérer toutes les ressources, notamment la possibilité d’attribuer des rôles dans Azure RBAC.
| Actions | Description |
|---|---|
| * | Créer et gérer les ressources de tous les types |
| NotActions | |
| aucune | |
| DataActions | |
| aucune | |
| NotDataActions | |
| aucune |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrateur de réservations
Permet de lire et de gérer toutes les réservations dans un locataire
| Actions | Description |
|---|---|
| Microsoft.Capacity/*/read | |
| Microsoft.Capacity/*/action | |
| Microsoft.Capacity/*/write | |
| Microsoft.Authorization/roleAssignments/read | Obtenez des informations sur une affectation de rôle. |
| Microsoft.Authorization/roleDefinitions/read | Obtenez des informations sur une définition de rôle. |
| Microsoft.Authorization/roleAssignments/write | Créez une affectation de rôle au niveau de la portée spécifiée. |
| Microsoft.Authorization/roleAssignments/delete | Supprimez une affectation de rôle au niveau de la portée spécifiée. |
| NotActions | |
| aucune | |
| DataActions | |
| aucune | |
| NotDataActions | |
| aucune |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrateur de contrôle d’accès en fonction du rôle
Gère l’accès aux ressources Azure via des attributions de rôles en utilisant Azure RBAC. Ce rôle ne vous permet pas de gérer l’accès à l’aide d’autres méthodes, telles qu’Azure Policy.
| Actions | Description |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Créez une affectation de rôle au niveau de la portée spécifiée. |
| Microsoft.Authorization/roleAssignments/delete | Supprimez une affectation de rôle au niveau de la portée spécifiée. |
| */read | Lire les ressources de tous les types, à l’exception des secrets. |
| Microsoft.Support/* | Créer et mettre à jour un ticket de support |
| NotActions | |
| aucune | |
| DataActions | |
| aucune | |
| NotDataActions | |
| aucune |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrateur de l'accès utilisateur
Vous permet de gérer l'accès utilisateur aux ressources Azure.
| Actions | Description |
|---|---|
| */read | Lire les ressources de tous les types, à l’exception des secrets. |
| Microsoft.Authorization/* | Gérer les autorisations |
| Microsoft.Support/* | Créer et mettre à jour un ticket de support |
| NotActions | |
| aucune | |
| DataActions | |
| aucune | |
| NotDataActions | |
| aucune |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}