Requisito di autorizzazione per il connettore di servizi

Service Connector crea connessioni tra i servizi di Azure usando un token on-behalf-of. La creazione di una connessione a una risorsa di Azure specifica richiede le autorizzazioni corrispondenti.

Servizio app

Azione	Descrizione
Microsoft.Web/sites/config/write	Aggiorna le impostazioni di configurazione dell'app Web
Microsoft.web/sites/config/delete	Elimina la configurazione delle app Web.
Microsoft.Web/sites/config/list/action	Elenca le impostazioni dell'app Web sensibili alla sicurezza, ad esempio le credenziali di pubblicazione, le impostazioni dell'app e le stringhe di connessione
Microsoft.Web/sites/config/Read	Ottiene le impostazioni di configurazione delle app Web
Microsoft.Web/sites/write	Crea una nuova app Web o ne aggiorna una esistente
Microsoft.Web/sites/read	Ottiene le proprietà di un'app Web

Slot Webapp

Azione	Descrizione
Microsoft.Web/sites/slots/Write	Crea un nuovo slot di app Web o ne aggiorna uno esistente
Microsoft.Web/sites/slots/Read	Ottiene le proprietà di uno slot di distribuzione di app Web
Microsoft.Web/sites/slots/config/Read	Ottiene le impostazioni di configurazione degli slot per le app Web
Microsoft.Web/sites/slots/config/Write	Aggiorna le impostazioni di configurazione degli slot per le app Web
microsoft.web/sites/slots/config/delete	Elimina la configurazione degli slot per le app Web.
Microsoft.Web/sites/slots/config/list/Action	Elenca le impostazioni importanti per la sicurezza degli slot per le app Web, quali le credenziali di pubblicazione, le impostazioni delle app e le stringhe di connessione

Azure Spring Apps

Azione	Descrizione
Microsoft.AppPlatform/Spring/read	Ottenere le istanze del servizio Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read	Ottenere le applicazioni per un'istanza specifica del servizio Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/write	Creare o aggiornare l'applicazione per un'istanza del servizio Azure Spring Apps specifica
Microsoft.AppPlatform/Spring/apps/deployments/*/read	Ottenere le distribuzioni per un'applicazione specifica
Microsoft.AppPlatform/Spring/apps/deployments/*/write	Creare o aggiornare la distribuzione per un'applicazione specifica
Microsoft.AppPlatform/Spring/apps/deployments/*/delete	Eliminare la distribuzione per un'applicazione specifica

App contenitore di Azure

Azione	Descrizione
Microsoft.App/containerApps/read	Ottenere un'app contenitore
Microsoft.App/containerApps/write	Creare o aggiornare un'app contenitore
Microsoft.App/containerApps/listsecrets/action	Elencare i segreti di un'app contenitore
Microsoft.App/managedEnvironments/read	Ottenere un ambiente gestito
Microsoft.App/locations/managedEnvironmentOperationStatuses/read	Ottenere uno stato dell'operazione a esecuzione prolungata di un ambiente gestito
microsoft.app/locations/containerappoperationstatuses/read	Ottenere uno stato dell'operazione a esecuzione prolungata di un'app contenitore
microsoft.app/locations/containerappoperationresults/read	Ottenere un risultato dell'operazione a esecuzione prolungata di un'app contenitore
microsoft.app/locations/managedenvironmentoperationresults/read	Ottenere un risultato dell'operazione a esecuzione prolungata in un ambiente gestito

Dapr in App contenitore di Azure

Azione	Descrizione
Microsoft.App/managedEnvironments/daprComponents/read	Leggere un componente Dapr dell'ambiente gestito
Microsoft.App/managedEnvironments/daprComponents/write	Creare o aggiornare un componente Dapr dell'ambiente gestito
Microsoft.App/managedEnvironments/daprComponents/delete	Eliminare un componente Dapr dell'ambiente gestito

Cache Redis di Azure

Azione	Descrizione
Microsoft.Cache/redis/read	Visualizza la configurazione e le impostazioni della Cache Redis nel portale di gestione
Microsoft.Cache/redis/firewallRules/read	Ottiene le regole del firewall IP di una cache Redis
Microsoft.Cache/redis/firewallRules/write	Modifica le regole del firewall IP di una cache Redis
Microsoft.Cache/redis/firewallRules/delete	Elimina le regole del firewall IP di una cache Redis
Microsoft.Cache/redis/listKeys/action	Visualizza il valore delle chiavi di accesso della Cache Redis nel portale di gestione

cache di Azure per Redis Enterprise

Azione	Descrizione
Microsoft.Cache/redisEnterprise/read	Visualizzare la configurazione e le impostazioni della cache di Redis Enterprise nel portale di gestione
Microsoft.Cache/redisEnterprise/databases/read	Visualizzare la configurazione e le impostazioni del database della cache di Redis Enterprise nel portale di gestione
Microsoft.Cache/redisEnterprise/databases/listKeys/action	Visualizzare il valore delle chiavi di accesso del database Redis Enterprise nel portale di gestione

Database di Azure per PostgreSQL

Database di Azure per PostgreSQL

Azione	Descrizione
Microsoft.DBforPostgreSQL/servers/firewallRules/read	Restituisce l'elenco delle regole del firewall per un server o ottiene le proprietà per la regola del firewall specificata.
Microsoft.DBforPostgreSQL/servers/firewallRules/write	Crea una regola del firewall con i parametri specificati o aggiorna una regola esistente.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete	Elimina una regola firewall esistente.
Microsoft.DBForPostgreSQL/servers/read	Restituisce l'elenco di server o ottiene le proprietà per il server specificato
Microsoft.DBForPostgreSQL/servers/databases/read	Restituisce l'elenco dei database PostgreSQL o ottiene le proprietà per il database specificato.
Microsoft.DBforPostgreSQL/servers/write	Crea un server con i parametri specificati o aggiorna le proprietà o i tag per il server specificato.

Database di Azure per PostgreSQL (endpoint servizio)

Azione	Descrizione
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read	Restituisce l'elenco di regole di rete virtuale o ottiene le proprietà per la regola di rete virtuale specificata.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write	Crea una regola di rete virtuale con i parametri specificati o aggiorna le proprietà o i tag per la regola di rete virtuale specificata.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete	Elimina una regola di rete virtuale esistente

Database di Azure per PostgreSQL - Server flessibile

Azione	Descrizione
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read	Restituisce l'elenco delle regole del firewall per un server o ottiene le proprietà per la regola del firewall specificata.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write	Crea una regola del firewall con i parametri specificati o aggiorna una regola esistente.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete	Elimina una regola firewall esistente.
Microsoft.DBForPostgreSQL/flexibleServers/read	Restituisce l'elenco di server o ottiene le proprietà per il server specificato
Microsoft.DBForPostgreSQL/flexibleServers/databases/read	Restituisce l'elenco dei database del server PostgreSQL o ottiene il database per il server specificato.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read	Restituisce l'elenco delle configurazioni del server PostgreSQL o ottiene le configurazioni per il server specificato.

Database di Azure per MySQL

Azione	Descrizione
Microsoft.DBforMySQL/servers/firewallRules/read	Restituisce l'elenco delle regole del firewall per un server o ottiene le proprietà per la regola del firewall specificata.
Microsoft.DBforMySQL/servers/firewallRules/write	Crea una regola del firewall con i parametri specificati o aggiorna una regola esistente.
Microsoft.DBforMySQL/servers/firewallRules/delete	Elimina una regola firewall esistente.
Microsoft.DBforMySQL/servers/read	Restituisce l'elenco di server o ottiene le proprietà per il server specificato
Microsoft.DBforMySQL/servers/databases/read	Restituisce l'elenco dei database MySQL o ottiene le proprietà per il database specificato.
Microsoft.DBforMySQL/servers/write	Crea un server con i parametri specificati o aggiorna le proprietà o i tag per il server specificato.

Database di Azure per MySQL (endpoint servizio)

Azione	Descrizione
Microsoft.DBforMySQL/servers/virtualNetworkRules/read	Restituisce l'elenco di regole di rete virtuale o ottiene le proprietà per la regola di rete virtuale specificata.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write	Crea una regola di rete virtuale con i parametri specificati o aggiorna le proprietà o i tag per la regola di rete virtuale specificata.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete	Elimina una regola di rete virtuale esistente

Database di Azure per MySQL - Server flessibile

Azione	Descrizione
Microsoft.DBforMySQL/flexibleServers/firewallRules/read	Restituisce l'elenco delle regole del firewall per un server o ottiene le proprietà per la regola del firewall specificata.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write	Crea una regola del firewall con i parametri specificati o aggiorna una regola esistente.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete	Elimina una regola firewall esistente.
Microsoft.DBforMySQL/flexibleServers/read	Restituisce l'elenco di server o ottiene le proprietà per il server specificato.
Microsoft.DBforMySQL/flexibleServers/databases/read	Restituisce l'elenco di database per un server o ottiene le proprietà per il database specificato.
Microsoft.DBforMySQL/flexibleServers/configurations/read	Restituisce l'elenco delle configurazioni del server MySQL o ottiene le configurazioni per il server specificato.

Configurazione app di Azure

Azione	Descrizione
Microsoft.AppConfiguration/configurationStores/ListKeys/action	Elenca le chiavi API per l'archivio di configurazione specificato.
Microsoft.AppConfiguration/configurationStores/read	Ottiene le proprietà dell'archivio di configurazione specificato o elenca tutti gli archivi di configurazione presenti nella sottoscrizione o nel gruppo di risorse specificato.

Hub eventi di Azure

Azione	Descrizione
Microsoft.EventHub/namespaces/read	Ottiene l'elenco delle descrizioni delle risorse spazio dei nomi
Microsoft.EventHub/namespaces/ipFilterRules/read	Recupera la risorsa filtro IP
Microsoft.EventHub/namespaces/ipFilterRules/write	Crea la risorsa filtro IP
Microsoft.EventHub/namespaces/ipFilterRules/delete	Elimina la risorsa filtro IP
Microsoft.EventHub/namespaces/networkrulesets/read	Ottiene la risorsa NetworkRuleSet
Microsoft.EventHub/namespaces/networkrulesets/write	Crea risorsa regola di rete virtuale
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action	Ottiene la stringa di connessione per lo spazio dei nomi

Bus di servizio di Azure

Azione	Descrizione
Microsoft.ServiceBus/namespaces/read	Ottiene l'elenco delle descrizioni delle risorse spazio dei nomi
Microsoft.ServiceBus/namespaces/ipFilterRules/read	Recupera la risorsa filtro IP
Microsoft.ServiceBus/namespaces/ipFilterRules/write	Crea la risorsa filtro IP
Microsoft.ServiceBus/namespaces/ipFilterRules/delete	Elimina la risorsa filtro IP
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action	Ottiene la stringa di connessione per lo spazio dei nomi
Microsoft.ServiceBus/namespaces/networkrulesets/read	Ottiene la risorsa NetworkRuleSet
Microsoft.ServiceBus/namespaces/networkrulesets/write	Crea risorsa regola di rete virtuale

Archiviazione BLOB di Azure

Azione	Descrizione
Microsoft.Storage/storageAccounts/read	Restituisce l'elenco di account di archiviazione o ottiene le proprietà per l’account di archiviazione specificato.
Microsoft.Storage/storageAccounts/write	Crea un account di archiviazione con i parametri specificati o aggiorna le proprietà o i tag o aggiunge un dominio personalizzato per l’account di archiviazione specificato.
Microsoft.Storage/storageAccounts/listkeys/action	Restituisce le chiavi di accesso per l'account di archiviazione specificato.

Servizio Azure SignalR

Azione	Descrizione
Microsoft.SignalRService/SignalR/read	Visualizza le impostazioni e le configurazioni di SignalR nel portale di gestione o tramite API
Microsoft.SignalRService/SignalR/write	Modifica le impostazioni e le configurazioni di SignalR nel portale di gestione o tramite API
Microsoft.SignalRService/locations/operationresults/signalr/read	Eseguire una query sul risultato di un'operazione asincrona basata sulla posizione
Microsoft.SignalRService/locations/operationStatuses/signalr/read	Eseguire una query sullo stato di un'operazione asincrona basata sulla posizione
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action	Visualizza il valore delle chiavi di accesso di SignalR nel portale di gestione o tramite API

Servizio Azure Web PubSub

Azione	Descrizione
Microsoft.SignalRService/WebPubSub/read	Visualizzare le impostazioni e le configurazioni di WebPubSub nel portale di gestione o tramite API
Microsoft.SignalRService/WebPubSub/write	Modificare le impostazioni e le configurazioni di WebPubSub nel portale di gestione o tramite API
Microsoft.SignalRService/locations/operationresults/webpubsub/read	Eseguire una query sul risultato di un'operazione asincrona basata sulla posizione
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read	Eseguire una query sullo stato di un'operazione asincrona basata sulla posizione
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read	Visualizzare il valore delle chiavi di accesso WebPubSub nel portale di gestione o tramite API
Microsoft.SignalRService/WebPubSub/listkeys/action	Visualizzare il valore delle chiavi di accesso WebPubSub nel portale di gestione o tramite API

Azure Cosmos DB

Avviso

Microsoft consiglia di usare il flusso di autenticazione più sicuro disponibile. Il flusso di autenticazione descritto in questa procedura richiede un livello di attendibilità molto elevato nell'applicazione e comporta rischi che non sono presenti in altri flussi. Si consiglia di usare questo flusso solo quando altri flussi più sicuri, come le identità gestite, non sono validi.

Azione	Descrizione
Microsoft.DocumentDB/databaseAccounts/read	Esegue la lettura di un account di database.
Microsoft.DocumentDB/databaseAccounts/write	Aggiorna un account di database.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action	Ottiene le stringhe di connessione per un account di database
Microsoft.DocumentDB/databaseAccounts/listKeys/action	Elenca le chiavi di un account di database

Database SQL di Azure

Azione	Descrizione
Microsoft.Sql/servers/firewallRules/read	Restituisce l'elenco delle regole firewall del server o ottiene le proprietà per la regola del firewall del server specificata.
Microsoft.Sql/servers/firewallRules/write	Crea una regola firewall del server con i parametri specificati, aggiorna le proprietà per la regola specificata o sovrascrive tutte le regole esistenti con nuove regole firewall del server.
Microsoft.Sql/servers/firewallRules/delete	Elimina una regola firewall del server esistente.
Microsoft.Sql/servers/databases/read	Restituisce l'elenco dei database o ottiene le proprietà per il database specificato
Microsoft.Sql/servers/read	Restituisce l'elenco di server o ottiene le proprietà per il server specificato
Microsoft.Sql/servers/virtualNetworkRules/read	Restituisce l'elenco di regole di rete virtuale o ottiene le proprietà per la regola di rete virtuale specificata.
Microsoft.Sql/servers/virtualNetworkRules/write	Crea una regola di rete virtuale con i parametri specificati o aggiorna le proprietà o i tag per la regola di rete virtuale specificata.
Microsoft.Sql/servers/virtualNetworkRules/delete	Elimina una regola di rete virtuale esistente

Azure Key Vault

Azione	Descrizione
Microsoft.KeyVault/vaults/write	Crea un nuovo insieme di credenziali delle chiavi o aggiornare le proprietà di un insieme di credenziali delle chiavi esistente. Alcune proprietà potrebbero richiedere più autorizzazioni.
Microsoft.KeyVault/vaults/read	Visualizza le proprietà di un insieme di credenziali delle chiavi
Microsoft.KeyVault/vaults/secrets/write	Crea un nuovo segreto o aggiorna il valore di un segreto esistente.
Microsoft.KeyVault/vaults/accessPolicies/write	Aggiorna un criterio di accesso esistente tramite unione o sostituzione oppure aggiunge un nuovo criterio di accesso all'insieme di credenziali delle chiavi.

Azure Cosmos DB

Azione	Descrizione
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read	Leggere una definizione del ruolo SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write	Creare o aggiornare una definizione del ruolo SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete	Eliminare un'assegnazione di ruolo SQL

Connessione correlata all'identità gestita / entità servizio

Service Connector potrebbe dover concedere autorizzazioni all'identità gestita o all'entità servizio se viene creata una connessione con tali tipi di autenticazione. Nella tabella seguente sono elencati i requisiti di autorizzazione per la creazione di una connessione in questo scenario.

Azione	Descrizione
Microsoft.Authorization/roleAssignments/read	Ottiene informazioni su un'assegnazione di ruolo.
Microsoft.Authorization/roleAssignments/write	Crea un'assegnazione di ruolo per l'ambito specificato.
Microsoft.Authorization/roleAssignments/delete	È possibile eliminare un'assegnazione di ruolo nell'ambito specificato.

Connessione di identità gestite assegnate dall'utente

Service Connector potrebbe dover concedere autorizzazioni all'identità gestita assegnata dall'utente se viene creata una connessione con tale tipo di autenticazione. Nella tabella seguente sono elencati i requisiti di autorizzazione per la creazione di una connessione in questo scenario.

Azione	Descrizione
Microsoft.ManagedIdentity/userAssignedIdentities/read	Ottiene l'identità assegnata a un utente esistente
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action	Azione di controllo degli accessi in base al ruolo per l'assegnazione dell'identità assegnata di un utente esistente a una risorsa
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read	Ottenere o elencare le credenziali di un'identità federata
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write	Aggiungere o aggiornare le credenziali di un'identità federata
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete	Eliminare credenziali di un'identità federata

Autorizzazione correlata all'endpoint privato /endpoint di servizio

Service Connector potrebbe dover concedere autorizzazioni all'identità se viene creata una connessione con endpoint privato o endpoint servizio come soluzione di rete. Nella tabella seguente sono elencati i requisiti di autorizzazione per la creazione di una connessione in questo scenario.

Azione	Descrizione
Microsoft.Network/publicIPAddresses/read	Ottiene una definizione dell’indirizzo IP pubblico.
Microsoft.Network/virtualNetworks/subnets/read	Ottiene una definizione di subnet della rete virtuale
Microsoft.Network/virtualNetworks/subnets/write	Crea una subnet della rete virtuale o ne aggiorna una esistente
Microsoft.Network/privateEndpoints/read	Ottiene una risorsa dell'endpoint privato.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action	Aggiunge una risorsa come un account di archiviazione o un database SQL a una subnet. Senza avvisi.
Microsoft.Network/networkSecurityGroups/join/action	Aggiunge un gruppo di sicurezza di rete. Senza avvisi.
Microsoft.Network/serviceEndpointPolicies/join/action	Unisce un criterio dell'endpoint servizio. Senza avvisi.
Microsoft.Network/natGateways/join/action	Unisce un gateway NAT
Microsoft.Network/networkIntentPolicies/join/action	Unisce un criterio di intento di rete. Senza avvisi.
Microsoft.Network/networkSecurityGroups/join/action	Aggiunge un gruppo di sicurezza di rete. Senza avvisi.
Microsoft.Network/routeTables/join/action	Unisce una tabella di routing. Senza avvisi.

Disponibilità elevata