Azure 組み込みロール
Azure ロールベースのアクセス制御 (Azure RBAC) には、ユーザー、グループ、サービス プリンシパル、マネージド ID に割り当てることのできる Azure 組み込みロールがいくつかあります。 ロールの割り当ては、Azure リソースへのアクセスを制御する方法です。 組み込みロールが組織の特定のニーズを満たさない場合は、独自の Azure カスタム ロールを作成することができます。 ロールの割り当て方法については、「Azure ロールを割り当てる手順」を参照してください。
この記事では、Azure 組み込みロールを一覧で示します。 Azure Active Directory (Azure AD) の管理者ロールについては、「Azure AD の組み込みロール」を参照してください。
次の表に、各組み込みロールの簡単な説明を示します。 ロール名をクリックすると、各ロールの Actions、NotActions、DataActions、NotDataActions の一覧が表示されます。 これらのアクションの意味と、コントロールおよびデータ プレーンへの適用方法については、「Azure ロールの定義について」を参照してください。
すべて
| 組み込みのロール | 説明 | id |
|---|---|---|
| 全般 | ||
| Contributor | すべてのリソースを管理するためのフル アクセスが付与されますが、Azure RBAC でロールを割り当てたり、Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 所有者 | Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。 | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
| Reader | すべてのリソースを表示しますが、変更を加えることはできません。 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| ロール ベースのアクセス制御管理者 (プレビュー) | Azure RBACを使用してロールを割り当てることにより、Azure リソースへのアクセスを管理します。 このロールでは、Azure Policy などの他の方法を使用してアクセスを管理することはできません。 | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
| User Access Administrator | Azure リソースに対するユーザー アクセスを管理します。 | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
| Compute | ||
| Classic Virtual Machine Contributor | 従来の仮想マシンを管理できますが、アクセスすることはできません。また、接続先の仮想ネットワークやストレージ アカウントにもアクセスできません。 | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| マネージド ディスクのデータ演算子 | SAS URI と Azure AD 認証を使用して、空のマネージド ディスクにデータをアップロードしたり、マネージド ディスク (実行中の VM に接続されていない) やスナップショットのデータの読み取りまたはエクスポートを行ったりするためのアクセス許可を提供します。 | 959f8984-c045-4866-89c7-12bf9737be2e |
| Disk Backup Reader | ディスク バックアップを実行するためにコンテナーをバックアップするアクセス許可を提供します。 | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| ディスク プール オペレーター | ディスク プールに追加されたディスクを管理するためのアクセス許可を、StoragePool リソース プロバイダーに付与します。 | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
| Disk Restore Operator | ディスクの復元を実行するためにコンテナーをバックアップするアクセス許可を提供します。 | b50d9833-a0cb-478e-945f-707fcc997c13 |
| Disk Snapshot Contributor | ディスプのスナップショットを管理するためにコンテナーをバックアップするアクセス許可を提供します。 | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
| Virtual Machine Administrator Login | ポータルで仮想マシンを表示し、管理者としてログインします | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
| Virtual Machine Contributor | 仮想マシンの作成と管理、ディスクの管理、ソフトウェアのインストールと実行、VM 拡張機能を使用した仮想マシンのルート ユーザーのパスワードのリセット、VM 拡張機能を使用したローカル ユーザー アカウントの管理を行います。 このロールには、仮想マシンが接続されている仮想ネットワークまたはストレージ アカウントへの管理アクセス権は付与されません。 このロールでは、Azure RBAC でロールの割り当てを行うことはできません。 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 仮想マシン データ アクセス管理者 (プレビュー) | 仮想マシンのデータ プレーン ロールの割り当てを追加または削除します。 ロールの割り当てを制限する ABAC 条件が含まれています。 | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
| Virtual Machine User Login | ポータルで仮想マシンを表示し、通常のユーザーとしてログインします。 | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| Windows Admin Center 管理者ログイン | Windows Admin Center を介して、管理者としてリソースの OS を管理できます。 | a6333a3e-0164-44c3-b281-7a577aff287f |
| ネットワーク | ||
| CDN Endpoint Contributor | CDN エンドポイントを管理できますが、アクセス権を他のユーザーに付与することはできません。 | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| CDN Endpoint Reader | CDN エンドポイントを表示できますが、変更はできません。 | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| CDN Profile Contributor | CDN プロファイルとそのエンドポイントを管理できますが、アクセス権を他のユーザーに付与することはできません。 | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
| CDN Profile Reader | CDN プロファイルとそのエンドポイントを表示できますが、変更はできません。 | 8f96442b-4075-438f-813d-ad51ab4019af |
| Classic Network Contributor | 従来のネットワークを管理できます。ただし、それらへのアクセスは含まれません。 | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| DNS Zone Contributor | Azure DNS の DNS ゾーンとレコード セットを管理できますが、それにアクセスできるユーザーを制御することはできません。 | befefa01-2a29-4197-83a8-272ff33ce314 |
| Network Contributor | ネットワークを管理できます。ただし、それらへのアクセスは含まれません。 | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| プライベート DNS ゾーンの共同作成者 | プライベート DNS ゾーンのリソースを管理できますが、リンク先の仮想ネットワークを管理することはできません。 | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
| Traffic Manager Contributor | Traffic Manager プロファイルを管理できますが、それにアクセスできるユーザーを制御することはできません。 | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
| Storage | ||
| Avere 共同作成者 | Avere vFXT クラスターを作成および管理できます。 | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
| Avere オペレーター | クラスターを管理するために Avere vFXT クラスターによって使用されます | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
| Backup Contributor | バックアップ サービスを管理できますが、資格情報コンテナーの作成や他のユーザーに対するアクセス権の付与を行うことはできません | 5e467623-bb1f-42f4-a55d-6e525e11384b |
| Backup Operator | バックアップ サービスを管理できます (バックアップの削除、資格情報コンテナーの作成、他のユーザーに対するアクセス権の付与を除く) | 00c29273-979b-4161-815c-10b084fb9324 |
| Backup Reader | バックアップ サービスを表示できますが、変更を行うことはできません | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
| Classic Storage Account Contributor | 従来のストレージ アカウントを管理できますが、アクセスすることはできません。 | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| 従来のストレージ アカウント キー オペレーターのサービス ロール | 従来のストレージ アカウント キー オペレーターは、従来のストレージ アカウントでのキーの一覧表示と再生成を行うことができます | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| Data Box Contributor | Data Box サービスですべてを管理できます (他のユーザーに対するアクセス権の付与を除く)。 | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| Data Box 閲覧者 | Data Box サービスを管理できます (注文の作成または注文の詳細の編集、および他のユーザーに対するアクセス権の付与を除く)。 | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| Data Lake Analytics Developer | 独自のジョブを送信、監視、管理できますが、Data Lake Analytics アカウントを作成または削除することはできません。 | 47b7735b-770e-4598-a7da-8b91488b4c88 |
| Elastic SAN 所有者 | データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SAN のすべてのリソースへのフル アクセスを許可します | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
| Elastic SAN 閲覧者 | Azure Elastic SAN への制御パスの読み取りアクセスを許可します | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
| Elastic SAN ボリューム グループ所有者 | データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SAN のボリューム グループへのフル アクセスを許可します | a8281131-f312-4f34-8d98-ae12be9f0d23 |
| Reader and Data Access | すべてを表示することができますが、ストレージ アカウントや含まれるリソースの削除や作成はできません。 ストレージ アカウント キーへのアクセスを使用して、ストレージ アカウントに含まれるすべてのデータへの読み取り/書き込みアクセスも許可されます。 | c12c1c16-33a1-487b-954d-41c89c60f349 |
| ストレージ アカウントのバックアップ共同作成者 | ストレージ アカウントで Azure Backup を使用してバックアップ操作と復元操作を実行できます。 | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
| Storage Account Contributor | ストレージ アカウントの管理を許可します。 アカウント キーへのアクセスを提供します。これを使用して、共有キー認証を使用してデータにアクセスすることができます。 | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
| ストレージ アカウント キー オペレーターのサービス ロール | ストレージ アカウント アクセス キーを一覧表示および再生成できます。 | 81a9662b-bebf-436f-a333-f67b29880f12 |
| ストレージ BLOB データ共同作成者 | Azure Storage コンテナーと BLOB の読み取り、書き込み、削除を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| ストレージ BLOB データ所有者 | Azure Storage Blob コンテナーとデータに対するフル アクセス (POSIX アクセスの制御の割り当てを含む) を提供します。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
| ストレージ BLOB データ閲覧者 | Azure Storage コンテナーと BLOB の読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
| Storage Blob デリゲータ | Azure AD 資格情報で署名されたコンテナーまたは BLOB 用の共有アクセス署名を作成するために使用できるユーザー委任キーを取得します。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。 | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
| ストレージ ファイル データ権限付き共同作成者 | 既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azure ファイル共有内のファイル/ディレクトリの ACL の読み取り、書き込み、削除、変更を行うことができます。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
| ストレージ ファイル データ権限を持つ閲覧者 | 既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azure ファイル共有内のファイル/ディレクトリの読み取りアクセスを許可します。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 | b8eda974-7b85-4f76-af95-65846b26df6d |
| 記憶域ファイル データの SMB 共有の共同作成者 | Azure ファイル共有のファイルまたはディレクトリに対する読み取り、書き込み、削除のアクセス権を許可します。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
| 記憶域ファイル データの SMB 共有の管理者特権共同作成者 | Azure ファイル共有のファイルまたはディレクトリに対する ACL の読み取り、書き込み、削除、変更を許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の変更に相当します。 | a7264617-510b-434b-a828-9731dc254ea7 |
| ストレージ ファイル データの SMB 共有の閲覧者 | Azure ファイル共有のファイルまたはディレクトリに対する読み取りアクセスを許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の読み取りに相当します。 | aba4ae5f-2193-4029-9191-0cb91df5e314 |
| ストレージ キュー データ共同作成者共同作成者 | Azure Storage キューおよびキュー メッセージの読み取り、書き込み、削除を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| ストレージ キュー データのメッセージ プロセッサ | Azure Storage キューからのメッセージのピーク、取得、削除を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
| ストレージ キュー データ メッセージ送信者 | Azure Storage キューにメッセージを追加します。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
| ストレージ キュー データ閲覧者 | Azure Storage キューおよびキュー メッセージの読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 | 19e7f393-937e-4f77-808e-94535e297925 |
| ストレージ テーブル データ共同作成者 | Azure Storage テーブルおよびエンティティに対する読み取り、書き込み、削除のアクセスを許可します | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
| ストレージ テーブル データ閲覧者 | Azure Storage テーブルおよびエンティティに対する読み取りアクセスを許可します | 76199698-9eea-4c19-bc75-cec21354c6b6 |
| Web | ||
| Azure Maps データ共同作成者 | Azure Maps アカウントからのマップ関連データへの読み取り、書き込み、削除のアクセスを付与します。 | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
| Azure Maps データ閲覧者 | Azure Maps アカウントからマップ関連データを読み取るためのアクセス権を付与します。 | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
| Azure Spring Cloud Config Server 共同作成者 | Azure Spring Cloud Config Server への読み取り、書き込み、削除アクセスを許可します | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
| Azure Spring Cloud Config Server 閲覧者 | Azure Spring Cloud Config Server への読み取りアクセスを許可します | d04c6db6-4947-4782-9e91-30a88feb7be7 |
| Azure Spring Cloud データ閲覧者 | Azure Spring Cloud データへの読み取りアクセスを許可します | b5537268-8956-4941-a8f0-646150406f0c |
| Azure Spring Cloud Service Registry 共同作成者 | Azure Spring Cloud Service Registry への読み取り、書き込み、削除アクセスを許可します | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
| Azure Spring Cloud Service Registry 閲覧者 | Azure Spring Cloud Service Registry への読み取りアクセスを許可します | cff1b556-2399-4e7e-856d-a8f754be7b65 |
| Media Services アカウント管理者 | Media Services アカウントを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
| Media Services ライブ イベント管理者 | ライブ イベント、アセット、アセット フィルター、およびストリーミング ロケーターを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 | 532bc159-b25e-42c0-969e-a1d439f60d77 |
| Media Services メディア オペレーター | アセット、アセット フィルター、ストリーミング ロケーター、およびジョブを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 | e4395492-1534-4db2-bedf-88c14621589c |
| Media Services ポリシー管理者 | アカウント フィルター、ストリーミング ポリシー、コンテンツ キー ポリシー、および変換を作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 ジョブ、アセット、またはストリーミング リソースは作成できません。 | c4bba371-dacd-4a26-b320-7250bca963ae |
| Media Services ストリーミング エンドポイント管理者 | ストリーミング エンドポイントを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 | 99dba123-b5fe-44d5-874c-ced7199a5804 |
| 検索インデックス データ共同作成者 | Azure Cognitive Search インデックス データへのフル アクセスを付与します。 | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
| 検索インデックス データ閲覧者 | Azure Cognitive Search インデックス データへの読み取りアクセスを付与します。 | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
| Search Service Contributor | Search サービスを管理できます。ただし、それらへのアクセスは含まれません。 | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
| SignalR AccessKey 閲覧者 | SignalR サービス アクセス キーを読み取ります | 04165923-9d83-45d5-8227-78b77b0a687e |
| SignalR アプリ サーバー | AAD の認証オプションを使用して、アプリ サーバーが SignalR Service にアクセスできるようにします。 | 420fcaa2-552c-430f-98ca-3264be4806c7 |
| SignalR REST API 所有者 | Azure SignalR Service REST API へのフル アクセス | fd53cd77-2268-407a-8f46-7e7863d0f521 |
| SignalR REST API 閲覧者 | Azure SignalR Service REST API への読み取り専用アクセス | ddde6b66-c0df-4114-a159-3618637b3035 |
| SignalR Service 所有者 | Azure SignalR Service REST API へのフル アクセス | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
| SignalR/Web PubSub 共同作成者 | SignalR のサービス リソースの作成、読み取り、更新、削除を行います | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
| Web Plan Contributor | Web サイトの Web プランを管理します。 Azure RBAC でロールを割り当て許可をしません。 | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| Website Contributor | Web プランではなく、Web サイトを管理します。 Azure RBAC でロールを割り当て許可をしません。 | de139f84-1756-47ae-9be6-808fbbe84772 |
| Containers | ||
| AcrDelete | コンテナー レジストリからリポジトリ、タグ、またはマニフェストを削除します。 | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
| AcrImageSigner | コンテンツの信頼が有効になっているコンテナー レジストリに信頼済みのイメージをプッシュしたり、信頼済みのイメージをプルしたりします。 | 6cef56e8-d556-48e5-a04f-b8e64114680f |
| AcrPull | コンテナー レジストリから成果物をプルします。 | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
| AcrPush | コンテナー レジストリに成果物をプッシュしたり、成果物をプルしたりします。 | 8311e382-0749-4cb8-b61a-304f252e45ec |
| AcrQuarantineReader | コンテナー レジストリから検疫済みのイメージをプルします。 | cdda3590-29a3-44f6-95f2-9f980659eb04 |
| AcrQuarantineWriter | 検疫済みのイメージをコンテナー レジストリにプッシュしたり、検疫済みイメージをプルしたりします。 | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
| Azure Kubernetes Fleet Manager RBAC 管理者 | このロールは管理者アクセス権を付与します。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対して書き込みアクセス許可を提供します。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
| Azure Kubernetes Fleet Manager RBAC クラスター管理者 | フリート マネージャー クラスター内のすべてのリソースを管理できます。 | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
| Azure Kubernetes Fleet Manager RBAC リーダー | 名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
| Azure Kubernetes Fleet Manager RBAC ライター | 名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount として Secrets にアクセスできるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
| Azure Kubernetes Service クラスター管理者ロール | クラスター管理者の資格情報アクションを一覧表示します。 | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
| Azure Kubernetes Service クラスターの監視ユーザー | クラスター 監視ユーザーの資格情報アクションを一覧表示します。 | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
| Azure Kubernetes Service クラスター ユーザー ロール | クラスター ユーザーの資格情報アクションを一覧表示します。 | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
| Azure Kubernetes Service 共同作成者ロール | Azure Kubernetes Service クラスターへの読み取りおよび書き込みアクセスを許可します。 | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
| Azure Kubernetes Service RBAC 管理者 | リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。 | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
| Azure Kubernetes Service RBAC クラスター管理者 | クラスター内のすべてのリソースを管理できます。 | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
| Azure Kubernetes Service RBAC 閲覧者 | 名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
| Azure Kubernetes Service RBAC ライター | 名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
| データベース | ||
| Azure Connected SQL Server のオンボード | Arc 対応サーバー上の SQL Server 用 Azure リソースに対する読み取りおよび書き込みアクセスを許可します。 | e8113dce-c529-4d33-91fa-e9b972617508 |
| Cosmos DB アカウントの閲覧者ロール | Cosmos DB アカウントのデータを読み取ることができます。 Azure Cosmos DB アカウントの管理については、「DocumentDB Account Contributor」をご覧ください。 | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| Cosmos DB オペレーター | Azure Cosmos DB アカウントを管理することができます。ただし、アカウント内のデータにはアクセスできません。 アカウント キーと接続文字列へのアクセスは禁止されます。 | 230815da-be43-4aae-9cb4-875f7bd000aa |
| CosmosBackupOperator | Cosmos DB データベースまたはアカウントのコンテナーの復元要求を送信できます | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
| CosmosRestoreOperator | 継続的バックアップモードで Cosmos DB データベース アカウントの復元操作を実行できます | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
| DocumentDB Account Contributor | Azure Cosmos DB アカウントを管理できます。 Azure Cosmos DB は以前は DocumentDB と呼ばれていました。 | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| Redis Cache Contributor | Redis Caches を管理できます。ただし、それらへのアクセスは含まれません。 | e0f68234-74aa-48ed-b826-c38b57376e17 |
| SQL DB Contributor | SQL データベースを管理できます。ただし、それらへのアクセスは含まれません。 また、セキュリティ関連のポリシーまたは親 SQL Server を管理することはできません。 | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| SQL マネージド インスタンス共同作成者 | SQL マネージド インスタンスと必要なネットワーク構成を管理することができますが、他のユーザーにアクセス権を付与することはできません。 | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
| SQL Security Manager | SQL サーバーとデータベースのセキュリティ関連のポリシーを管理できます。ただし、それらへのアクセスは管理できません。 | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| SQL Server Contributor | SQL サーバーとデータベースを管理できます。ただし、それらへのアクセスや、それらのセキュリティ関連ポリシーは管理できません。 | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
| Analytics | ||
| Azure Event Hubs データ所有者 | Azure Event Hubs リソースへのフル アクセスを許可します。 | f526a384-b230-433a-b45c-95f59c4a2dec |
| Azure Event Hubs データ受信者 | Azure Event Hubs リソースへの受信アクセスを許可します。 | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Azure Event Hubs データ送信者 | Azure Event Hubs リソースへの送信アクセスを許可します。 | 2b629674-e913-4c01-ae53-ef4638d8f975 |
| Data Factory Contributor | データ ファクトリまたデータ ファクトリ内の子リソースを作成し管理します。 | 673868aa-7521-48a0-acc6-0f60742d39f5 |
| Data Purger | Log Analytics ワークスペースの非公開データを削除します。 | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| HDInsight クラスター オペレーター | HDInsight クラスター構成の読み取りと変更を実行できます。 | 61ed4efc-fab3-44fd-b111-e24485cc132a |
| HDInsight ドメイン サービス共同作成者 | HDInsight Enterprise セキュリティ パッケージに必要なドメイン サービス関連の操作の読み取り、作成、変更、削除を行うことができます。 | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
| Log Analytics Contributor | Log Analytics 共同作成者は、すべての監視データを読み取り、監視設定を編集できます。 監視設定の編集には、VM 拡張機能の VM への追加、Azure Storage からログの収集を設定できるようにするためのストレージ アカウント キーの読み取り、ソリューションの追加、すべての Azure リソースでの Azure Diagnostics の構成が含まれます。 | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
| Log Analytics Reader | Log Analytics Reader は、すべての監視データの表示と検索、およびすべての Azure リソース上の Azure Diagnostics 構成の表示など、監視設定の表示を行うことができます。 | 73c42c96-874c-492b-b04d-ab87d138a893 |
| Schema Registry Contributor (プレビュー) | Schema Registry グループおよびスキーマの読み取り、書き込み、および削除を行います。 | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
| Schema Registry Reader (プレビュー) | Schema Registry グループおよびスキーマの読み取りと一覧表示を行います。 | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
| Stream Analytics クエリ テスター | 最初に Stream Analytics ジョブを作成せずにクエリ テストを実行できるようにします | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
| AI + 機械学習 | ||
| AzureML データ サイエンティスト | コンピューティング リソースの作成または削除とワークスペース自体の変更を除く、Azure Machine Learning ワークスペース内のすべてのアクションを実行できます。 | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
| Cognitive Services 共同作成者 | Cognitive Services のキーの作成、読み取り、更新、削除、管理を行うことができます。 | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
| Cognitive Services Custom Vision Contributor | プロジェクトの表示、作成、編集、削除を含む、プロジェクトへのフル アクセス。 | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
| Cognitive Services Custom Vision Deployment | モデルの公開、非公開、またはエクスポートを行います。 Deployment は、プロジェクトを表示できますが、更新することはできません。 | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
| Cognitive Services Custom Vision Labeler | トレーニング画像の表示と編集、およびイメージ タグの作成、追加、または削除を行うことができます。 ラベラーはプロジェクトを表示できますが、トレーニング画像とタグ以外は更新できません。 | 88424f51-ebe7-446f-bc41-7fa16989e96c |
| Cognitive Services Custom Vision Reader | プロジェクトでの読み取り専用のアクション。 閲覧者がこのプロジェクトを作成または更新することはできません。 | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
| Cognitive Services Custom Vision Trainer | プロジェクトの表示、作成、およびモデルの公開、非公開、エクスポートを含む、モデルのトレーニングを行うことができます。 トレーナーがこのプロジェクトを作成または削除することはできません。 | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
| Cognitive Services データ閲覧者 (プレビュー) | Cognitive Services データを読み取ります。 | b59867f0-fa02-499b-be73-45a86b5b3e1c |
| Cognitive Services Face Recognizer | Face API に対する類似の操作の検出、検証、識別、グループ化、検索を実行できるようにします。 このロールでは、作成または削除操作は許可されません。そのため、"最小特権" のベスト プラクティスに従えば、推論機能のみを必要とするエンドポイントに適しています。 | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
| Cognitive Services Metrics Advisor Administrator | システム レベルの構成を含む、プロジェクトへのフル アクセス。 | cb43c632-a144-4ec5-977c-e80c4affc34a |
| Cognitive Services OpenAI 共同作成者 | テキストを微調整、展開、生成する機能を含むフル アクセス | a001fd3d-188f-4b5d-821b-7da978bf7442 |
| Cognitive Services OpenAI ユーザー | ファイル、モデル、デプロイを表示するための読み取りアクセス。 補完呼び出しと埋め込み呼び出しを作成する機能。 | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
| Cognitive Services QnA Maker エディター | KB の作成、編集、インポート、およびエクスポートが可能になります。 KB を公開または削除することはできません。 | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
| Cognitive Services QnA Maker 閲覧者 | KB のみ、読み取りとテストが可能になります。 | 466ccd10-b268-4a11-b098-b4849f024126 |
| Cognitive Services 使用状況閲覧者 | Cognitive Services の使用状況を表示するための最小限のアクセス許可。 | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
| Cognitive Services ユーザー | Cognitive Services のキーの読み取りおよび一覧表示を行うことができます。 | a97b65f3-24c7-4388-baec-2e87135dc908 |
| モノのインターネット | ||
| デバイス更新管理者 | 管理およびコンテンツ操作へのフル アクセスが付与されます。 | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
| デバイス更新コンテンツ管理者 | コンテンツ操作へのフル アクセスが付与されます。 | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
| デバイス更新コンテンツ閲覧者 | コンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません。 | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
| デバイス更新デプロイ管理者 | 管理操作へのフル アクセスが付与されます。 | e4237640-0e3d-4a46-8fda-70bc94856432 |
| デバイス更新デプロイ閲覧者 | 管理操作への読み取りアクセスが付与されますが、変更を加えることはできません。 | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
| デバイス更新閲覧者 | 管理操作およびコンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません。 | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
| IoT Hub データ共同作成者 | IoT Hub データ プレーン操作へのフル アクセスを許可します。 | 4fc6c259-987e-4a07-842e-c321cc9d413f |
| IoT Hub データ リーダー | IoT Hub データプレーン プロパティへの読み取りのフル アクセスを許可します | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
| IoT Hub レジストリ共同作成者 | IoT Hub デバイス レジストリへのフル アクセスを許可します。 | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
| IoT Hub ツイン共同作成者 | すべての IoT Hub デバイスとモジュール ツインに対する読み取りおよび書き込みのアクセスを許可します。 | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
| 複合現実 | ||
| Remote Rendering 管理者 | ユーザーに、Azure Remote Rendering での変換、セッション管理、レンダリング、および診断の機能を提供します。 | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
| Remote Rendering クライアント | ユーザーに、Azure Remote Rendering でのセッション管理、レンダリング、および診断の機能を提供します。 | d39065c4-c120-43c9-ab0a-63eed9795f0a |
| Spatial Anchors アカウント共同作成者 | アカウントで Spatial Anchors を管理します (削除は含まない) | 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827 |
| Spatial Anchors アカウント所有者 | アカウントで Spatial Anchors を管理します (削除も含む) | 70bbe301-9835-447d-afdd-19eb3167307c |
| Spatial Anchors アカウント閲覧者 | アカウントで Spatial Anchors のプロパティを検索して読み取ります | 5d51204f-eb77-4b1c-b86a-2ec626c49413 |
| 統合 | ||
| API Management Service Contributor | サービスと API を管理できます | 312a565d-c81f-4fd8-895a-4e21e48d571c |
| API Management Service Operator Role | サービスを管理できますが、API は対象外です | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| API Management Service Reader Role | サービスと API への読み取り専用アクセスです | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| API Management サービス ワークスペース API 開発者 | タグと製品への読み取りアクセスと、製品への API の割り当て、製品と API へのタグの割り当てを許可する書き込みアクセス権を持ちます。 このロールは、サービス スコープに割り当てる必要があります。 | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
| API Management サービス ワークスペース API プロダクト マネージャー | API Management サービス ワークスペース API 開発者と同じアクセス権だけでなく、ユーザーへの読み取りアクセス権と、グループへのユーザーの割り当てを可能にする書き込みアクセス権があります。 このロールは、サービス スコープに割り当てる必要があります。 | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
| API Management ワークスペース API 開発者 | ワークスペース内のエンティティに対する読み取りアクセス権と、API を編集するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 | 56328988-075d-4c6a-8766-d93edd6725b6 |
| API Management ワークスペース API プロダクト マネージャー | ワークスペース内のエンティティに対する読み取りアクセス権と、API を発行するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
| API Management ワークスペース共同作成者 | ワークスペースとビューを管理できますが、そのメンバーは変更できません。 このロールは、ワークスペース スコープに割り当てる必要があります。 | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
| API Management ワークスペース閲覧者 | ワークスペース内のエンティティに対する読み取り専用アクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2 |
| App Configuration データ所有者 | App Configuration データへのフル アクセスを許可します。 | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
| App Configuration データ閲覧者 | App Configuration データへの読み取りアクセスを許可します。 | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| Azure Relay リスナー | Azure Relay リソースへのリッスン アクセスを許可します。 | 26e0b698-aa6d-4085-9386-aadae190014d |
| Azure Relay 所有者 | Azure Relay リソースへのフル アクセスを許可します。 | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
| Azure Relay 送信者 | Azure Relay リソースへの送信アクセスを許可します。 | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
| Azure Service Bus データ所有者 | Azure Service Bus リソースへのフル アクセスを許可します。 | 090c5cfd-751d-490a-894a-3ce6f1109419 |
| Azure Service Bus データ受信者 | Azure Service Bus リソースへの受信アクセスを許可します。 | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
| Azure Service Bus データ送信者 | Azure Service Bus リソースへの送信アクセスを許可します。 | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
| Azure Stack Registration Owner | Azure Stack の登録を管理できます。 | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |
| EventGrid 共同作成者 | EventGrid 操作を管理できます。 | 1e241071-0855-49ea-94dc-649edcd759de |
| EventGrid データ送信者 | Event Grid イベントへの送信アクセスを許可します。 | d5a91429-5739-47e2-a06b-3470a27159e7 |
| EventGrid EventSubscription 共同作成者 | EventGrid のイベント サブスクリプション操作を管理できます。 | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
| EventGrid EventSubscription 閲覧者 | EventGrid のイベント サブスクリプションを読み取ることができます。 | 2414bbcf-6497-4faf-8c65-045460748405 |
| FHIR データ共同作成者 | ユーザーまたはプリンシパルに FHIR データへのフル アクセスを許可するロール | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
| FHIR データ エクスポーター | ユーザーまたはプリンシパルに FHIR データの読み取りとエクスポートを許可するロール | 3db33094-8700-4567-8da5-1501d4e7e843 |
| FHIR データ インポーター | ユーザーまたはプリンシパルに FHIR データの読み取りとインポートを許可するロール | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
| FHIR データ リーダー | ユーザーまたはプリンシパルに FHIR データの読み取りを許可するロール | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
| FHIR データ ライター | ユーザーまたはプリンシパルに FHIR データの読み取りと書き込みを許可するロール | 3f88fce4-5892-4214-ae73-ba5294559913 |
| 統合サービス環境の共同作成者 | 統合サービス環境を管理できますが、それらにアクセスすることはできません。 | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
| 統合サービス環境の開発者 | 開発者が統合サービス環境でワークフロー、統合アカウント、および API 接続を作成および更新することを許可します。 | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
| Intelligent Systems Account Contributor | Intelligent Systems のアカウントを管理できます。ただし、それらへのアクセスは含まれません。 | 03a6d094-3444-4b3d-88af-7477090a9e5e |
| Logic App Contributor | ロジック アプリを管理できますが、アクセス権を変更することはできません。 | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
| Logic App Operator | ロジック アプリの読み取り、有効化、無効化ができますが、編集または更新はできません。 | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
| ID | ||
| ドメイン サービス共同作成者 | Azure AD Domain Services と関連ネットワーク構成を管理できます | eeaeda52-9324-47f6-8069-5d5bade478b2 |
| ドメイン サービス閲覧者 | Azure Active Directory Domain Services と関連ネットワーク構成を表示できます | 361898ef-9ed1-48c2-849c-a832951106bb |
| Managed Identity Contributor | ユーザー割り当て ID の作成、読み取り、更新、削除を行います | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
| Managed Identity Operator | ユーザー割り当て ID の読み取りと割り当てを行います | f1a07417-d97a-45cb-824c-7a7467783830 |
| Security | ||
| アプリ コンプライアンス オートメーション管理者 | レポート オブジェクトおよび関連する他のリソース オブジェクトを作成、読み取り、ダウンロード、変更、および削除します。 | 0f37683f-2463-46b6-9ce7-9b788b988ba2 |
| アプリ コンプライアンス オートメーション閲覧者 | レポート オブジェクトおよび関連する他のリソース オブジェクトを読み取り、ダウンロードします。 | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
| Attestation Contributor | 構成証明プロバイダー インスタンスの読み取り、書き込み、または削除ができます | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
| Attestation Reader | 構成証明プロバイダーのプロパティを読み取ることができます | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
| Key Vault Administrator | キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、シークレットを含む) に対して、すべてのデータ プレーン操作を実行します。 キー コンテナー リソースの管理やロール割り当ての管理はできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Key Vault Certificates Officer | キーコンテナーの証明書に対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault Contributor | キー コンテナーを管理しますが、Azure RBAC でのロール割り当ては許可されず、シークレット、キー、証明書へのアクセスも許可されません。 | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| Key Vault Crypto Officer | キーコンテナーのキーに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Key Vault Crypto Service Encryption User | キーのメタデータを読み取り、wrap および unwrap 操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault Crypto User | キーを使用した暗号化操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault データ アクセス管理者 (プレビュー) | Key Vault 管理者、Key Vault 証明書オフィサー、Key Vault Crypto オフィサー、Key Vault Crypto サービス暗号化ユーザー、Key Vault Crypto ユーザー、Key Vault 閲覧者、Key Vault シークレット オフィサー、または Key Vault シークレット ユーザー ロールのロールを追加または削除して、Azure Key Vault へのアクセスを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。 | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
| Key Vault Reader | キー コンテナーとその証明書、キー、シークレットのメタデータを読み取ります。 シークレット コンテンツやキー マテリアルなどの機密値を読み取ることはできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault Secrets Officer | キーコンテナーのシークレットに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Key Vault Secrets User | シークレット コンテンツを読み取ります。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 4633458b-17de-408a-b874-0445c86b69e6 |
| Managed HSM contributor | マネージド HSM プールを管理できます。ただし、それらへのアクセスは含まれません。 | 18500a29-7fe2-46b2-a342-b16a415e101d |
| Microsoft Sentinel Automation 共同作成者 | Microsoft Sentinel Automation 共同作成者 | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
| Microsoft Sentinel 共同作成者 | Microsoft Sentinel 共同作成者 | ab8e14d6-4a74-4a29-9ba8-549422addade |
| Microsoft Sentinel プレイブック オペレーター | Microsoft Sentinel プレイブック オペレーター | 51d6186e-6489-4900-b93f-92e23144cca5 |
| Microsoft Sentinel 閲覧者 | Microsoft Sentinel 閲覧者 | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
| Microsoft Sentinel レスポンダー | Microsoft Sentinel レスポンダー | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
| Security Admin | Microsoft Defender for Cloud のアクセス許可を表示および更新します。 セキュリティ閲覧者と同じアクセス許可があり、セキュリティ ポリシーの更新、アラートと推奨事項の無視も可能になります。 Microsoft Defender for IoT については、OT および Enterprise IoT 監視用の Azure ユーザー ロールに関するページを参照してください。 |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
| Security Assessment Contributor | 評価を Microsoft Defender for Cloud にプッシュできます | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
| セキュリティ マネージャー (レガシ) | これは、レガシ ロールです。 代わりに Security Admin を使用してください。 | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
| Security Reader | Microsoft Defender for Cloud のアクセス許可を表示します。 推奨事項、警告、セキュリティ ポリシー、セキュリティの状態を閲覧できますが、変更することはできません。 Microsoft Defender for IoT については、OT および Enterprise IoT 監視用の Azure ユーザー ロールに関するページを参照してください。 |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
| DevOps | ||
| DevTest Labs User | Azure DevTest Labs で仮想マシンの接続、起動、再起動、シャットダウンができます。 | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
| ラボ アシスタント | 既存のラボを表示し、ラボ VM でアクションを実行し、ラボへの招待を送信できます。 | ce40b423-cede-4313-a93f-9b28290b72e1 |
| ラボ共同作成者 | ラボ レベルで適用すると、ラボを管理できます。 リソース グループで適用すると、ラボを作成および管理できます。 | 5daaa2af-1fe8-407c-9122-bba179798270 |
| Lab Creator | Azure ラボ アカウントに新しいラボを作成できます。 | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
| ラボ オペレーター | 既存のラボを管理する限られた機能を提供します。 | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
| ラボ サービス共同作成者 | リソース グループでの、Lab Services のすべてのシナリオを完全に制御できます。 | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
| ラボ サービス閲覧者 | すべてのラボ プランとラボ リソースを表示できますが、変更することはできません。 | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
| 監視 | ||
| Application Insights Component Contributor | Application Insights コンポーネントを管理できます | ae349356-3a1b-4a5e-921d-050484c6347e |
| Application Insights Snapshot Debugger | Application Insights スナップショット デバッガーで収集されたデバック スナップショットの表示とダウンロードを実行できるアクセス許可をユーザーに与えます。 これらのアクセス許可は、所有者ロールまたは共同作成者ロールには含まれないことに注意してください。 ユーザーに Application Insights スナップショット デバッガー ロールを与える場合は、そのロールをユーザーに直接付与する必要があります。 このロールは、カスタム ロールに追加されるときに認識されません。 | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
| Monitoring Contributor | すべての監視データを読み取り、監視設定を編集できます。 「Azure Monitor での役割、アクセス許可、およびセキュリティの概要」も参照してください。 | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| 監視メトリック パブリッシャー | Azure リソースに対するメトリックの公開を有効にします | 3913510d-42f4-4e42-8a64-420c390055eb |
| Monitoring Reader | すべての監視データ (メトリック、ログなど) を読み取ることができます。 「Azure Monitor での役割、アクセス許可、およびセキュリティの概要」も参照してください。 | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
| Workbook Contributor | 共有ブックを保存できます。 | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
| Workbook Reader | ブックの読み取りが可能です。 | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
| 管理とガバナンス | ||
| オートメーション 共同作成者 | Azure Automation を使用して、Azure Automation リソースとその他のリソースを管理します。 | f353d9bd-d4a6-484e-a77a-8050b599b867 |
| Automation Job Operator | Automation Runbook を使用してジョブを作成および管理します。 | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
| Automation Operator | Automation オペレーターはジョブを開始、停止、中断、再開することができます | d3881f73-407a-4167-8283-e981cbba0404 |
| Automation Runbook Operator | Runbook のジョブを作成する方法については、Runbook のプロパティを参照してください。 | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
| Azure Arc 対応 Kubernetes クラスター ユーザー ロール | クラスター ユーザーの資格情報アクションを一覧表示します。 | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
| Azure Arc Kubernetes 管理者 | リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。 | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
| Azure Arc Kubernetes クラスター管理者 | クラスター内のすべてのリソースを管理できます。 | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
| Azure Arc Kubernetes ビューアー | クラスターおよび名前空間内のすべてのリソース (シークレットを除く) を表示できます。 | 63f0a09d-1495-4db4-a681-037d84835eb4 |
| Azure Arc Kubernetes ライター | (クラスター) ロール、(クラスター) ロール バインドを除く、クラスターおよび名前空間内のすべてを更新できます。 | 5b999177-9696-4545-85c7-50de3797e5a1 |
| Azure Connected Machine のオンボード | Azure Connected Machine をオンボードできます。 | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
| Azure Connected Machine のリソース管理者 | Azure Connected Machine の読み取り、書き込み、削除、再オンボードを実行できます。 | cd570a14-e51a-42ad-bac8-bafd67325302 |
| Billing Reader | 課金データへの読み取りアクセスを許可します | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| ブループリント共同作成者 | ブループリントの定義を管理できますが、それらを割り当てることはできません。 | 41077137-e803-4205-871c-5a86e6a753b4 |
| ブループリント オペレーター | 既存の発行済みのブループリントを割り当てることはできますが、ブループリントの新規作成はできません。 これは、ユーザーが割り当てたマネージド ID を使用して割り当てが行われた場合にのみ機能することに注意してください。 | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
| Cost Management 共同作成者 | コストを表示し、コストの構成 (予算、エクスポートなど) を管理することができます。 | 434105ed-43f6-45c7-a02f-909b2ba83430 |
| Cost Management 閲覧者 | コストのデータと構成 (予算、エクスポートなど) を表示することができます。 | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
| Hierarchy Settings Administrator | ユーザーに、階層設定の編集と削除を許可します | 350f8d15-c687-4448-8ae1-157740a3936d |
| Kubernetes クラスター - Azure Arc のオンボード | connectedClusters リソースを作成するため、あらゆるユーザーまたはサービスを承認するロール定義 | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
| Kubernetes 拡張機能共同作成者 | Kubernetes 拡張機能の作成、更新、取得、一覧表示、削除を行い、拡張機能の非同期操作を取得することができます | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
| Managed Application Contributor Role | マネージド アプリケーション リソースの作成を許可します。 | 641177b8-a67a-45b9-a033-47bc880bb21e |
| Managed Application Operator Role | マネージド アプリケーション リソースに対する読み取りとアクションの実行が可能です。 | c7393b34-138c-406f-901b-d8cf2b17e6ae |
| Managed Applications 閲覧者 | マネージド アプリおよび要求 JIT アクセスでリソースを読み取ることができます。 | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
| マネージド サービスの登録割り当て削除ロール | マネージド サービスの登録割り当て削除ロールを使用すると、テナント管理ユーザーは、テナントに割り当てられている登録割り当てを削除できます。 | 91c1777a-f3dc-4fae-b103-61d183457e46 |
| 管理グループ共同作成者 | 管理グループ共同作成者ロール | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| 管理グループ閲覧者 | 管理グループ閲覧者ロール | ac63b705-f282-497d-ac71-919bf39d939d |
| New Relic APM Account Contributor | New Relic Application Performance Management のアカウントとアプリケーションを管理できます。ただし、それらへのアクセスは含まれません。 | 5d28c62d-5b37-4476-8438-e587778df237 |
| Policy Insights データ ライター (プレビュー) | リソース ポリシーに対する読み取りアクセスとリソース コンポーネント ポリシー イベントへの書き込みアクセスを許可します。 | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
| クォータ要求オペレーター | クォータ要求の読み取り、作成を行い、クォータ要求の状態を取得して、サポート チケットを作成します。 | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
| Reservation Purchaser | 予約を購入できるようになります | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
| リソース ポリシーの共同作成者 | リソース ポリシーの作成または変更、サポート チケットの作成、リソースまたは階層の読み取りを行う権限を持つユーザー。 | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| Site Recovery Contributor | 資格情報コンテナーの作成とロールの割り当てを除く、Site Recovery サービスを管理できます | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| Site Recovery Operator | フェールオーバーとフェールバックを実行できますが、その他の Site Recovery 管理操作は実行しません | 494ae006-db33-4328-bf46-533a6560a3ca |
| Site Recovery Reader | Site Recovery の状態を表示できますが、その他の管理操作は実行できません | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| Support Request Contributor | Support request を作成して管理できます | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| タグ共同作成者 | エンティティ自体へのアクセスを提供することなく、エンティティのタグを管理できます。 | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
| テンプレート スペック共同作成者 | 割り当てられたスコープでテンプレート スペック操作へのフル アクセスを許可します。 | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
| テンプレート スペック閲覧者 | 割り当てられたスコープでテンプレート スペックへの読み取りアクセスを許可します。 | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
| 仮想デスクトップ インフラストラクチャ | ||
| Desktop Virtualization Application Group Contributor | デスクトップ仮想化アプリケーション グループの共同作成者。 | 86240b0e-9422-4c43-887b-b61143f32ba8 |
| Desktop Virtualization Application Group Reader | デスクトップ仮想化アプリケーション グループの閲覧者。 | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
| デスクトップ仮想化共同作成者 | デスクトップ仮想化の共同作成者。 | 082f0a83-3be5-4ba1-904c-961cca79b387 |
| Desktop Virtualization Host Pool Contributor | デスクトップ仮想化ホスト プールの共同作成者。 | e307426c-f9b6-4e81-87de-d99efb3c32bc |
| Desktop Virtualization Host Pool Reader | デスクトップ仮想化ホスト プールの閲覧者。 | ceadfde2-b300-400a-ab7b-6143895aa822 |
| デスクトップ仮想化閲覧者 | デスクトップ仮想化の閲覧者。 | 49a72310-ab8d-41df-bbb0-79b649203868 |
| Desktop Virtualization Session Host Operator | デスクトップ仮想化セッション ホストのオペレーター。 | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
| デスクトップ仮想化ユーザー | ユーザーにアプリケーション グループ内のアプリケーションを使用することを許可します。 | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
| Desktop Virtualization User Session Operator | デスクトップ仮想化のユーザー セッションのオペレーター。 | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
| Desktop Virtualization Workspace Contributor | デスクトップ仮想化ワークスペースの共同作成者。 | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
| Desktop Virtualization Workspace Reader | デスクトップ仮想化ワークスペースの閲覧者。 | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
| その他 | ||
| Azure Digital Twins データ所有者 | Digital Twins データプレーンのフル アクセス ロール | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Azure Digital Twins データ リーダー | Digital Twins データプレーン プロパティの読み取り専用ロール | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
| BizTalk Contributor | BizTalk Services を管理できます。ただし、それらへのアクセスは含まれません。 | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
| Grafana 管理者 | データ ソースの管理、ダッシュボードの作成、Grafana 内でのロールの割り当ての管理など、すべての Grafana 操作を実行します。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Grafana エディター | ダッシュボードやアラートなど、Grafana インスタンスを表示および編集します。 | a79a5197-3a5c-4973-a920-486035ffd60f |
| Grafana ビューアー | ダッシュボードとアラートを含む Grafana インスタンスを表示します。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
| ロード テスト共同作成者 | ロード テストの表示、作成、更新、削除、実行を行います。 ロード テスト リソースを表示および一覧表示できますが、変更することはできません。 | 749a398d-560b-491b-bb21-08924219302e |
| ロード テスト所有者 | ロード テスト リソースとロード テストのすべての操作を実行します | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
| ロード テスト閲覧者 | すべてのロード テストとロード テスト リソースを表示および一覧表示できますが、変更することはできません | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
| Scheduler Job Collections Contributor | スケジューラ ジョブ コレクションを管理できます。ただし、それらへのアクセスは含まれません。 | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
| Services Hub Operator | Services Hub Operator を使用すると、サービス ハブ コネクタに関連するすべての読み取り、書き込み、削除の操作を実行できます。 | 82200a5b-e217-47a5-b665-6d8765ee745b |
全般
共同作成者
すべてのリソースを管理するためのフル アクセスが付与されますが、Azure RBAC でロールを割り当てたり、Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。 詳細情報
| アクション | 説明 |
|---|---|
| * | あらゆる種類のリソースの作成と管理 |
| NotActions | |
| Microsoft.Authorization/*/Delete | ロール、ポリシーの割り当て、ポリシーの定義、ポリシー セットの定義を削除します。 |
| Microsoft.Authorization/*/Write | ロール、ロールの割り当て、ポリシーの割り当て、ポリシーの定義、ポリシー セットの定義を作成します。 |
| Microsoft.Authorization/elevateAccess/Action | テナント スコープで、ユーザー アクセス管理者のアクセス権を呼び出し元に付与する |
| Microsoft.Blueprint/blueprintAssignments/write | 任意のブループリント割り当てを作成または更新します |
| Microsoft.Blueprint/blueprintAssignments/delete | 任意のブループリント割り当てを削除します |
| Microsoft.Compute/galleries/share/action | ギャラリーを別のスコープに共有します |
| Microsoft.Purview/consents/write | 同意のリソースを作成または更新します。 |
| Microsoft.Purview/consents/delete | 同意のリソースを削除します。 |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
所有者
Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。 詳細情報
| アクション | 説明 |
|---|---|
| * | あらゆる種類のリソースの作成と管理 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
閲覧者
すべてのリソースを表示しますが、変更を加えることはできません。 詳細情報
| アクション | 説明 |
|---|---|
| */read | 機密データを除くあらゆる種類のリソースの読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "View all resources, but does not allow you to make any changes.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"name": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ロール ベースのアクセス制御管理者 (プレビュー)
Azure RBACを使用してロールを割り当てることにより、Azure リソースへのアクセスを管理します。 このロールでは、Azure Policy などの他の方法を使用してアクセスを管理することはできません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| */read | 機密データを除くあらゆる種類のリソースの読み取り |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator (Preview)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
User Access Administrator
Azure リソースに対するユーザー アクセスを管理します。 詳細情報
| アクション | 説明 |
|---|---|
| */read | 機密データを除くあらゆる種類のリソースの読み取り |
| Microsoft.Authorization/* | 承認の管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Compute
Classic Virtual Machine Contributor
従来の仮想マシンを管理できますが、アクセスすることはできません。また、接続先の仮想ネットワークやストレージ アカウントにもアクセスできません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ClassicCompute/domainNames/* | 従来のコンピューティング ドメイン名の作成と管理 |
| Microsoft.ClassicCompute/virtualMachines/* | 仮想マシンの作成と管理 |
| Microsoft.ClassicNetwork/networkSecurityGroups/join/action | |
| Microsoft.ClassicNetwork/reservedIps/link/action | 予約済み IP をリンクします。 |
| Microsoft.ClassicNetwork/reservedIps/read | 予約済み IP を取得します。 |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | 仮想ネットワークに参加します。 |
| Microsoft.ClassicNetwork/virtualNetworks/read | 仮想ネットワークを取得します。 |
| Microsoft.ClassicStorage/storageAccounts/disks/read | ストレージ アカウント ディスクを返します。 |
| Microsoft.ClassicStorage/storageAccounts/images/read | ストレージ アカウント イメージを返します。 (非推奨。'Microsoft.ClassicStorage/storageAccounts/vmImages' を使用してください。) |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ストレージ アカウントのアクセス キーを一覧表示します。 |
| Microsoft.ClassicStorage/storageAccounts/read | 特定のアカウントのストレージ アカウントを返します。 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage classic virtual machines, but not access to them, and not the virtual network or storage account they're connected to.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d73bb868-a0df-4d4d-bd69-98a00b01fccb",
"name": "d73bb868-a0df-4d4d-bd69-98a00b01fccb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/domainNames/*",
"Microsoft.ClassicCompute/virtualMachines/*",
"Microsoft.ClassicNetwork/networkSecurityGroups/join/action",
"Microsoft.ClassicNetwork/reservedIps/link/action",
"Microsoft.ClassicNetwork/reservedIps/read",
"Microsoft.ClassicNetwork/virtualNetworks/join/action",
"Microsoft.ClassicNetwork/virtualNetworks/read",
"Microsoft.ClassicStorage/storageAccounts/disks/read",
"Microsoft.ClassicStorage/storageAccounts/images/read",
"Microsoft.ClassicStorage/storageAccounts/listKeys/action",
"Microsoft.ClassicStorage/storageAccounts/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Classic Virtual Machine Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
マネージド ディスクのデータ演算子
SAS URI と Azure AD 認証を使用して、空のマネージド ディスクにデータをアップロードしたり、マネージド ディスク (実行中の VM に接続されていない) やスナップショットのデータの読み取りまたはエクスポートを行ったりするためのアクセス許可を提供します。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Compute/disks/download/action | ディスク SAS URI に対して読み取りデータ操作を実行します |
| Microsoft.Compute/disks/upload/action | ディスク SAS URI に対して書き込みデータ操作を実行します |
| Microsoft.Compute/snapshots/download/action | スナップショット SAS URI に対して読み取りデータ操作を実行します |
| Microsoft.Compute/snapshots/upload/action | スナップショット SAS URI に対して書き込みデータ操作を実行します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to upload data to empty managed disks, read, or export data of managed disks (not attached to running VMs) and snapshots using SAS URIs and Azure AD authentication.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/959f8984-c045-4866-89c7-12bf9737be2e",
"name": "959f8984-c045-4866-89c7-12bf9737be2e",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Compute/disks/download/action",
"Microsoft.Compute/disks/upload/action",
"Microsoft.Compute/snapshots/download/action",
"Microsoft.Compute/snapshots/upload/action"
],
"notDataActions": []
}
],
"roleName": "Data Operator for Managed Disks",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Disk Backup Reader
ディスク バックアップを実行するためにコンテナーをバックアップするアクセス許可を提供します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Compute/disks/read | ディスクのプロパティを取得します。 |
| Microsoft.Compute/disks/beginGetAccess/action | BLOB へのアクセス用にディスクの SAS URI を取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides permission to backup vault to perform disk backup.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e5e47e6-65f7-47ef-90b5-e5dd4d455f24",
"name": "3e5e47e6-65f7-47ef-90b5-e5dd4d455f24",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/beginGetAccess/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Disk Backup Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ディスク プール オペレーター
ディスク プールに追加されたディスクを管理するためのアクセス許可を、StoragePool リソース プロバイダーに付与します。
| アクション | 説明 |
|---|---|
| Microsoft.Compute/disks/write | 新しいディスクを作成するか、既存のディスクを更新します。 |
| Microsoft.Compute/disks/read | ディスクのプロパティを取得します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Used by the StoragePool Resource Provider to manage Disks added to a Disk Pool.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/60fc6e62-5479-42d4-8bf4-67625fcc2840",
"name": "60fc6e62-5479-42d4-8bf4-67625fcc2840",
"permissions": [
{
"actions": [
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Disk Pool Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Disk Restore Operator
ディスクの復元を実行するためにコンテナーをバックアップするアクセス許可を提供します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Compute/disks/write | 新しいディスクを作成するか、既存のディスクを更新します。 |
| Microsoft.Compute/disks/read | ディスクのプロパティを取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides permission to backup vault to perform disk restore.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b50d9833-a0cb-478e-945f-707fcc997c13",
"name": "b50d9833-a0cb-478e-945f-707fcc997c13",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Disk Restore Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Disk Snapshot Contributor
ディスプのスナップショットを管理するためにコンテナーをバックアップするアクセス許可を提供します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Compute/snapshots/delete | スナップショットを削除します。 |
| Microsoft.Compute/snapshots/write | 新しいスナップショットを作成するか、既存のスナップショットを更新します。 |
| Microsoft.Compute/snapshots/read | スナップショットのプロパティを取得します。 |
| Microsoft.Compute/snapshots/beginGetAccess/action | BLOB アクセス用のスナップショットの SAS URI を取得します。 |
| Microsoft.Compute/snapshots/endGetAccess/action | スナップショットの SAS URI を取り消します。 |
| Microsoft.Compute/disks/beginGetAccess/action | BLOB へのアクセス用にディスクの SAS URI を取得します。 |
| Microsoft.Storage/storageAccounts/listkeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/storageAccounts/write | 指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。 |
| Microsoft.Storage/storageAccounts/read | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Storage/storageAccounts/delete | 既存のストレージ アカウントを削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides permission to backup vault to manage disk snapshots.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7efff54f-a5b4-42b5-a1c5-5411624893ce",
"name": "7efff54f-a5b4-42b5-a1c5-5411624893ce",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Disk Snapshot Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Virtual Machine Administrator Login
ポータルで仮想マシンを表示し、管理者としてログインします。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します。 |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Compute/virtualMachines/*/read | |
| Microsoft.HybridCompute/machines/*/read | |
| Microsoft.HybridConnectivity/endpoints/listCredentials/action | リソースへのエンドポイント アクセス資格情報を一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Compute/virtualMachines/login/action | 仮想マシンに通常のユーザーとしてログインします。 |
| Microsoft.Compute/virtualMachines/loginAsAdmin/action | Windows 管理者または Linux のルート ユーザーの権限で仮想マシンにログインします。 |
| Microsoft.HybridCompute/machines/login/action | Azure Arc マシンに通常のユーザーとしてログインします |
| Microsoft.HybridCompute/machines/loginAsAdmin/action | Windows 管理者または Linux のルート ユーザーの権限で Azure Arc マシンにログインします |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "View Virtual Machines in the portal and login as administrator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1c0163c0-47e6-4577-8991-ea5c82e286e4",
"name": "1c0163c0-47e6-4577-8991-ea5c82e286e4",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Compute/virtualMachines/*/read",
"Microsoft.HybridCompute/machines/*/read",
"Microsoft.HybridConnectivity/endpoints/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Compute/virtualMachines/login/action",
"Microsoft.Compute/virtualMachines/loginAsAdmin/action",
"Microsoft.HybridCompute/machines/login/action",
"Microsoft.HybridCompute/machines/loginAsAdmin/action"
],
"notDataActions": []
}
],
"roleName": "Virtual Machine Administrator Login",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Virtual Machine Contributor
仮想マシンの作成と管理、ディスクの管理、ソフトウェアのインストールと実行、VM 拡張機能を使用した仮想マシンのルート ユーザーのパスワードのリセット、VM 拡張機能を使用したローカル ユーザー アカウントの管理を行います。 このロールには、仮想マシンが接続されている仮想ネットワークまたはストレージ アカウントへの管理アクセス権は付与されません。 このロールでは、Azure RBAC でロールの割り当てを行うことはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Compute/availabilitySets/* | コンピューティング可用性セットの作成と管理 |
| Microsoft.Compute/locations/* | コンピューティングの場所の作成と管理 |
| Microsoft.Compute/virtualMachines/* | 仮想マシンの作成、更新、削除、起動、再起動、電源オフを含む、すべての仮想マシン操作を実行します。 仮想マシンでスクリプトを実行します。 |
| Microsoft.Compute/virtualMachineScaleSets/* | 仮想マシン スケールセットの作成と管理 |
| Microsoft.Compute/cloudServices/* | |
| Microsoft.Compute/disks/write | 新しいディスクを作成するか、既存のディスクを更新します。 |
| Microsoft.Compute/disks/read | ディスクのプロパティを取得します。 |
| Microsoft.Compute/disks/delete | ディスクを削除します。 |
| Microsoft.DevTestLab/schedules/* | |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Network/applicationGateways/backendAddressPools/join/action | アプリケーション ゲートウェイのバックエンド アドレス プールを接続します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | ロード バランサーのバックエンド アドレス プールを接続します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/inboundNatPools/join/action | ロード バランサーの受信 NAT プールを接続します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | ロード バランサーのインバウンド NAT 規則を接続します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/probes/join/action | ロード バランサーのプローブの使用を許可します。 たとえば、このアクセス許可では、VM スケール セットの healthProbe プロパティでプローブを参照できます。 警告不可能です。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します。 |
| Microsoft.Network/locations/* | ネットワークの場所の作成と管理 |
| Microsoft.Network/networkInterfaces/* | ネットワーク インターフェイスの作成と管理 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得します。 |
| Microsoft.Network/publicIPAddresses/join/action | パブリック IP アドレスに接続します。 警告不可能です。 |
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.RecoveryServices/locations/* | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write | バックアップの保護インテントを作成します |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/*/read | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read | 保護された項目のオブジェクトの詳細を返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write | バックアップ保護項目を作成します。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read | すべての保護ポリシーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/write | 保護ポリシーを作成します。 |
| Microsoft.RecoveryServices/Vaults/read | "コンテナーの取得" 操作では、"コンテナー" 型の Azure リソースを表すオブジェクトを取得します。 |
| Microsoft.RecoveryServices/Vaults/usages/read | Recovery Services コンテナーの使用状況の詳細を返します。 |
| Microsoft.RecoveryServices/Vaults/write | "コンテナーの作成" 操作では、"コンテナー" 型の Azure リソースを作成します。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.SerialConsole/serialPorts/connect/action | シリアル ポートに接続する |
| Microsoft.SqlVirtualMachine/* | |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/storageAccounts/read | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage virtual machines, but not access to them, and not the virtual network or storage account they're connected to.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/9980e02c-c2be-4d73-94e8-173b1dc7cf3c",
"name": "9980e02c-c2be-4d73-94e8-173b1dc7cf3c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/locations/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Compute/virtualMachineScaleSets/*",
"Microsoft.Compute/cloudServices/*",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.DevTestLab/schedules/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/applicationGateways/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/loadBalancers/probes/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/locations/*",
"Microsoft.Network/networkInterfaces/*",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.RecoveryServices/locations/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/*/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write",
"Microsoft.RecoveryServices/Vaults/backupPolicies/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/write",
"Microsoft.RecoveryServices/Vaults/read",
"Microsoft.RecoveryServices/Vaults/usages/read",
"Microsoft.RecoveryServices/Vaults/write",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.SerialConsole/serialPorts/connect/action",
"Microsoft.SqlVirtualMachine/*",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Virtual Machine Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
仮想マシン データ アクセス管理者 (プレビュー)
仮想マシンのデータ プレーン ロールの割り当てを追加または削除します。 ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/roleAssignments/write | |
| Microsoft.Authorization/roleAssignments/delete | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | |
| Microsoft.Management/managementGroups/read | 認証済みユーザーの管理グループを一覧表示します。 |
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します。 |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Compute/virtualMachines/*/read | |
| Microsoft.HybridCompute/machines/*/read | |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| Condition | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52})) | 以下のロールでロールの割り当てを追加または削除します: Virtual Machine Administrator Login Virtual Machine User Login |
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/66f75aeb-eabe-4b70-9f1e-c350c4c9ad04",
"properties": {
"roleName": "Virtual Machine Data Access Administrator (preview)",
"description": "Add or remove virtual machine data plane role assignments. Includes an ABAC condition to constrain role assignments.",
"assignableScopes": [
"/"
],
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Compute/virtualMachines/*/read",
"Microsoft.HybridCompute/machines/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{1c0163c0-47e6-4577-8991-ea5c82e286e4, fb879df8-f326-4884-b1cf-06f3ad86be52}))"
}
]
}
}
Virtual Machine User Login
ポータルで仮想マシンを表示し、通常のユーザーとしてログインします。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します。 |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Compute/virtualMachines/*/read | |
| Microsoft.HybridCompute/machines/*/read | |
| Microsoft.HybridConnectivity/endpoints/listCredentials/action | リソースへのエンドポイント アクセス資格情報を一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Compute/virtualMachines/login/action | 仮想マシンに通常のユーザーとしてログインします。 |
| Microsoft.HybridCompute/machines/login/action | Azure Arc マシンに通常のユーザーとしてログインします |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "View Virtual Machines in the portal and login as a regular user.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb879df8-f326-4884-b1cf-06f3ad86be52",
"name": "fb879df8-f326-4884-b1cf-06f3ad86be52",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Compute/virtualMachines/*/read",
"Microsoft.HybridCompute/machines/*/read",
"Microsoft.HybridConnectivity/endpoints/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Compute/virtualMachines/login/action",
"Microsoft.HybridCompute/machines/login/action"
],
"notDataActions": []
}
],
"roleName": "Virtual Machine User Login",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Windows Admin Center 管理者ログイン
Windows Admin Center を介して、管理者としてリソースの OS を管理できます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.HybridCompute/machines/*/read | |
| Microsoft.HybridCompute/machines/extensions/* | |
| Microsoft.HybridCompute/machines/upgradeExtensions/action | Azure Arc マシンの拡張機能をアップグレードします |
| Microsoft.HybridCompute/operations/read | Azure Arc for servers に対するすべての操作が読み取られます |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します。 |
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得します。 |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | 既定のセキュリティ規則の定義を取得します。 |
| Microsoft.Network/networkWatchers/securityGroupView/action | VM に適用されている構成済みの有効なネットワーク セキュリティ グループ規則を表示します。 |
| Microsoft.Network/networkSecurityGroups/securityRules/read | セキュリティ規則の定義を取得します。 |
| Microsoft.Network/networkSecurityGroups/securityRules/write | セキュリティ規則を作成するか、既存のセキュリティ規則を更新します。 |
| Microsoft.HybridConnectivity/endpoints/write | ターゲット リソースへのエンドポイントを作成または更新します。 |
| Microsoft.HybridConnectivity/endpoints/read | ターゲット リソースへのエンドポイントを取得または一覧表示します。 |
| Microsoft.HybridConnectivity/endpoints/listManagedProxyDetails/action | |
| Microsoft.Compute/virtualMachines/read | 仮想マシンのプロパティを取得する |
| Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/read | 最新のパッチの評価操作に関する概要を取得します |
| Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches/read | 最後のパッチの評価操作中に評価されたパッチの一覧を取得します |
| Microsoft.Compute/virtualMachines/patchInstallationResults/read | 最新のパッチのインストール操作の概要を取得します |
| Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read | 最後のパッチのインストール操作中にインストールが試行されたパッチの一覧を取得します |
| Microsoft.Compute/virtualMachines/extensions/read | 仮想マシン拡張機能のプロパティを取得します。 |
| Microsoft.Compute/virtualMachines/instanceView/read | 仮想マシンとそのリソースの詳細なランタイムの状態を取得します。 |
| Microsoft.Compute/virtualMachines/runCommands/read | 仮想マシンの実行コマンドのプロパティを取得します |
| Microsoft.Compute/virtualMachines/vmSizes/read | 仮想マシンを更新する際に使用できるサイズを一覧表示します。 |
| Microsoft.Compute/locations/publishers/artifacttypes/types/read | VMExtension 型のプロパティを取得します。 |
| Microsoft.Compute/locations/publishers/artifacttypes/types/versions/read | VMExtension バージョンのプロパティを取得します。 |
| Microsoft.Compute/diskAccesses/read | DiskAccess リソースのプロパティを取得します |
| Microsoft.Compute/galleries/images/read | ギャラリー イメージのプロパティを取得します |
| Microsoft.Compute/images/read | イメージのプロパティを取得します。 |
| Microsoft.AzureStackHCI/Clusters/Read | クラスターを取得します |
| Microsoft.AzureStackHCI/Clusters/ArcSettings/Read | HCI クラスターの arc リソースを取得します |
| Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Read | HCI クラスターの拡張リソースを取得します |
| Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Write | HCI クラスターの拡張リソースを作成または更新します |
| Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Delete | HCI クラスターの拡張リソースを削除します |
| Microsoft.AzureStackHCI/Operations/Read | 操作を取得します |
| Microsoft.ConnectedVMwarevSphere/VirtualMachines/Read | virtualmachines の読み取り |
| Microsoft.ConnectedVMwarevSphere/VirtualMachines/Extensions/Write | 拡張リソースの書き込み |
| Microsoft.ConnectedVMwarevSphere/VirtualMachines/Extensions/Read | 拡張リソースの入手 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.HybridCompute/machines/WACLoginAsAdmin/action | Windows Admin Center を介して、管理者としてリソースの OS を管理できます。 |
| Microsoft.Compute/virtualMachines/WACloginAsAdmin/action | Windows Admin Center を介して、管理者としてリソースの OS を管理できます |
| Microsoft.AzureStackHCI/Clusters/WACloginAsAdmin/Action | Windows Admin Center を介して、管理者として HCI リソースの OS を管理します |
| Microsoft.ConnectedVMwarevSphere/virtualmachines/WACloginAsAdmin/action | Windows Admin Center を介して、管理者としてリソースの OS を管理できます。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Let's you manage the OS of your resource via Windows Admin Center as an administrator.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a6333a3e-0164-44c3-b281-7a577aff287f",
"name": "a6333a3e-0164-44c3-b281-7a577aff287f",
"permissions": [
{
"actions": [
"Microsoft.HybridCompute/machines/*/read",
"Microsoft.HybridCompute/machines/extensions/*",
"Microsoft.HybridCompute/machines/upgradeExtensions/action",
"Microsoft.HybridCompute/operations/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkWatchers/securityGroupView/action",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/networkSecurityGroups/securityRules/write",
"Microsoft.HybridConnectivity/endpoints/write",
"Microsoft.HybridConnectivity/endpoints/read",
"Microsoft.HybridConnectivity/endpoints/listManagedProxyDetails/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/read",
"Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches/read",
"Microsoft.Compute/virtualMachines/patchInstallationResults/read",
"Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read",
"Microsoft.Compute/virtualMachines/extensions/read",
"Microsoft.Compute/virtualMachines/instanceView/read",
"Microsoft.Compute/virtualMachines/runCommands/read",
"Microsoft.Compute/virtualMachines/vmSizes/read",
"Microsoft.Compute/locations/publishers/artifacttypes/types/read",
"Microsoft.Compute/locations/publishers/artifacttypes/types/versions/read",
"Microsoft.Compute/diskAccesses/read",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/images/read",
"Microsoft.AzureStackHCI/Clusters/Read",
"Microsoft.AzureStackHCI/Clusters/ArcSettings/Read",
"Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Read",
"Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Write",
"Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Delete",
"Microsoft.AzureStackHCI/Operations/Read",
"Microsoft.ConnectedVMwarevSphere/VirtualMachines/Read",
"Microsoft.ConnectedVMwarevSphere/VirtualMachines/Extensions/Write",
"Microsoft.ConnectedVMwarevSphere/VirtualMachines/Extensions/Read"
],
"notActions": [],
"dataActions": [
"Microsoft.HybridCompute/machines/WACLoginAsAdmin/action",
"Microsoft.Compute/virtualMachines/WACloginAsAdmin/action",
"Microsoft.AzureStackHCI/Clusters/WACloginAsAdmin/Action",
"Microsoft.ConnectedVMwarevSphere/virtualmachines/WACloginAsAdmin/action"
],
"notDataActions": []
}
],
"roleName": "Windows Admin Center Administrator Login",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ネットワーク
CDN Endpoint Contributor
CDN エンドポイントを管理できますが、アクセス権を他のユーザーに付与することはできません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/endpoints/* | |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can manage CDN endpoints, but can't grant access to other users.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/426e0c7f-0c7e-4658-b36f-ff54d6c29b45",
"name": "426e0c7f-0c7e-4658-b36f-ff54d6c29b45",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cdn/edgenodes/read",
"Microsoft.Cdn/operationresults/*",
"Microsoft.Cdn/profiles/endpoints/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CDN Endpoint Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
CDN Endpoint Reader
CDN エンドポイントを表示できますが、変更はできません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/endpoints/*/read | |
| Microsoft.Cdn/profiles/afdendpoints/validateCustomDomain/action | |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can view CDN endpoints, but can't make changes.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/871e35f6-b5c1-49cc-a043-bde969a0f2cd",
"name": "871e35f6-b5c1-49cc-a043-bde969a0f2cd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cdn/edgenodes/read",
"Microsoft.Cdn/operationresults/*",
"Microsoft.Cdn/profiles/endpoints/*/read",
"Microsoft.Cdn/profiles/afdendpoints/validateCustomDomain/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CDN Endpoint Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
CDN Profile Contributor
CDN プロファイルとそのエンドポイントを管理できますが、アクセス権を他のユーザーに付与することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/* | |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can manage CDN profiles and their endpoints, but can't grant access to other users.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ec156ff8-a8d1-4d15-830c-5b80698ca432",
"name": "ec156ff8-a8d1-4d15-830c-5b80698ca432",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cdn/edgenodes/read",
"Microsoft.Cdn/operationresults/*",
"Microsoft.Cdn/profiles/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CDN Profile Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
CDN Profile Reader
CDN プロファイルとそのエンドポイントを表示できますが、変更はできません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/*/read | |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can view CDN profiles and their endpoints, but can't make changes.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8f96442b-4075-438f-813d-ad51ab4019af",
"name": "8f96442b-4075-438f-813d-ad51ab4019af",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cdn/edgenodes/read",
"Microsoft.Cdn/operationresults/*",
"Microsoft.Cdn/profiles/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CDN Profile Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Classic Network Contributor
従来のネットワークを管理できます。ただし、それらへのアクセスは含まれません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ClassicNetwork/* | 従来のネットワークの作成と管理 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage classic networks, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b34d265f-36f7-4a0d-a4d4-e158ca92e90f",
"name": "b34d265f-36f7-4a0d-a4d4-e158ca92e90f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicNetwork/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Classic Network Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
DNS Zone Contributor
Azure DNS の DNS ゾーンとレコード セットを管理できますが、それにアクセスできるユーザーを制御することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Network/dnsZones/* | DNS ゾーンとレコードの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage DNS zones and record sets in Azure DNS, but does not let you control who has access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/befefa01-2a29-4197-83a8-272ff33ce314",
"name": "befefa01-2a29-4197-83a8-272ff33ce314",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/dnsZones/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "DNS Zone Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Network Contributor
ネットワークを管理できます。ただし、それらへのアクセスは含まれません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Network/* | ネットワークの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage networks, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4d97b98b-1d4f-4787-a291-c67834d212e7",
"name": "4d97b98b-1d4f-4787-a291-c67834d212e7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Network Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
プライベート DNS ゾーンの共同作成者
プライベート DNS ゾーンのリソースを管理できますが、リンク先の仮想ネットワークを管理することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Network/privateDnsZones/* | |
| Microsoft.Network/privateDnsOperationResults/* | |
| Microsoft.Network/privateDnsOperationStatuses/* | |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/virtualNetworks/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage private DNS zone resources, but not the virtual networks they are linked to.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b12aa53e-6015-4669-85d0-8515ebb3ae7f",
"name": "b12aa53e-6015-4669-85d0-8515ebb3ae7f",
"permissions": [
{
"actions": [
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Network/privateDnsZones/*",
"Microsoft.Network/privateDnsOperationResults/*",
"Microsoft.Network/privateDnsOperationStatuses/*",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Private DNS Zone Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Traffic Manager Contributor
Traffic Manager プロファイルを管理できますが、それにアクセスできるユーザーを制御することはできません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Network/trafficManagerProfiles/* | |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Traffic Manager profiles, but does not let you control who has access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4b10055-b0c7-44c2-b00f-c7b5b3550cf7",
"name": "a4b10055-b0c7-44c2-b00f-c7b5b3550cf7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/trafficManagerProfiles/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Traffic Manager Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
記憶域
Avere 共同作成者
Avere vFXT クラスターを作成および管理できます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Compute/*/read | |
| Microsoft.Compute/availabilitySets/* | |
| Microsoft.Compute/proximityPlacementGroups/* | |
| Microsoft.Compute/virtualMachines/* | |
| Microsoft.Compute/disks/* | |
| Microsoft.Network/*/read | |
| Microsoft.Network/networkInterfaces/* | |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Storage/*/read | |
| Microsoft.Storage/storageAccounts/* | ストレージ アカウントの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | リソース グループのリソースを取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | BLOB を削除した結果を返します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | BLOB または BLOB の一覧を返します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | BLOB の書き込みの結果を返します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can create and manage an Avere vFXT cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4f8fab4f-1852-4a58-a46a-8eaf358af14a",
"name": "4f8fab4f-1852-4a58-a46a-8eaf358af14a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/proximityPlacementGroups/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Compute/disks/*",
"Microsoft.Network/*/read",
"Microsoft.Network/networkInterfaces/*",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/deployments/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/*/read",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
],
"roleName": "Avere Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Avere オペレーター
クラスターを管理するために Avere vFXT クラスターによって使用されます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Compute/virtualMachines/read | 仮想マシンのプロパティを取得する |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/delete | コンテナーを削除した結果を返します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | コンテナーの一覧を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | BLOB コンテナーのプット結果を返します |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | BLOB を削除した結果を返します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | BLOB または BLOB の一覧を返します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | BLOB の書き込みの結果を返します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Used by the Avere vFXT cluster to manage the cluster",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c025889f-8102-4ebf-b32c-fc0c6f0c6bd9",
"name": "c025889f-8102-4ebf-b32c-fc0c6f0c6bd9",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
],
"roleName": "Avere Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Backup Contributor
バックアップ サービスを管理できますが、資格情報コンテナーの作成や他のユーザーに対するアクセス権の付与を行うことはできません。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.RecoveryServices/locations/* | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/* | バックアップ管理操作の結果の管理 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/* | Recovery Services コンテナーのバックアップ ファブリック内でのバックアップ コンテナーの作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action | コンテナーの一覧を更新します。 |
| Microsoft.RecoveryServices/Vaults/backupJobs/* | バックアップ ジョブの作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action | ジョブをエクスポートします。 |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/* | バックアップ管理操作の結果の作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/* | バックアップ ポリシーの作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/* | バックアップできるアイテムの作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/* | バックアップ アイテムの作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/* | バックアップ アイテムを保持するコンテナーの作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupSecurityPIN/* | |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read | Recovery Services の保護された項目と保護されたサーバーの概要を返します。 |
| Microsoft.RecoveryServices/Vaults/certificates/* | Recovery Services コンテナー内のバックアップに関連する証明書の作成および管理 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/* | コンテナーに関連する拡張情報の作成および管理 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | Recovery Services コンテナーのアラートを取得します。 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* | |
| Microsoft.RecoveryServices/Vaults/read | "コンテナーの取得" 操作では、"コンテナー" 型の Azure リソースを表すオブジェクトを取得します。 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/* | 登録済み ID の管理 |
| Microsoft.RecoveryServices/Vaults/usages/* | Recovery Services コンテナーの使用状況の作成および管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Storage/storageAccounts/read | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.RecoveryServices/Vaults/backupstorageconfig/* | |
| Microsoft.RecoveryServices/Vaults/backupconfig/* | |
| Microsoft.RecoveryServices/Vaults/backupValidateOperation/action | 保護された項目に対する操作を検証します |
| Microsoft.RecoveryServices/Vaults/write | "コンテナーの作成" 操作では、"コンテナー" 型の Azure リソースを作成します。 |
| Microsoft.RecoveryServices/Vaults/backupOperations/read | Recovery Services コンテナーに対するバックアップ操作の状態を返します。 |
| Microsoft.RecoveryServices/Vaults/backupEngines/read | コンテナーに登録されているすべてのバックアップ管理サーバーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/* | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read | すべての保護可能なコンテナーを取得します。 |
| Microsoft.RecoveryServices/vaults/operationStatus/read | 特定の操作の操作の状態を取得します |
| Microsoft.RecoveryServices/vaults/operationResults/read | "操作結果を取得" 操作を使用すると、非同期で送信された操作の状態と結果を取得できます。 |
| Microsoft.RecoveryServices/locations/backupStatus/action | Recovery Services コンテナーのバックアップの状態を確認します。 |
| Microsoft.RecoveryServices/locations/backupPreValidateProtection/action | |
| Microsoft.RecoveryServices/locations/backupValidateFeatures/action | 機能を検証します。 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/write | アラートを解決する。 |
| Microsoft.RecoveryServices/operations/read | リソース プロバイダーの操作の一覧を返します。 |
| Microsoft.RecoveryServices/locations/operationStatus/read | 特定の操作の操作の状態を取得します |
| Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read | すべてのバックアップ保護の意図を一覧表示します |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.DataProtection/locations/getBackupStatus/action | Recovery Services コンテナーのバックアップの状態を確認します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/write | バックアップ インスタンスを作成します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/delete | バックアップ インスタンスを削除します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/read | すべてのバックアップ インスタンスを返します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/read | すべてのバックアップ インスタンスを返します。 |
| Microsoft.DataProtection/backupVaults/deletedBackupInstances/read | バックアップ コンテナー内の論理的に削除されたバックアップ インスタンスを一覧表示します。 |
| Microsoft.DataProtection/backupVaults/deletedBackupInstances/undelete/action | 論理的に削除されたバックアップ インスタンスの削除取り消しを実行します。 バックアップ インスタンスが SoftDeleted から ProtectionStopped 状態に移行します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/backup/action | バックアップ インスタンスでバックアップを実行します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action | バックアップ インスタンスの復元を検証します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/restore/action | バックアップ インスタンスでの復元をトリガーします。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/crossRegionRestore/action | 指定されたバックアップ インスタンスに対してリージョン間の復元操作をトリガーします。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/validateCrossRegionRestore/action | リージョン間の復元操作の検証を実行します。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJobs/action | セカンダリ リージョンからのバックアップ インスタンスのリージョン間復元ジョブを一覧表示します。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJob/action | セカンダリ リージョンからのリージョン間復元ジョブを取得します。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchSecondaryRecoveryPoints/action | リージョンをまたがる復元が有効な Backup Vaults のセカンダリ リージョンからの復旧ポイントを返します。 |
| Microsoft.DataProtection/backupVaults/backupPolicies/write | バックアップ ポリシーを作成します。 |
| Microsoft.DataProtection/backupVaults/backupPolicies/delete | バックアップ ポリシーを削除します。 |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | すべてのバックアップ ポリシーを返します |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | すべてのバックアップ ポリシーを返します |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | すべての復旧ポイントを返します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | すべての復旧ポイントを返します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action | 復元可能な時間の範囲を見つけます。 |
| Microsoft.DataProtection/backupVaults/write | 更新した BackupVault の操作では 'Backup Vault' 型の Azure リソースを更新します |
| Microsoft.DataProtection/backupVaults/read | リソース グループ内のバックアップ コンテナーの一覧を取得します。 |
| Microsoft.DataProtection/backupVaults/operationResults/read | バックアップ コンテナーのパッチ操作の操作結果を取得します。 |
| Microsoft.DataProtection/backupVaults/operationStatus/read | バックアップ コンテナーのバックアップ操作の状態を返します。 |
| Microsoft.DataProtection/locations/checkNameAvailability/action | 要求された BackupVault 名が使用可能かどうかを確認します。 |
| Microsoft.DataProtection/locations/checkFeatureSupport/action | 機能がサポートされているかどうかを検証します |
| Microsoft.DataProtection/backupVaults/read | リソース グループ内のバックアップ コンテナーの一覧を取得します。 |
| Microsoft.DataProtection/backupVaults/read | リソース グループ内のバックアップ コンテナーの一覧を取得します。 |
| Microsoft.DataProtection/locations/operationStatus/read | バックアップ コンテナーのバックアップ操作の状態を返します。 |
| Microsoft.DataProtection/locations/operationResults/read | バックアップ コンテナーのバックアップ操作の結果を返します。 |
| Microsoft.DataProtection/backupVaults/validateForBackup/action | バックアップ インスタンスのバックアップを検証します。 |
| Microsoft.DataProtection/operations/read | リソース プロバイダーの操作の一覧を返します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage backup service,but can't create vaults and give access to others",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5e467623-bb1f-42f4-a55d-6e525e11384b",
"name": "5e467623-bb1f-42f4-a55d-6e525e11384b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.RecoveryServices/locations/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action",
"Microsoft.RecoveryServices/Vaults/backupJobs/*",
"Microsoft.RecoveryServices/Vaults/backupJobsExport/action",
"Microsoft.RecoveryServices/Vaults/backupOperationResults/*",
"Microsoft.RecoveryServices/Vaults/backupPolicies/*",
"Microsoft.RecoveryServices/Vaults/backupProtectableItems/*",
"Microsoft.RecoveryServices/Vaults/backupProtectedItems/*",
"Microsoft.RecoveryServices/Vaults/backupProtectionContainers/*",
"Microsoft.RecoveryServices/Vaults/backupSecurityPIN/*",
"Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read",
"Microsoft.RecoveryServices/Vaults/certificates/*",
"Microsoft.RecoveryServices/Vaults/extendedInformation/*",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/read",
"Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*",
"Microsoft.RecoveryServices/Vaults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/*",
"Microsoft.RecoveryServices/Vaults/usages/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.RecoveryServices/Vaults/backupstorageconfig/*",
"Microsoft.RecoveryServices/Vaults/backupconfig/*",
"Microsoft.RecoveryServices/Vaults/backupValidateOperation/action",
"Microsoft.RecoveryServices/Vaults/write",
"Microsoft.RecoveryServices/Vaults/backupOperations/read",
"Microsoft.RecoveryServices/Vaults/backupEngines/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read",
"Microsoft.RecoveryServices/vaults/operationStatus/read",
"Microsoft.RecoveryServices/vaults/operationResults/read",
"Microsoft.RecoveryServices/locations/backupStatus/action",
"Microsoft.RecoveryServices/locations/backupPreValidateProtection/action",
"Microsoft.RecoveryServices/locations/backupValidateFeatures/action",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/write",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.RecoveryServices/locations/operationStatus/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read",
"Microsoft.Support/*",
"Microsoft.DataProtection/locations/getBackupStatus/action",
"Microsoft.DataProtection/backupVaults/backupInstances/write",
"Microsoft.DataProtection/backupVaults/backupInstances/delete",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/deletedBackupInstances/read",
"Microsoft.DataProtection/backupVaults/deletedBackupInstances/undelete/action",
"Microsoft.DataProtection/backupVaults/backupInstances/backup/action",
"Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action",
"Microsoft.DataProtection/backupVaults/backupInstances/restore/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/crossRegionRestore/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/validateCrossRegionRestore/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJobs/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJob/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchSecondaryRecoveryPoints/action",
"Microsoft.DataProtection/backupVaults/backupPolicies/write",
"Microsoft.DataProtection/backupVaults/backupPolicies/delete",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action",
"Microsoft.DataProtection/backupVaults/write",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/operationResults/read",
"Microsoft.DataProtection/backupVaults/operationStatus/read",
"Microsoft.DataProtection/locations/checkNameAvailability/action",
"Microsoft.DataProtection/locations/checkFeatureSupport/action",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/locations/operationStatus/read",
"Microsoft.DataProtection/locations/operationResults/read",
"Microsoft.DataProtection/backupVaults/validateForBackup/action",
"Microsoft.DataProtection/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Backup Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Backup Operator
バックアップ サービスを管理できます (バックアップの削除、資格情報コンテナーの作成、他のユーザーに対するアクセス権の付与を除きます)。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read | 操作の状態を返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read | 保護コンテナーに対して実行された操作の結果を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/backup/action | 保護された項目のバックアップを実行します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read | 保護された項目に対して実行された操作の結果を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read | 保護された項目に対して実行された操作の状態を返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read | 保護された項目のオブジェクトの詳細を返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/provisionInstantItemRecovery/action | 保護された項目のインスタント項目回復をプロビジョニングします。 |
| Microsoft.RecoveryServices/vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/accessToken/action | リージョンをまたがる復元の AccessToken を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read | 保護された項目の復旧ポイントを取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/restore/action | 保護された項目の復旧ポイントを復元します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/revokeInstantItemRecovery/action | 保護された項目のインスタント項目回復を取り消します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write | バックアップ保護項目を作成します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read | すべての登録済みコンテナーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action | コンテナーの一覧を更新します。 |
| Microsoft.RecoveryServices/Vaults/backupJobs/* | バックアップ ジョブの作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action | ジョブをエクスポートします。 |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/* | バックアップ管理操作の結果の作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read | ポリシー操作の結果を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read | すべての保護ポリシーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/* | バックアップできるアイテムの作成および管理 |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/read | すべての保護された項目の一覧を返します。 |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read | サブスクリプションに属するすべてのコンテナーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read | Recovery Services の保護された項目と保護されたサーバーの概要を返します。 |
| Microsoft.RecoveryServices/Vaults/certificates/write | "リソース証明書を更新" 操作では、リソース/コンテナー資格情報証明書を更新します。 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read | "拡張情報の取得" 操作では、"コンテナー" 型の Azure リソースを表すオブジェクトの拡張情報を取得します。 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/write | "拡張情報の取得" 操作では、"コンテナー" 型の Azure リソースを表すオブジェクトの拡張情報を取得します。 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | Recovery Services コンテナーのアラートを取得します。 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* | |
| Microsoft.RecoveryServices/Vaults/read | "コンテナーの取得" 操作では、"コンテナー" 型の Azure リソースを表すオブジェクトを取得します。 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read | "操作結果を取得" 操作を使用すると、非同期で送信された操作の状態と結果を取得できます。 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read | " コンテナーを取得" 操作を使用すると、リソースの登録済みコンテナーを取得できます。 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/write | "サービス コンテナーを登録" 操作を使用すると、コンテナーを Recovery Services に登録できます。 |
| Microsoft.RecoveryServices/Vaults/usages/read | Recovery Services コンテナーの使用状況の詳細を返します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Storage/storageAccounts/read | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.RecoveryServices/Vaults/backupstorageconfig/* | |
| Microsoft.RecoveryServices/Vaults/backupValidateOperation/action | 保護された項目に対する操作を検証します |
| Microsoft.RecoveryServices/Vaults/backupTriggerValidateOperation/action | 保護された項目に対する操作を検証します |
| Microsoft.RecoveryServices/Vaults/backupValidateOperationResults/read | 保護された項目に対する操作を検証します |
| Microsoft.RecoveryServices/Vaults/backupValidateOperationsStatuses/read | 保護された項目に対する操作を検証します |
| Microsoft.RecoveryServices/Vaults/backupOperations/read | Recovery Services コンテナーに対するバックアップ操作の状態を返します。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read | ポリシー操作の状態を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/write | 登録済みコンテナーを作成します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/inquire/action | コンテナー内のワークロードを照会します。 |
| Microsoft.RecoveryServices/Vaults/backupEngines/read | コンテナーに登録されているすべてのバックアップ管理サーバーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write | バックアップの保護インテントを作成します |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read | バックアップ保護の意図を取得します |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read | すべての保護可能なコンテナーを取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read | コンテナー内のすべての項目を取得します。 |
| Microsoft.RecoveryServices/locations/backupStatus/action | Recovery Services コンテナーのバックアップの状態を確認します。 |
| Microsoft.RecoveryServices/locations/backupPreValidateProtection/action | |
| Microsoft.RecoveryServices/locations/backupValidateFeatures/action | 機能を検証します。 |
| Microsoft.RecoveryServices/locations/backupAadProperties/read | リージョンをまたがる復元の 3 番目のリージョンにおける認証用 AAD プロパティを取得します。 |
| Microsoft.RecoveryServices/locations/backupCrrJobs/action | Recovery Services コンテナーのセカンダリ リージョンにおけるリージョンをまたがる復元ジョブを一覧表示します。 |
| Microsoft.RecoveryServices/locations/backupCrrJob/action | Recovery Services コンテナーのセカンダリ リージョンにおけるリージョンをまたがる復元ジョブの詳細を取得します。 |
| Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action | リージョンをまたがる復元をトリガーします。 |
| Microsoft.RecoveryServices/locations/backupCrrOperationResults/read | Recovery Services コンテナーに対する CRR 操作の結果を返します。 |
| Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read | Recovery Services コンテナーに対する CRR 操作の状態を返します。 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/write | アラートを解決する。 |
| Microsoft.RecoveryServices/operations/read | リソース プロバイダーの操作の一覧を返します。 |
| Microsoft.RecoveryServices/locations/operationStatus/read | 特定の操作の操作の状態を取得します |
| Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read | すべてのバックアップ保護の意図を一覧表示します |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.DataProtection/backupVaults/backupInstances/read | すべてのバックアップ インスタンスを返します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/read | すべてのバックアップ インスタンスを返します。 |
| Microsoft.DataProtection/backupVaults/deletedBackupInstances/read | バックアップ コンテナー内の論理的に削除されたバックアップ インスタンスを一覧表示します。 |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | すべてのバックアップ ポリシーを返します |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | すべてのバックアップ ポリシーを返します |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | すべての復旧ポイントを返します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | すべての復旧ポイントを返します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action | 復元可能な時間の範囲を見つけます。 |
| Microsoft.DataProtection/backupVaults/read | リソース グループ内のバックアップ コンテナーの一覧を取得します。 |
| Microsoft.DataProtection/backupVaults/operationResults/read | バックアップ コンテナーのパッチ操作の操作結果を取得します。 |
| Microsoft.DataProtection/backupVaults/operationStatus/read | バックアップ コンテナーのバックアップ操作の状態を返します。 |
| Microsoft.DataProtection/backupVaults/read | リソース グループ内のバックアップ コンテナーの一覧を取得します。 |
| Microsoft.DataProtection/backupVaults/read | リソース グループ内のバックアップ コンテナーの一覧を取得します。 |
| Microsoft.DataProtection/locations/operationStatus/read | バックアップ コンテナーのバックアップ操作の状態を返します。 |
| Microsoft.DataProtection/locations/operationResults/read | バックアップ コンテナーのバックアップ操作の結果を返します。 |
| Microsoft.DataProtection/operations/read | リソース プロバイダーの操作の一覧を返します。 |
| Microsoft.DataProtection/backupVaults/validateForBackup/action | バックアップ インスタンスのバックアップを検証します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/backup/action | バックアップ インスタンスでバックアップを実行します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action | バックアップ インスタンスの復元を検証します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/restore/action | バックアップ インスタンスでの復元をトリガーします。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/crossRegionRestore/action | 指定されたバックアップ インスタンスに対してリージョン間の復元操作をトリガーします。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/validateCrossRegionRestore/action | リージョン間の復元操作の検証を実行します。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJobs/action | セカンダリ リージョンからのバックアップ インスタンスのリージョン間復元ジョブを一覧表示します。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJob/action | セカンダリ リージョンからのリージョン間復元ジョブを取得します。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchSecondaryRecoveryPoints/action | リージョンをまたがる復元が有効な Backup Vaults のセカンダリ リージョンからの復旧ポイントを返します。 |
| Microsoft.DataProtection/locations/checkFeatureSupport/action | 機能がサポートされているかどうかを検証します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage backup services, except removal of backup, vault creation and giving access to others",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00c29273-979b-4161-815c-10b084fb9324",
"name": "00c29273-979b-4161-815c-10b084fb9324",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/backup/action",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/provisionInstantItemRecovery/action",
"Microsoft.RecoveryServices/vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/accessToken/action",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/restore/action",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/revokeInstantItemRecovery/action",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action",
"Microsoft.RecoveryServices/Vaults/backupJobs/*",
"Microsoft.RecoveryServices/Vaults/backupJobsExport/action",
"Microsoft.RecoveryServices/Vaults/backupOperationResults/*",
"Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/read",
"Microsoft.RecoveryServices/Vaults/backupProtectableItems/*",
"Microsoft.RecoveryServices/Vaults/backupProtectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read",
"Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read",
"Microsoft.RecoveryServices/Vaults/certificates/write",
"Microsoft.RecoveryServices/Vaults/extendedInformation/read",
"Microsoft.RecoveryServices/Vaults/extendedInformation/write",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/read",
"Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*",
"Microsoft.RecoveryServices/Vaults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/write",
"Microsoft.RecoveryServices/Vaults/usages/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.RecoveryServices/Vaults/backupstorageconfig/*",
"Microsoft.RecoveryServices/Vaults/backupValidateOperation/action",
"Microsoft.RecoveryServices/Vaults/backupTriggerValidateOperation/action",
"Microsoft.RecoveryServices/Vaults/backupValidateOperationResults/read",
"Microsoft.RecoveryServices/Vaults/backupValidateOperationsStatuses/read",
"Microsoft.RecoveryServices/Vaults/backupOperations/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/write",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/inquire/action",
"Microsoft.RecoveryServices/Vaults/backupEngines/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read",
"Microsoft.RecoveryServices/locations/backupStatus/action",
"Microsoft.RecoveryServices/locations/backupPreValidateProtection/action",
"Microsoft.RecoveryServices/locations/backupValidateFeatures/action",
"Microsoft.RecoveryServices/locations/backupAadProperties/read",
"Microsoft.RecoveryServices/locations/backupCrrJobs/action",
"Microsoft.RecoveryServices/locations/backupCrrJob/action",
"Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action",
"Microsoft.RecoveryServices/locations/backupCrrOperationResults/read",
"Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/write",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.RecoveryServices/locations/operationStatus/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read",
"Microsoft.Support/*",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/deletedBackupInstances/read",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/operationResults/read",
"Microsoft.DataProtection/backupVaults/operationStatus/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/locations/operationStatus/read",
"Microsoft.DataProtection/locations/operationResults/read",
"Microsoft.DataProtection/operations/read",
"Microsoft.DataProtection/backupVaults/validateForBackup/action",
"Microsoft.DataProtection/backupVaults/backupInstances/backup/action",
"Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action",
"Microsoft.DataProtection/backupVaults/backupInstances/restore/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/crossRegionRestore/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/validateCrossRegionRestore/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJobs/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJob/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchSecondaryRecoveryPoints/action",
"Microsoft.DataProtection/locations/checkFeatureSupport/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Backup Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Backup Reader
バックアップ サービスを表示できますが、変更を行うことはできません。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.RecoveryServices/locations/allocatedStamp/read | GetAllocatedStamp は、サービスによって使用される内部操作です。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read | 操作の状態を返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read | 保護コンテナーに対して実行された操作の結果を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read | 保護された項目に対して実行された操作の結果を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read | 保護された項目に対して実行された操作の状態を返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read | 保護された項目のオブジェクトの詳細を返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read | 保護された項目の復旧ポイントを取得します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read | すべての登録済みコンテナーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read | ジョブ操作の結果を返します。 |
| Microsoft.RecoveryServices/Vaults/backupJobs/read | すべてのジョブ オブジェクトを返します。 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action | ジョブをエクスポートします。 |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/read | Recovery Services コンテナーに対するバックアップ操作の結果を返します。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read | ポリシー操作の結果を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read | すべての保護ポリシーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/read | すべての保護された項目の一覧を返します。 |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read | サブスクリプションに属するすべてのコンテナーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read | Recovery Services の保護された項目と保護されたサーバーの概要を返します。 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read | "拡張情報の取得" 操作では、"コンテナー" 型の Azure リソースを表すオブジェクトの拡張情報を取得します。 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | Recovery Services コンテナーのアラートを取得します。 |
| Microsoft.RecoveryServices/Vaults/read | "コンテナーの取得" 操作では、"コンテナー" 型の Azure リソースを表すオブジェクトを取得します。 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read | "操作結果を取得" 操作を使用すると、非同期で送信された操作の状態と結果を取得できます。 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read | " コンテナーを取得" 操作を使用すると、リソースの登録済みコンテナーを取得できます。 |
| Microsoft.RecoveryServices/Vaults/backupstorageconfig/read | Recovery Services コンテナーのストレージ構成を返します。 |
| Microsoft.RecoveryServices/Vaults/backupconfig/read | Recovery Services コンテナーの構成を返します。 |
| Microsoft.RecoveryServices/Vaults/backupOperations/read | Recovery Services コンテナーに対するバックアップ操作の状態を返します。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read | ポリシー操作の状態を取得します。 |
| Microsoft.RecoveryServices/Vaults/backupEngines/read | コンテナーに登録されているすべてのバックアップ管理サーバーを返します。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read | バックアップ保護の意図を取得します |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read | コンテナー内のすべての項目を取得します。 |
| Microsoft.RecoveryServices/locations/backupStatus/action | Recovery Services コンテナーのバックアップの状態を確認します。 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* | |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/write | アラートを解決する。 |
| Microsoft.RecoveryServices/operations/read | リソース プロバイダーの操作の一覧を返します。 |
| Microsoft.RecoveryServices/locations/operationStatus/read | 特定の操作の操作の状態を取得します |
| Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read | すべてのバックアップ保護の意図を一覧表示します |
| Microsoft.RecoveryServices/Vaults/usages/read | Recovery Services コンテナーの使用状況の詳細を返します。 |
| Microsoft.RecoveryServices/locations/backupValidateFeatures/action | 機能を検証します。 |
| Microsoft.RecoveryServices/locations/backupCrrJobs/action | Recovery Services コンテナーのセカンダリ リージョンにおけるリージョンをまたがる復元ジョブを一覧表示します。 |
| Microsoft.RecoveryServices/locations/backupCrrJob/action | Recovery Services コンテナーのセカンダリ リージョンにおけるリージョンをまたがる復元ジョブの詳細を取得します。 |
| Microsoft.RecoveryServices/locations/backupCrrOperationResults/read | Recovery Services コンテナーに対する CRR 操作の結果を返します。 |
| Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read | Recovery Services コンテナーに対する CRR 操作の状態を返します。 |
| Microsoft.DataProtection/locations/getBackupStatus/action | Recovery Services コンテナーのバックアップの状態を確認します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/write | バックアップ インスタンスを作成します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/read | すべてのバックアップ インスタンスを返します。 |
| Microsoft.DataProtection/backupVaults/deletedBackupInstances/read | バックアップ コンテナー内の論理的に削除されたバックアップ インスタンスを一覧表示します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/backup/action | バックアップ インスタンスでバックアップを実行します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action | バックアップ インスタンスの復元を検証します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/restore/action | バックアップ インスタンスでの復元をトリガーします。 |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | すべてのバックアップ ポリシーを返します |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | すべてのバックアップ ポリシーを返します |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | すべての復旧ポイントを返します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | すべての復旧ポイントを返します。 |
| Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action | 復元可能な時間の範囲を見つけます。 |
| Microsoft.DataProtection/backupVaults/read | リソース グループ内のバックアップ コンテナーの一覧を取得します。 |
| Microsoft.DataProtection/backupVaults/operationResults/read | バックアップ コンテナーのパッチ操作の操作結果を取得します。 |
| Microsoft.DataProtection/backupVaults/operationStatus/read | バックアップ コンテナーのバックアップ操作の状態を返します。 |
| Microsoft.DataProtection/backupVaults/read | リソース グループ内のバックアップ コンテナーの一覧を取得します。 |
| Microsoft.DataProtection/backupVaults/read | リソース グループ内のバックアップ コンテナーの一覧を取得します。 |
| Microsoft.DataProtection/locations/operationStatus/read | バックアップ コンテナーのバックアップ操作の状態を返します。 |
| Microsoft.DataProtection/locations/operationResults/read | バックアップ コンテナーのバックアップ操作の結果を返します。 |
| Microsoft.DataProtection/backupVaults/validateForBackup/action | バックアップ インスタンスのバックアップを検証します。 |
| Microsoft.DataProtection/operations/read | リソース プロバイダーの操作の一覧を返します。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJobs/action | セカンダリ リージョンからのバックアップ インスタンスのリージョン間復元ジョブを一覧表示します。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJob/action | セカンダリ リージョンからのリージョン間復元ジョブを取得します。 |
| Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchSecondaryRecoveryPoints/action | リージョンをまたがる復元が有効な Backup Vaults のセカンダリ リージョンからの復旧ポイントを返します。 |
| Microsoft.DataProtection/locations/checkFeatureSupport/action | 機能がサポートされているかどうかを検証します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can view backup services, but can't make changes",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
"name": "a795c7a0-d4a2-40c1-ae25-d81f01202912",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.RecoveryServices/locations/allocatedStamp/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read",
"Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupJobs/read",
"Microsoft.RecoveryServices/Vaults/backupJobsExport/action",
"Microsoft.RecoveryServices/Vaults/backupOperationResults/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/read",
"Microsoft.RecoveryServices/Vaults/backupProtectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read",
"Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read",
"Microsoft.RecoveryServices/Vaults/extendedInformation/read",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/read",
"Microsoft.RecoveryServices/Vaults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/read",
"Microsoft.RecoveryServices/Vaults/backupstorageconfig/read",
"Microsoft.RecoveryServices/Vaults/backupconfig/read",
"Microsoft.RecoveryServices/Vaults/backupOperations/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read",
"Microsoft.RecoveryServices/Vaults/backupEngines/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read",
"Microsoft.RecoveryServices/locations/backupStatus/action",
"Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/write",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.RecoveryServices/locations/operationStatus/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read",
"Microsoft.RecoveryServices/Vaults/usages/read",
"Microsoft.RecoveryServices/locations/backupValidateFeatures/action",
"Microsoft.RecoveryServices/locations/backupCrrJobs/action",
"Microsoft.RecoveryServices/locations/backupCrrJob/action",
"Microsoft.RecoveryServices/locations/backupCrrOperationResults/read",
"Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read",
"Microsoft.DataProtection/locations/getBackupStatus/action",
"Microsoft.DataProtection/backupVaults/backupInstances/write",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/deletedBackupInstances/read",
"Microsoft.DataProtection/backupVaults/backupInstances/backup/action",
"Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action",
"Microsoft.DataProtection/backupVaults/backupInstances/restore/action",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/operationResults/read",
"Microsoft.DataProtection/backupVaults/operationStatus/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/locations/operationStatus/read",
"Microsoft.DataProtection/locations/operationResults/read",
"Microsoft.DataProtection/backupVaults/validateForBackup/action",
"Microsoft.DataProtection/operations/read",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJobs/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchCrossRegionRestoreJob/action",
"Microsoft.DataProtection/subscriptions/resourceGroups/providers/locations/fetchSecondaryRecoveryPoints/action",
"Microsoft.DataProtection/locations/checkFeatureSupport/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Backup Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Classic Storage Account Contributor
従来のストレージ アカウントを管理できますが、アクセスすることはできません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ClassicStorage/storageAccounts/* | ストレージ アカウントの作成と管理 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage classic storage accounts, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/86e8f5dc-a6e9-4c67-9d15-de283e8eac25",
"name": "86e8f5dc-a6e9-4c67-9d15-de283e8eac25",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicStorage/storageAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Classic Storage Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
従来のストレージ アカウント キー オペレーターのサービス ロール
従来のストレージ アカウント キー オペレーターは、従来のストレージ アカウントでのキーの一覧表示と再生成を行うことができます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.ClassicStorage/storageAccounts/listkeys/action | ストレージ アカウントのアクセス キーを一覧表示します。 |
| Microsoft.ClassicStorage/storageAccounts/regeneratekey/action | ストレージ アカウントの既存のアクセス キーを再生成します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Classic Storage Account Key Operators are allowed to list and regenerate keys on Classic Storage Accounts",
"id": "/providers/Microsoft.Authorization/roleDefinitions/985d6b00-f706-48f5-a6fe-d0ca12fb668d",
"name": "985d6b00-f706-48f5-a6fe-d0ca12fb668d",
"permissions": [
{
"actions": [
"Microsoft.ClassicStorage/storageAccounts/listkeys/action",
"Microsoft.ClassicStorage/storageAccounts/regeneratekey/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Classic Storage Account Key Operator Service Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Data Box Contributor
Data Box サービスですべてを管理できます (他のユーザーに対するアクセス権の付与を除く)。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Databox/* | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage everything under Data Box Service except giving access to others.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/add466c9-e687-43fc-8d98-dfcf8d720be5",
"name": "add466c9-e687-43fc-8d98-dfcf8d720be5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Databox/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Box Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Data Box 閲覧者
Data Box サービスを管理できます (注文の作成または注文の詳細の編集、および他のユーザーに対するアクセス権の付与を除く)。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Databox/*/read | |
| Microsoft.Databox/jobs/listsecrets/action | |
| Microsoft.Databox/jobs/listcredentials/action | 注文に関連する暗号化されていない資格情報を一覧表示します。 |
| Microsoft.Databox/locations/availableSkus/action | このメソッドは、使用可能な SKU の一覧を返します。 |
| Microsoft.Databox/locations/validateInputs/action | このメソッドでは、すべての種類の検証が行われます。 |
| Microsoft.Databox/locations/regionConfiguration/action | このメソッドでは、リージョンの構成が返されます。 |
| Microsoft.Databox/locations/validateAddress/action | 配送先住所を検証し、存在する場合には別の住所を指定します。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Data Box Service except creating order or editing order details and giving access to others.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027",
"name": "028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Databox/*/read",
"Microsoft.Databox/jobs/listsecrets/action",
"Microsoft.Databox/jobs/listcredentials/action",
"Microsoft.Databox/locations/availableSkus/action",
"Microsoft.Databox/locations/validateInputs/action",
"Microsoft.Databox/locations/regionConfiguration/action",
"Microsoft.Databox/locations/validateAddress/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Box Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Data Lake Analytics Developer
独自のジョブを送信、監視、管理できますが、Data Lake Analytics アカウントを作成または削除することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.BigAnalytics/accounts/* | |
| Microsoft.DataLakeAnalytics/accounts/* | |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| Microsoft.BigAnalytics/accounts/Delete | |
| Microsoft.BigAnalytics/accounts/TakeOwnership/action | |
| Microsoft.BigAnalytics/accounts/Write | |
| Microsoft.DataLakeAnalytics/accounts/Delete | DataLakeAnalytics アカウントを削除します。 |
| Microsoft.DataLakeAnalytics/accounts/TakeOwnership/action | 他のユーザーによって送信されたジョブを取り消すアクセス許可を付与します。 |
| Microsoft.DataLakeAnalytics/accounts/Write | DataLakeAnalytics アカウントを作成または更新します。 |
| Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Write | DataLakeAnalytics アカウントのリンクされた DataLakeStore アカウントを作成または更新します。 |
| Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Delete | DataLakeAnalytics アカウントから DataLakeStore アカウントのリンクを解除します。 |
| Microsoft.DataLakeAnalytics/accounts/storageAccounts/Write | DataLakeAnalytics アカウントのリンクされたストレージ アカウントを作成または更新します。 |
| Microsoft.DataLakeAnalytics/accounts/storageAccounts/Delete | DataLakeAnalytics アカウントからストレージ アカウントをリンク解除します。 |
| Microsoft.DataLakeAnalytics/accounts/firewallRules/Write | ファイアウォール規則を作成または更新します。 |
| Microsoft.DataLakeAnalytics/accounts/firewallRules/Delete | ファイアウォール規則を削除します。 |
| Microsoft.DataLakeAnalytics/accounts/computePolicies/Write | コンピューティング ポリシーを作成または更新します。 |
| Microsoft.DataLakeAnalytics/accounts/computePolicies/Delete | コンピューティング ポリシーを削除します。 |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you submit, monitor, and manage your own jobs but not create or delete Data Lake Analytics accounts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/47b7735b-770e-4598-a7da-8b91488b4c88",
"name": "47b7735b-770e-4598-a7da-8b91488b4c88",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.BigAnalytics/accounts/*",
"Microsoft.DataLakeAnalytics/accounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.BigAnalytics/accounts/Delete",
"Microsoft.BigAnalytics/accounts/TakeOwnership/action",
"Microsoft.BigAnalytics/accounts/Write",
"Microsoft.DataLakeAnalytics/accounts/Delete",
"Microsoft.DataLakeAnalytics/accounts/TakeOwnership/action",
"Microsoft.DataLakeAnalytics/accounts/Write",
"Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Write",
"Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Delete",
"Microsoft.DataLakeAnalytics/accounts/storageAccounts/Write",
"Microsoft.DataLakeAnalytics/accounts/storageAccounts/Delete",
"Microsoft.DataLakeAnalytics/accounts/firewallRules/Write",
"Microsoft.DataLakeAnalytics/accounts/firewallRules/Delete",
"Microsoft.DataLakeAnalytics/accounts/computePolicies/Write",
"Microsoft.DataLakeAnalytics/accounts/computePolicies/Delete"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Lake Analytics Developer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Elastic SAN 所有者
データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SAN のすべてのリソースへのフル アクセスを許可します
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to all resources under Azure Elastic SAN including changing network security policies to unblock data path access",
"id": "/providers/Microsoft.Authorization/roleDefinitions/80dcbedb-47ef-405d-95bd-188a1b4ac406",
"name": "80dcbedb-47ef-405d-95bd-188a1b4ac406",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Elastic SAN Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Elastic SAN 閲覧者
Azure Elastic SAN への制御パスの読み取りアクセスを許可します
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/roleAssignments/read | ロールの割り当てに関する情報を取得します。 |
| Microsoft.Authorization/roleDefinitions/read | ロール定義に関する情報を取得します。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ElasticSan/elasticSans/*/read | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for control path read access to Azure Elastic SAN",
"id": "/providers/Microsoft.Authorization/roleDefinitions/af6a70f8-3c9f-4105-acf1-d719e9fca4ca",
"name": "af6a70f8-3c9f-4105-acf1-d719e9fca4ca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ElasticSan/elasticSans/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Elastic SAN Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Elastic SAN ボリューム グループ所有者
データ パス アクセスのブロックを解除するためのネットワーク セキュリティ ポリシーの変更など、Azure Elastic SAN のボリューム グループへのフル アクセスを許可します
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/roleAssignments/read | ロールの割り当てに関する情報を取得します。 |
| Microsoft.Authorization/roleDefinitions/read | ロール定義に関する情報を取得します。 |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | 非同期操作の状態をポーリングします。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to a volume group in Azure Elastic SAN including changing network security policies to unblock data path access",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8281131-f312-4f34-8d98-ae12be9f0d23",
"name": "a8281131-f312-4f34-8d98-ae12be9f0d23",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/locations/asyncoperations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Elastic SAN Volume Group Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Reader and Data Access
すべてを表示することができますが、ストレージ アカウントや含まれるリソースの削除や作成はできません。 ストレージ アカウント キーへのアクセスを使用して、ストレージ アカウントに含まれるすべてのデータへの読み取り/書き込みアクセスも許可されます。
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/storageAccounts/ListAccountSas/action | 指定されたストレージ アカウントのアカウント SAS トークンを返します。 |
| Microsoft.Storage/storageAccounts/read | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you view everything but will not let you delete or create a storage account or contained resource. It will also allow read/write access to all data contained in a storage account via access to storage account keys.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c12c1c16-33a1-487b-954d-41c89c60f349",
"name": "c12c1c16-33a1-487b-954d-41c89c60f349",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/ListAccountSas/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reader and Data Access",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ アカウントのバックアップ共同作成者
ストレージ アカウントで Azure Backup を使用してバックアップ操作と復元操作を実行できます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Authorization/locks/read | 指定されたスコープのロックを取得します。 |
| Microsoft.Authorization/locks/write | 指定されたスコープのロックを追加します。 |
| Microsoft.Authorization/locks/delete | 指定されたスコープのロックを削除します。 |
| Microsoft.Features/features/read | サブスクリプションの機能を取得します。 |
| Microsoft.Features/providers/features/read | 指定されたリソース プロバイダーのサブスクリプションの機能を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Storage/operations/read | 非同期操作の状態をポーリングします。 |
| Microsoft.Storage/storageAccounts/objectReplicationPolicies/delete | オブジェクト レプリケーション ポリシーを削除します |
| Microsoft.Storage/storageAccounts/objectReplicationPolicies/read | オブジェクト レプリケーション ポリシーを一覧表示します |
| Microsoft.Storage/storageAccounts/objectReplicationPolicies/write | オブジェクト レプリケーション ポリシーを作成または更新します |
| Microsoft.Storage/storageAccounts/objectReplicationPolicies/restorePointMarkers/write | オブジェクト レプリケーションの復元ポイント マーカーを作成する |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | コンテナーの一覧を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | BLOB コンテナーのプット結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/read | Blob service のプロパティまたは統計情報を返します。 |
| Microsoft.Storage/storageAccounts/blobServices/write | Blob service のプロパティの設定の結果を返します。 |
| Microsoft.Storage/storageAccounts/read | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Storage/storageAccounts/restoreBlobRanges/action | BLOB の範囲を指定した時間の状態に復元します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you perform backup and restore operations using Azure Backup on the storage account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1",
"name": "e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/locks/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/operations/read",
"Microsoft.Storage/storageAccounts/objectReplicationPolicies/delete",
"Microsoft.Storage/storageAccounts/objectReplicationPolicies/read",
"Microsoft.Storage/storageAccounts/objectReplicationPolicies/write",
"Microsoft.Storage/storageAccounts/objectReplicationPolicies/restorePointMarkers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/restoreBlobRanges/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Storage Account Backup Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Storage Account Contributor
ストレージ アカウントの管理を許可します。 アカウント キーへのアクセスを提供します。これを使用して、共有キー認証を使用してデータにアクセスすることができます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/diagnosticSettings/* | 分析サーバーの診断の設定の作成、更新、または読み取りを行います |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Storage/storageAccounts/* | ストレージ アカウントの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage storage accounts, including accessing storage account keys which provide full access to storage account data.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/17d1049b-9a84-46fb-8f53-869881c3d3ab",
"name": "17d1049b-9a84-46fb-8f53-869881c3d3ab",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Storage Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ アカウント キー オペレーターのサービス ロール
ストレージ アカウント アクセス キーを一覧表示および再生成できます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/listkeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/storageAccounts/regeneratekey/action | 指定されたストレージ アカウントのアクセス キーを再生成します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Storage Account Key Operators are allowed to list and regenerate keys on Storage Accounts",
"id": "/providers/Microsoft.Authorization/roleDefinitions/81a9662b-bebf-436f-a333-f67b29880f12",
"name": "81a9662b-bebf-436f-a333-f67b29880f12",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/regeneratekey/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Storage Account Key Operator Service Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ BLOB データ共同作成者
Azure Storage コンテナーと BLOB の読み取り、書き込み、削除を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/delete | コンテナーを削除します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | コンテナーまたはコンテナーの一覧を返します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | コンテナーのメタデータまたはプロパティを変更します。 |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Blob service 用のユーザー委任キーを返します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | BLOB を削除する |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | BLOB または BLOB の一覧を返します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | BLOB に書き込みます。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action | パス間で BLOB を移動します |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action | BLOB コンテンツを追加した結果を返します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write and delete access to Azure Storage blob containers and data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
"name": "ba92f5b4-2d11-453d-a403-e96b0029c9fe",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action"
],
"notDataActions": []
}
],
"roleName": "Storage Blob Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ BLOB データ所有者
Azure Storage Blob コンテナーとデータに対するフル アクセス (POSIX アクセスの制御の割り当てを含む) を提供します。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/* | コンテナーのフル アクセス許可。 |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Blob service 用のユーザー委任キーを返します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/* | BLOB のフル アクセス許可。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to Azure Storage blob containers and data, including assigning POSIX access control.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b7e6dc6d-f1e8-4753-8033-0f276bb0955b",
"name": "b7e6dc6d-f1e8-4753-8033-0f276bb0955b",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/*",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/*"
],
"notDataActions": []
}
],
"roleName": "Storage Blob Data Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ BLOB データ閲覧者
Azure Storage コンテナーと BLOB の読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/read | コンテナーまたはコンテナーの一覧を返します。 |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Blob service 用のユーザー委任キーを返します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | BLOB または BLOB の一覧を返します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Storage blob containers and data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"name": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notDataActions": []
}
],
"roleName": "Storage Blob Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Storage Blob デリゲータ
Azure AD 資格情報で署名されたコンテナーまたは BLOB 用の共有アクセス署名を作成するために使用できるユーザー委任キーを取得します。 詳細については、「ユーザー委任 SAS を作成する」を参照してください。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Blob service 用のユーザー委任キーを返します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for generation of a user delegation key which can be used to sign SAS tokens",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db58b8e5-c6ad-4a2a-8342-4190687cbf4a",
"name": "db58b8e5-c6ad-4a2a-8342-4190687cbf4a",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Storage Blob Delegator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ ファイル データ権限付き共同作成者
既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azure ファイル共有内のファイル/ディレクトリの ACL の読み取り、書き込み、削除、変更を行うことができます。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read | ファイルまたはフォルダー、またはファイルまたはフォルダーの一覧を返します |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write | ファイルの書き込みまたはフォルダーの作成の結果を返します |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete | ファイル/フォルダーの削除の結果を返します |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action | ファイル/フォルダーに対するアクセス許可の変更の結果を返します |
| Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action | ファイルバックアップ セマンティクスの読み取り特権 |
| Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action | ファイルバックアップ セマンティクスの書き込み特権 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Customer has read, write, delete and modify NTFS permission access on Azure Storage file shares.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69566ab7-960f-475b-8e7c-b3118f30c6bd",
"name": "69566ab7-960f-475b-8e7c-b3118f30c6bd",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action",
"Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action",
"Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action"
],
"notDataActions": []
}
],
"roleName": "Storage File Data Privileged Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ ファイル データ権限を持つ閲覧者
既存の ACL/NTFS アクセス許可をオーバーライドすることで、Azure ファイル共有内のファイル/ディレクトリの読み取りアクセスを許可します。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read | ファイルまたはフォルダー、またはファイルまたはフォルダーの一覧を返します |
| Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action | ファイルバックアップ セマンティクスの読み取り特権 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Customer has read access on Azure Storage file shares.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b8eda974-7b85-4f76-af95-65846b26df6d",
"name": "b8eda974-7b85-4f76-af95-65846b26df6d",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read",
"Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action"
],
"notDataActions": []
}
],
"roleName": "Storage File Data Privileged Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
記憶域ファイル データの SMB 共有の共同作成者
Azure ファイル共有のファイルまたはディレクトリに対する読み取り、書き込み、削除のアクセス権を許可します。 このロールに相当する機能は Windows ファイル サーバーに組み込まれていません。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read | ファイル/フォルダーまたはファイル/フォルダーの一覧を返します。 |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write | ファイルの書き込みまたはフォルダーの作成の結果を返します。 |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete | ファイル/フォルダーの削除の結果を返します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access in Azure Storage file shares over SMB",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb",
"name": "0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete"
],
"notDataActions": []
}
],
"roleName": "Storage File Data SMB Share Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ ファイル データの SMB 共有の管理者特権の共同作成者
Azure ファイル共有のファイルまたはディレクトリに対する ACL の読み取り、書き込み、削除、変更を許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の変更に相当します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read | ファイル/フォルダーまたはファイル/フォルダーの一覧を返します。 |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write | ファイルの書き込みまたはフォルダーの作成の結果を返します。 |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete | ファイル/フォルダーの削除の結果を返します。 |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action | ファイル/フォルダーに対するアクセス許可の変更の結果を返します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, delete and modify NTFS permission access in Azure Storage file shares over SMB",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7264617-510b-434b-a828-9731dc254ea7",
"name": "a7264617-510b-434b-a828-9731dc254ea7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action"
],
"notDataActions": []
}
],
"roleName": "Storage File Data SMB Share Elevated Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
記憶域ファイル データの SMB 共有の閲覧者
Azure ファイル共有のファイルまたはディレクトリに対する読み取りアクセスを許可します。 このロールは、Windows ファイル サーバーでのファイル共有 ACL の読み取りに相当します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read | ファイル/フォルダーまたはファイル/フォルダーの一覧を返します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure File Share over SMB",
"id": "/providers/Microsoft.Authorization/roleDefinitions/aba4ae5f-2193-4029-9191-0cb91df5e314",
"name": "aba4ae5f-2193-4029-9191-0cb91df5e314",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read"
],
"notDataActions": []
}
],
"roleName": "Storage File Data SMB Share Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ キュー データ共同作成者共同作成者
Azure Storage キューおよびキュー メッセージの読み取り、書き込み、削除を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/queueServices/queues/delete | キューを削除します。 |
| Microsoft.Storage/storageAccounts/queueServices/queues/read | キューまたはキューの一覧を返します。 |
| Microsoft.Storage/storageAccounts/queueServices/queues/write | キューのメタデータまたはプロパティを変更します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete | 1 つまたは複数のメッセージをキューから削除します。 |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/read | 1 つまたは複数のメッセージをキューからピークまたは取得します。 |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/write | メッセージをキューに追加します。 |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action | メッセージを処理した結果を返します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Storage queues and queue messages",
"id": "/providers/Microsoft.Authorization/roleDefinitions/974c5e8b-45b9-4653-ba55-5f855dd0fb88",
"name": "974c5e8b-45b9-4653-ba55-5f855dd0fb88",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/delete",
"Microsoft.Storage/storageAccounts/queueServices/queues/read",
"Microsoft.Storage/storageAccounts/queueServices/queues/write"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete",
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/read",
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/write",
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action"
],
"notDataActions": []
}
],
"roleName": "Storage Queue Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ キュー データのメッセージ プロセッサ
Azure Storage キューからのメッセージのピーク、取得、削除を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/read | メッセージをピークします。 |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action | メッセージを取得および削除します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for peek, receive, and delete access to Azure Storage queue messages",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8a0f0c08-91a1-4084-bc3d-661d67233fed",
"name": "8a0f0c08-91a1-4084-bc3d-661d67233fed",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/read",
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action"
],
"notDataActions": []
}
],
"roleName": "Storage Queue Data Message Processor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ キュー データ メッセージ送信者
Azure Storage キューにメッセージを追加します。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action | メッセージをキューに追加します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for sending of Azure Storage queue messages",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c6a89b2d-59bc-44d0-9896-0f6e12d7b80a",
"name": "c6a89b2d-59bc-44d0-9896-0f6e12d7b80a",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action"
],
"notDataActions": []
}
],
"roleName": "Storage Queue Data Message Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ キュー データ閲覧者
Azure Storage キューおよびキュー メッセージの読み取りと一覧表示を行います。 特定のデータ操作に必要なアクションについては、「Permissions for calling blob and queue data operations (BLOB およびキューのデータの操作を呼び出すためのアクセス許可)」をご覧ください。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/queueServices/queues/read | キューまたはキューの一覧を返します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/read | 1 つまたは複数のメッセージをキューからピークまたは取得します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Storage queues and queue messages",
"id": "/providers/Microsoft.Authorization/roleDefinitions/19e7f393-937e-4f77-808e-94535e297925",
"name": "19e7f393-937e-4f77-808e-94535e297925",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/read"
],
"notDataActions": []
}
],
"roleName": "Storage Queue Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ テーブル データ共同作成者
Azure Storage テーブルおよびエンティティに対する読み取り、書き込み、削除のアクセスを許可します
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/tableServices/tables/read | テーブルを照会する |
| Microsoft.Storage/storageAccounts/tableServices/tables/write | テーブルの作成 |
| Microsoft.Storage/storageAccounts/tableServices/tables/delete | テーブルの削除 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/read | テーブル エンティティをクエリします |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/write | テーブル エンティティを挿入、マージ、置換します |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete | テーブル エンティティを削除する |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action | テーブル エンティティを挿入します |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action | テーブル エンティティをマージまたは更新します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write and delete access to Azure Storage tables and entities",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3",
"name": "0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/tableServices/tables/read",
"Microsoft.Storage/storageAccounts/tableServices/tables/write",
"Microsoft.Storage/storageAccounts/tableServices/tables/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/read",
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/write",
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete",
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action",
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action"
],
"notDataActions": []
}
],
"roleName": "Storage Table Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ストレージ テーブル データ閲覧者
Azure Storage テーブルおよびエンティティに対する読み取りアクセスを許可します
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/tableServices/tables/read | テーブルを照会する |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/read | テーブル エンティティをクエリします |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Storage tables and entities",
"id": "/providers/Microsoft.Authorization/roleDefinitions/76199698-9eea-4c19-bc75-cec21354c6b6",
"name": "76199698-9eea-4c19-bc75-cec21354c6b6",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/tableServices/tables/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/read"
],
"notDataActions": []
}
],
"roleName": "Storage Table Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Web
Azure Maps データ共同作成者
Azure Maps アカウントからのマップ関連データへの読み取り、書き込み、削除のアクセスを付与します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Maps/accounts/*/read | |
| Microsoft.Maps/accounts/*/write | |
| Microsoft.Maps/accounts/*/delete | |
| Microsoft.Maps/accounts/*/action | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read, write, and delete access to map related data from an Azure maps account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204",
"name": "8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Maps/accounts/*/read",
"Microsoft.Maps/accounts/*/write",
"Microsoft.Maps/accounts/*/delete",
"Microsoft.Maps/accounts/*/action"
],
"notDataActions": []
}
],
"roleName": "Azure Maps Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Maps データ閲覧者
Azure Maps アカウントからマップ関連データを読み取るためのアクセス権を付与します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Maps/accounts/*/read | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read map related data from an Azure maps account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/423170ca-a8f6-4b0f-8487-9e4eb8f49bfa",
"name": "423170ca-a8f6-4b0f-8487-9e4eb8f49bfa",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Maps/accounts/*/read"
],
"notDataActions": []
}
],
"roleName": "Azure Maps Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Spring Cloud Config Server 共同作成者
Azure Spring Cloud Config Server への読み取り、書き込み、削除アクセスを許可します 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.AppPlatform/Spring/configService/read | 特定の Azure Spring Apps サービス インスタンスの構成内容 (たとえば、application.yaml) を読み取ります |
| Microsoft.AppPlatform/Spring/configService/write | 特定の Azure Spring Apps サービス インスタンスの構成サーバーの内容を書き込みます |
| Microsoft.AppPlatform/Spring/configService/delete | 特定の Azure Spring Apps サービス インスタンスの構成サーバーの内容を削除します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allow read, write and delete access to Azure Spring Cloud Config Server",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b",
"name": "a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/configService/read",
"Microsoft.AppPlatform/Spring/configService/write",
"Microsoft.AppPlatform/Spring/configService/delete"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Config Server Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Spring Cloud Config Server 閲覧者
Azure Spring Cloud Config Server への読み取りアクセスを許可します 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.AppPlatform/Spring/configService/read | 特定の Azure Spring Apps サービス インスタンスの構成内容 (たとえば、application.yaml) を読み取ります |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allow read access to Azure Spring Cloud Config Server",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d04c6db6-4947-4782-9e91-30a88feb7be7",
"name": "d04c6db6-4947-4782-9e91-30a88feb7be7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/configService/read"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Config Server Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Spring Cloud データ閲覧者
Azure Spring Cloud データへの読み取りアクセスを許可します
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.AppPlatform/Spring/*/read | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allow read access to Azure Spring Cloud Data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b5537268-8956-4941-a8f0-646150406f0c",
"name": "b5537268-8956-4941-a8f0-646150406f0c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/*/read"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Spring Cloud Service Registry 共同作成者
Azure Spring Cloud Service Registry への読み取り、書き込み、削除アクセスを許可します 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.AppPlatform/Spring/eurekaService/read | 特定の Azure Spring Apps サービス インスタンスのユーザー アプリ登録情報を読み取ります |
| Microsoft.AppPlatform/Spring/eurekaService/write | 特定の Azure Spring Apps サービス インスタンスのユーザー アプリの登録情報を書き込みます |
| Microsoft.AppPlatform/Spring/eurekaService/delete | 特定の Azure Spring Apps サービス インスタンスのユーザー アプリの登録情報を削除します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allow read, write and delete access to Azure Spring Cloud Service Registry",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f5880b48-c26d-48be-b172-7927bfa1c8f1",
"name": "f5880b48-c26d-48be-b172-7927bfa1c8f1",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/eurekaService/read",
"Microsoft.AppPlatform/Spring/eurekaService/write",
"Microsoft.AppPlatform/Spring/eurekaService/delete"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Service Registry Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Spring Cloud Service Registry 閲覧者
Azure Spring Cloud Service Registry への読み取りアクセスを許可します 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.AppPlatform/Spring/eurekaService/read | 特定の Azure Spring Apps サービス インスタンスのユーザー アプリ登録情報を読み取ります |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allow read access to Azure Spring Cloud Service Registry",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cff1b556-2399-4e7e-856d-a8f754be7b65",
"name": "cff1b556-2399-4e7e-856d-a8f754be7b65",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/eurekaService/read"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Service Registry Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Media Services アカウント管理者
Media Services アカウントを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.Insights/metricDefinitions/read | メトリック定義を読み取ります。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/listStreamingLocators/action | 資産のストリーミング ロケーターの一覧を取得します。 |
| Microsoft.Media/mediaservices/streamingLocators/listPaths/action | パスの一覧を取得します。 |
| Microsoft.Media/mediaservices/write | Media Services アカウントを作成または更新します。 |
| Microsoft.Media/mediaservices/delete | Media Services アカウントを削除します。 |
| Microsoft.Media/mediaservices/privateEndpointConnectionsApproval/action | プライベート エンドポイント接続を承認します |
| Microsoft.Media/mediaservices/privateEndpointConnections/* | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Media Services accounts; read-only access to other Media Services resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/054126f8-9a2b-4f1c-a9ad-eca461f08466",
"name": "054126f8-9a2b-4f1c-a9ad-eca461f08466",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/listStreamingLocators/action",
"Microsoft.Media/mediaservices/streamingLocators/listPaths/action",
"Microsoft.Media/mediaservices/write",
"Microsoft.Media/mediaservices/delete",
"Microsoft.Media/mediaservices/privateEndpointConnectionsApproval/action",
"Microsoft.Media/mediaservices/privateEndpointConnections/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Account Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Media Services ライブ イベント管理者
ライブ イベント、アセット、アセット フィルター、およびストリーミング ロケーターを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.Insights/metricDefinitions/read | メトリック定義を読み取ります。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/* | |
| Microsoft.Media/mediaservices/assets/assetfilters/* | |
| Microsoft.Media/mediaservices/streamingLocators/* | |
| Microsoft.Media/mediaservices/liveEvents/* | |
| NotActions | |
| Microsoft.Media/mediaservices/assets/getEncryptionKey/action | 資産暗号化キーを取得します。 |
| Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action | コンテンツ キーの一覧を取得します。 |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Live Events, Assets, Asset Filters, and Streaming Locators; read-only access to other Media Services resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/532bc159-b25e-42c0-969e-a1d439f60d77",
"name": "532bc159-b25e-42c0-969e-a1d439f60d77",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/*",
"Microsoft.Media/mediaservices/assets/assetfilters/*",
"Microsoft.Media/mediaservices/streamingLocators/*",
"Microsoft.Media/mediaservices/liveEvents/*"
],
"notActions": [
"Microsoft.Media/mediaservices/assets/getEncryptionKey/action",
"Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Live Events Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Media Services メディア オペレーター
アセット、アセット フィルター、ストリーミング ロケーター、およびジョブを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.Insights/metricDefinitions/read | メトリック定義を読み取ります。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/* | |
| Microsoft.Media/mediaservices/assets/assetfilters/* | |
| Microsoft.Media/mediaservices/streamingLocators/* | |
| Microsoft.Media/mediaservices/transforms/jobs/* | |
| NotActions | |
| Microsoft.Media/mediaservices/assets/getEncryptionKey/action | 資産暗号化キーを取得します。 |
| Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action | コンテンツ キーの一覧を取得します。 |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Assets, Asset Filters, Streaming Locators, and Jobs; read-only access to other Media Services resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e4395492-1534-4db2-bedf-88c14621589c",
"name": "e4395492-1534-4db2-bedf-88c14621589c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/*",
"Microsoft.Media/mediaservices/assets/assetfilters/*",
"Microsoft.Media/mediaservices/streamingLocators/*",
"Microsoft.Media/mediaservices/transforms/jobs/*"
],
"notActions": [
"Microsoft.Media/mediaservices/assets/getEncryptionKey/action",
"Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Media Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Media Services ポリシー管理者
アカウント フィルター、ストリーミング ポリシー、コンテンツ キー ポリシー、および変換を作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。 ジョブ、アセット、またはストリーミング リソースは作成できません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.Insights/metricDefinitions/read | メトリック定義を読み取ります。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/listStreamingLocators/action | 資産のストリーミング ロケーターの一覧を取得します。 |
| Microsoft.Media/mediaservices/streamingLocators/listPaths/action | パスの一覧を取得します。 |
| Microsoft.Media/mediaservices/accountFilters/* | |
| Microsoft.Media/mediaservices/streamingPolicies/* | |
| Microsoft.Media/mediaservices/contentKeyPolicies/* | |
| Microsoft.Media/mediaservices/transforms/* | |
| NotActions | |
| Microsoft.Media/mediaservices/contentKeyPolicies/getPolicyPropertiesWithSecrets/action | ポリシーのプロパティとシークレットを取得します。 |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Account Filters, Streaming Policies, Content Key Policies, and Transforms; read-only access to other Media Services resources. Cannot create Jobs, Assets or Streaming resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c4bba371-dacd-4a26-b320-7250bca963ae",
"name": "c4bba371-dacd-4a26-b320-7250bca963ae",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/listStreamingLocators/action",
"Microsoft.Media/mediaservices/streamingLocators/listPaths/action",
"Microsoft.Media/mediaservices/accountFilters/*",
"Microsoft.Media/mediaservices/streamingPolicies/*",
"Microsoft.Media/mediaservices/contentKeyPolicies/*",
"Microsoft.Media/mediaservices/transforms/*"
],
"notActions": [
"Microsoft.Media/mediaservices/contentKeyPolicies/getPolicyPropertiesWithSecrets/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Policy Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Media Services ストリーミング エンドポイント管理者
ストリーミング エンドポイントを作成、読み取り、変更、および削除します。他の Media Services リソースへの読み取り専用アクセスができます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.Insights/metricDefinitions/read | メトリック定義を読み取ります。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/listStreamingLocators/action | 資産のストリーミング ロケーターの一覧を取得します。 |
| Microsoft.Media/mediaservices/streamingLocators/listPaths/action | パスの一覧を取得します。 |
| Microsoft.Media/mediaservices/streamingEndpoints/* | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Streaming Endpoints; read-only access to other Media Services resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/99dba123-b5fe-44d5-874c-ced7199a5804",
"name": "99dba123-b5fe-44d5-874c-ced7199a5804",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/listStreamingLocators/action",
"Microsoft.Media/mediaservices/streamingLocators/listPaths/action",
"Microsoft.Media/mediaservices/streamingEndpoints/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Streaming Endpoints Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
検索インデックス データ共同作成者
Azure Cognitive Search インデックス データへのフル アクセスを付与します。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Search/searchServices/indexes/documents/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to Azure Cognitive Search index data.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8ebe5a00-799e-43f5-93ac-243d3dce84a7",
"name": "8ebe5a00-799e-43f5-93ac-243d3dce84a7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Search/searchServices/indexes/documents/*"
],
"notDataActions": []
}
],
"roleName": "Search Index Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
検索インデックス データ閲覧者
Azure Cognitive Search インデックス データへの読み取りアクセスを付与します。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Search/searchServices/indexes/documents/read | ドキュメントまたは提案されたクエリ用語をインデックスから読み取ります。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants read access to Azure Cognitive Search index data.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1407120a-92aa-4202-b7e9-c0e197c71c8f",
"name": "1407120a-92aa-4202-b7e9-c0e197c71c8f",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Search/searchServices/indexes/documents/read"
],
"notDataActions": []
}
],
"roleName": "Search Index Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Search Service Contributor
Search サービスを管理できます。ただし、それらへのアクセスは含まれません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Search/searchServices/* | 検索サービスの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Search services, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7ca78c08-252a-4471-8644-bb5ff32d4ba0",
"name": "7ca78c08-252a-4471-8644-bb5ff32d4ba0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Search/searchServices/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Search Service Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SignalR AccessKey 閲覧者
SignalR サービス アクセス キーを読み取ります
| アクション | 説明 |
|---|---|
| Microsoft.SignalRService/*/read | |
| Microsoft.SignalRService/SignalR/listkeys/action | 管理ポータルで、または API を使用して SignalR のアクセス キーの値を表示します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Read SignalR Service Access Keys",
"id": "/providers/Microsoft.Authorization/roleDefinitions/04165923-9d83-45d5-8227-78b77b0a687e",
"name": "04165923-9d83-45d5-8227-78b77b0a687e",
"permissions": [
{
"actions": [
"Microsoft.SignalRService/*/read",
"Microsoft.SignalRService/SignalR/listkeys/action",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SignalR AccessKey Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SignalR アプリ サーバー
AAD の認証オプションを使用して、アプリ サーバーが SignalR Service にアクセスできるようにします。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.SignalRService/SignalR/auth/accessKey/action | AccessTokens に署名するための AccessKey を生成します。このキーは、既定では 90 分で有効期限が切れます |
| Microsoft.SignalRService/SignalR/serverConnection/write | サーバー接続を開始します |
| Microsoft.SignalRService/SignalR/clientConnection/write | クライアント接続を閉じます |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets your app server access SignalR Service with AAD auth options.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/420fcaa2-552c-430f-98ca-3264be4806c7",
"name": "420fcaa2-552c-430f-98ca-3264be4806c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.SignalRService/SignalR/auth/accessKey/action",
"Microsoft.SignalRService/SignalR/serverConnection/write",
"Microsoft.SignalRService/SignalR/clientConnection/write"
],
"notDataActions": []
}
],
"roleName": "SignalR App Server",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SignalR REST API 所有者
Azure SignalR Service REST API へのフル アクセス
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.SignalRService/SignalR/auth/clientToken/action | クライアントが ASRS に接続するための AccessToken を生成します。このトークンは、既定では 5 分で有効期限が切れます |
| Microsoft.SignalRService/SignalR/hub/send/action | ハブ内のすべてのクライアント接続にメッセージをブロードキャストします |
| Microsoft.SignalRService/SignalR/group/send/action | メッセージをグループにブロードキャストします |
| Microsoft.SignalRService/SignalR/group/read | グループの存在、またはグループ内のユーザーの存在を確認します |
| Microsoft.SignalRService/SignalR/group/write | グループに参加するか、グループから脱退します |
| Microsoft.SignalRService/SignalR/clientConnection/send/action | クライアント接続にメッセージを直接送信します |
| Microsoft.SignalRService/SignalR/clientConnection/read | クライアント接続の存在を確認します |
| Microsoft.SignalRService/SignalR/clientConnection/write | クライアント接続を閉じます |
| Microsoft.SignalRService/SignalR/user/send/action | 複数のクライアント接続で構成される可能性があるユーザーにメッセージを送信します |
| Microsoft.SignalRService/SignalR/user/read | ユーザーの存在を確認する |
| Microsoft.SignalRService/SignalR/user/write | ユーザーを変更する |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Full access to Azure SignalR Service REST APIs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd53cd77-2268-407a-8f46-7e7863d0f521",
"name": "fd53cd77-2268-407a-8f46-7e7863d0f521",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.SignalRService/SignalR/auth/clientToken/action",
"Microsoft.SignalRService/SignalR/hub/send/action",
"Microsoft.SignalRService/SignalR/group/send/action",
"Microsoft.SignalRService/SignalR/group/read",
"Microsoft.SignalRService/SignalR/group/write",
"Microsoft.SignalRService/SignalR/clientConnection/send/action",
"Microsoft.SignalRService/SignalR/clientConnection/read",
"Microsoft.SignalRService/SignalR/clientConnection/write",
"Microsoft.SignalRService/SignalR/user/send/action",
"Microsoft.SignalRService/SignalR/user/read",
"Microsoft.SignalRService/SignalR/user/write"
],
"notDataActions": []
}
],
"roleName": "SignalR REST API Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SignalR REST API 閲覧者
Azure SignalR Service REST API への読み取り専用アクセス
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.SignalRService/SignalR/group/read | グループの存在、またはグループ内のユーザーの存在を確認します |
| Microsoft.SignalRService/SignalR/clientConnection/read | クライアント接続の存在を確認します |
| Microsoft.SignalRService/SignalR/user/read | ユーザーの存在を確認する |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Read-only access to Azure SignalR Service REST APIs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ddde6b66-c0df-4114-a159-3618637b3035",
"name": "ddde6b66-c0df-4114-a159-3618637b3035",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.SignalRService/SignalR/group/read",
"Microsoft.SignalRService/SignalR/clientConnection/read",
"Microsoft.SignalRService/SignalR/user/read"
],
"notDataActions": []
}
],
"roleName": "SignalR REST API Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SignalR Service 所有者
Azure SignalR Service REST API へのフル アクセス
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.SignalRService/SignalR/auth/accessKey/action | AccessTokens に署名するための AccessKey を生成します。このキーは、既定では 90 分で有効期限が切れます |
| Microsoft.SignalRService/SignalR/auth/clientToken/action | クライアントが ASRS に接続するための AccessToken を生成します。このトークンは、既定では 5 分で有効期限が切れます |
| Microsoft.SignalRService/SignalR/hub/send/action | ハブ内のすべてのクライアント接続にメッセージをブロードキャストします |
| Microsoft.SignalRService/SignalR/group/send/action | メッセージをグループにブロードキャストします |
| Microsoft.SignalRService/SignalR/group/read | グループの存在、またはグループ内のユーザーの存在を確認します |
| Microsoft.SignalRService/SignalR/group/write | グループに参加するか、グループから脱退します |
| Microsoft.SignalRService/SignalR/clientConnection/send/action | クライアント接続にメッセージを直接送信します |
| Microsoft.SignalRService/SignalR/clientConnection/read | クライアント接続の存在を確認します |
| Microsoft.SignalRService/SignalR/clientConnection/write | クライアント接続を閉じます |
| Microsoft.SignalRService/SignalR/serverConnection/write | サーバー接続を開始します |
| Microsoft.SignalRService/SignalR/user/send/action | 複数のクライアント接続で構成される可能性があるユーザーにメッセージを送信します |
| Microsoft.SignalRService/SignalR/user/read | ユーザーの存在を確認する |
| Microsoft.SignalRService/SignalR/user/write | ユーザーを変更する |
| Microsoft.SignalRService/SignalR/livetrace/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Full access to Azure SignalR Service REST APIs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7e4f1700-ea5a-4f59-8f37-079cfe29dce3",
"name": "7e4f1700-ea5a-4f59-8f37-079cfe29dce3",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.SignalRService/SignalR/auth/accessKey/action",
"Microsoft.SignalRService/SignalR/auth/clientToken/action",
"Microsoft.SignalRService/SignalR/hub/send/action",
"Microsoft.SignalRService/SignalR/group/send/action",
"Microsoft.SignalRService/SignalR/group/read",
"Microsoft.SignalRService/SignalR/group/write",
"Microsoft.SignalRService/SignalR/clientConnection/send/action",
"Microsoft.SignalRService/SignalR/clientConnection/read",
"Microsoft.SignalRService/SignalR/clientConnection/write",
"Microsoft.SignalRService/SignalR/serverConnection/write",
"Microsoft.SignalRService/SignalR/user/send/action",
"Microsoft.SignalRService/SignalR/user/read",
"Microsoft.SignalRService/SignalR/user/write",
"Microsoft.SignalRService/SignalR/livetrace/*"
],
"notDataActions": []
}
],
"roleName": "SignalR Service Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SignalR/Web PubSub 共同作成者
SignalR のサービス リソースの作成、読み取り、更新、削除を行います
| アクション | 説明 |
|---|---|
| Microsoft.SignalRService/* | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete SignalR service resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761",
"name": "8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761",
"permissions": [
{
"actions": [
"Microsoft.SignalRService/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SignalR/Web PubSub Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Web Plan Contributor
Web サイトの Web プランを管理します。 Azure RBAC でロールを割り当て許可をしません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Web/serverFarms/* | サーバー ファームの作成と管理 |
| Microsoft.Web/hostingEnvironments/Join/Action | App Service Environment に参加します |
| Microsoft.Insights/autoscalesettings/* | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage the web plans for websites, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b",
"name": "2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Web/serverFarms/*",
"Microsoft.Web/hostingEnvironments/Join/Action",
"Microsoft.Insights/autoscalesettings/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Web Plan Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Website Contributor
Web プランではなく、Web サイトを管理します。 Azure RBAC でロールを割り当て許可をしません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/components/* | Insights コンポーネントの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Web/certificates/* | Web サイト証明書の作成と管理 |
| Microsoft.Web/listSitesAssignedToHostName/read | ホスト名に割り当てられたサイトの名前を取得します。 |
| Microsoft.Web/serverFarms/join/action | App Service プランに参加します。 |
| Microsoft.Web/serverFarms/read | App Service プランのプロパティを取得します。 |
| Microsoft.Web/sites/* | Web サイトの作成と管理 (サイト作成では、関連付けられた App Service プランに対する書き込みアクセス許可も必要です) |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage websites (not web plans), but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de139f84-1756-47ae-9be6-808fbbe84772",
"name": "de139f84-1756-47ae-9be6-808fbbe84772",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/components/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Web/certificates/*",
"Microsoft.Web/listSitesAssignedToHostName/read",
"Microsoft.Web/serverFarms/join/action",
"Microsoft.Web/serverFarms/read",
"Microsoft.Web/sites/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Website Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Containers
AcrDelete
コンテナー レジストリからリポジトリ、タグ、またはマニフェストを削除します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | コンテナー レジストリの成果物を削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
コンテンツの信頼が有効になっているコンテナー レジストリに信頼済みのイメージをプッシュしたり、信頼済みのイメージをプルしたりします。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | コンテナー レジストリのコンテンツの信頼メタデータをプッシュ/プルします。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | コンテナー レジストリ コンテンツの信頼されたコレクションのプッシュまたは公開を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/sign/write アクションに似ています。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
コンテナー レジストリから成果物をプルします。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
コンテナー レジストリに成果物をプッシュしたり、成果物をプルしたりします。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/push/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
コンテナー レジストリから検疫済みのイメージをプルします。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | コンテナー レジストリから検疫済みのイメージをプルまたは取得します |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
検疫済みのイメージをコンテナー レジストリにプッシュしたり、検疫済みイメージをプルしたりします。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | コンテナー レジストリから検疫済みのイメージをプルまたは取得します |
| Microsoft.ContainerRegistry/registries/quarantine/write | 検疫済みイメージの検疫状態を書き込むか変更します |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています。 |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | 検疫済み成果物の検疫状態の書き込みまたは更新を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/write アクションに似ています。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC 管理者
このロールは管理者アクセス権を付与します。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対して書き込みアクセス許可を提供します。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | localsubjectaccessreviews を書き込みます |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "This role grants admin access - provides write permissions on most objects within a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC クラスター管理者
フリート マネージャー クラスター内のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the fleet manager cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC リーダー
名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/fleets/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/fleets/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/fleets/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/fleets/services/read | サービスを読み取ります |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC ライター
名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount として Secrets にアクセスできるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスター管理者ロール
クラスター管理者の資格情報アクションを一覧表示します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | 管理対象クラスターの clusterAdmin 資格情報を一覧表示します。 |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | 資格情報の一覧の取得を使用し、ロール名を指定してマネージド クラスターのアクセス プロファイルを取得します。 |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します。 |
| Microsoft.ContainerService/managedClusters/runcommand/action | マネージド Kubernetes サーバーに対してユーザーが発行したコマンドを実行します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスターの監視ユーザー
クラスター 監視ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | 管理対象クラスターの clusterMonitoringUser 資格情報を一覧表示します。 |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスター ユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します。 |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 共同作成者ロール
Azure Kubernetes Service クラスターへの読み取りおよび書き込みアクセスを許可します 詳細
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します。 |
| Microsoft.ContainerService/managedClusters/write | 新しいマネージド クラスターを作成するか、既存のものを更新します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/write",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 管理者
リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | resourcequotas を書き込みます |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | resourcequotas を削除します |
| Microsoft.ContainerService/managedClusters/namespaces/write | namespaces を書き込みます |
| Microsoft.ContainerService/managedClusters/namespaces/delete | 名前空間を削除します |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC クラスター管理者
クラスター内のすべてのリソースを管理できます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 閲覧者
名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/managedClusters/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/managedClusters/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/managedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/managedClusters/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/managedClusters/services/read | サービスを読み取ります |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC ライター
名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | リースを読み取ります |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | リースを書き込みます |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | リースを削除します |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/managedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
データベース
Azure Connected SQL Server のオンボード
Arc 対応サーバー上の SQL Server 用 Azure リソースに対する読み取りおよび書き込みアクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.AzureArcData/sqlServerInstances/read | SQL Server インスタンス リソースを取得します |
| Microsoft.AzureArcData/sqlServerInstances/write | SQL Server インスタンス リソースを更新します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Microsoft.AzureArcData service role to access the resources of Microsoft.AzureArcData stored with RPSAAS.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e8113dce-c529-4d33-91fa-e9b972617508",
"name": "e8113dce-c529-4d33-91fa-e9b972617508",
"permissions": [
{
"actions": [
"Microsoft.AzureArcData/sqlServerInstances/read",
"Microsoft.AzureArcData/sqlServerInstances/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Connected SQL Server Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cosmos DB アカウントの閲覧者ロール
Cosmos DB アカウントのデータを読み取ることができます。 Azure Cosmos DB アカウントの管理については、「DocumentDB Account Contributor」をご覧ください。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.DocumentDB/*/read | 任意のコレクションの読み取り |
| Microsoft.DocumentDB/databaseAccounts/readonlykeys/action | データベース アカウントの読み取り専用キーを読み取ります。 |
| Microsoft.Insights/MetricDefinitions/read | メトリック定義を読み取ります。 |
| Microsoft.Insights/Metrics/read | メトリックを読み取ります。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can read Azure Cosmos DB Accounts data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
"name": "fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.DocumentDB/*/read",
"Microsoft.DocumentDB/databaseAccounts/readonlykeys/action",
"Microsoft.Insights/MetricDefinitions/read",
"Microsoft.Insights/Metrics/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Cosmos DB Account Reader Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cosmos DB オペレーター
Azure Cosmos DB アカウントを管理することができます。ただし、アカウント内のデータにはアクセスできません。 アカウント キーと接続文字列へのアクセスは禁止されます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.DocumentDb/databaseAccounts/* | |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。 |
| NotActions | |
| Microsoft.DocumentDB/databaseAccounts/readonlyKeys/* | |
| Microsoft.DocumentDB/databaseAccounts/regenerateKey/* | |
| Microsoft.DocumentDB/databaseAccounts/listKeys/* | |
| Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/* | |
| Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write | SQL ロールの定義を作成または更新します |
| Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete | SQL ロールの定義を削除します |
| Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write | SQL ロールの割り当てを作成または更新します |
| Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete | SQL ロールの割り当てを削除します |
| Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/write | Mongo ロール定義を作成または更新する |
| Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/delete | MongoDB ロール定義の削除する |
| Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write | MongoDB ユーザー定義を作成または更新する |
| Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/delete | MongoDB ユーザー定義の削除する |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa",
"name": "230815da-be43-4aae-9cb4-875f7bd000aa",
"permissions": [
{
"actions": [
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
],
"notActions": [
"Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*",
"Microsoft.DocumentDB/databaseAccounts/regenerateKey/*",
"Microsoft.DocumentDB/databaseAccounts/listKeys/*",
"Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*",
"Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write",
"Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete",
"Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write",
"Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete",
"Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/write",
"Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/delete",
"Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write",
"Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/delete"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Cosmos DB Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
CosmosBackupOperator
Cosmos DB データベースまたはアカウントのコンテナーの復元要求を送信できます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.DocumentDB/databaseAccounts/backup/action | バックアップを構成するための要求を送信します |
| Microsoft.DocumentDB/databaseAccounts/restore/action | 復元要求を送信します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can submit restore request for a Cosmos DB database or a container for an account",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db7b14f2-5adf-42da-9f96-f2ee17bab5cb",
"name": "db7b14f2-5adf-42da-9f96-f2ee17bab5cb",
"permissions": [
{
"actions": [
"Microsoft.DocumentDB/databaseAccounts/backup/action",
"Microsoft.DocumentDB/databaseAccounts/restore/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CosmosBackupOperator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
CosmosRestoreOperator
継続的バックアップモードで Cosmos DB データベース アカウントの復元操作を実行できます
| アクション | 説明 |
|---|---|
| Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action | 復元要求を送信します |
| Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read | |
| Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read | 復元可能なデータベース アカウントを読み取るか、すべての復元可能なデータベースアカウントを一覧表示します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can perform restore action for Cosmos DB database account with continuous backup mode",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5432c526-bc82-444a-b7ba-57c5b0b5b34f",
"name": "5432c526-bc82-444a-b7ba-57c5b0b5b34f",
"permissions": [
{
"actions": [
"Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action",
"Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read",
"Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CosmosRestoreOperator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
DocumentDB Account Contributor
Azure Cosmos DB アカウントを管理できます。 Azure Cosmos DB は以前は DocumentDB と呼ばれていました。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.DocumentDb/databaseAccounts/* | Azure Cosmos DB アカウントの作成と管理 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage DocumentDB accounts, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5bd9cd88-fe45-4216-938b-f97437e15450",
"name": "5bd9cd88-fe45-4216-938b-f97437e15450",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "DocumentDB Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Redis Cache Contributor
Redis Caches を管理できます。ただし、それらへのアクセスは含まれません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Cache/register/action | "Microsoft.Cache" リソース プロバイダーをサブスクリプションに登録します。 |
| Microsoft.Cache/redis/* | Redis キャッシュの作成と管理 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Redis caches, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e0f68234-74aa-48ed-b826-c38b57376e17",
"name": "e0f68234-74aa-48ed-b826-c38b57376e17",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cache/register/action",
"Microsoft.Cache/redis/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Redis Cache Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SQL DB Contributor
SQL データベースを管理できます。ただし、それらへのアクセスは含まれません。 また、セキュリティ関連のポリシーまたは親 SQL Server を管理することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Sql/locations/*/read | |
| Microsoft.Sql/servers/databases/* | SQL データベースの作成と管理 |
| Microsoft.Sql/servers/read | サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.Insights/metricDefinitions/read | メトリック定義を読み取ります。 |
| NotActions | |
| Microsoft.Sql/servers/databases/ledgerDigestUploads/write | 台帳ダイジェストのアップロードを有効にします |
| Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action | 台帳ダイジェストのアップロードを無効にします |
| Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/databases/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/managedInstances/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/auditingSettings/* | 監査設定の編集 |
| Microsoft.Sql/servers/databases/auditRecords/read | データベースの BLOB 監査レコードを取得します。 |
| Microsoft.Sql/servers/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* | データ マスク ポリシーの編集 |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/* | |
| Microsoft.Sql/servers/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* | セキュリティ警告ポリシーの編集 |
| Microsoft.Sql/servers/databases/securityMetrics/* | セキュリティ基準の編集 |
| Microsoft.Sql/servers/databases/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* | |
| Microsoft.Sql/servers/vulnerabilityAssessments/* | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage SQL databases, but not access to them. Also, you can't manage their security-related policies or their parent SQL servers.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/9b7fa17d-e63e-47b0-bb0a-15c516ac86ec",
"name": "9b7fa17d-e63e-47b0-bb0a-15c516ac86ec",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Sql/locations/*/read",
"Microsoft.Sql/servers/databases/*",
"Microsoft.Sql/servers/read",
"Microsoft.Support/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read"
],
"notActions": [
"Microsoft.Sql/servers/databases/ledgerDigestUploads/write",
"Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action",
"Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/managedInstances/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/auditingSettings/*",
"Microsoft.Sql/servers/databases/auditRecords/read",
"Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
"Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
"Microsoft.Sql/servers/databases/extendedAuditingSettings/*",
"Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/securityAlertPolicies/*",
"Microsoft.Sql/servers/databases/securityMetrics/*",
"Microsoft.Sql/servers/databases/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
"Microsoft.Sql/servers/vulnerabilityAssessments/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SQL DB Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SQL マネージド インスタンス共同作成者
SQL マネージド インスタンスと必要なネットワーク構成を管理することができますが、他のユーザーにアクセス権を付与することはできません。
| アクション | 説明 |
|---|---|
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Network/networkSecurityGroups/* | |
| Microsoft.Network/routeTables/* | |
| Microsoft.Sql/locations/*/read | |
| Microsoft.Sql/locations/instanceFailoverGroups/* | |
| Microsoft.Sql/managedInstances/* | |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Network/virtualNetworks/subnets/* | |
| Microsoft.Network/virtualNetworks/* | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.Insights/metricDefinitions/read | メトリック定義を読み取ります。 |
| NotActions | |
| Microsoft.Sql/managedInstances/azureADOnlyAuthentications/delete | 特定のマネージド サーバーの Azure Active Directory のみの認証オブジェクトを削除します |
| Microsoft.Sql/managedInstances/azureADOnlyAuthentications/write | 特定のマネージド サーバーの Azure Active Directory のみの認証オブジェクトを追加または更新します |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage SQL Managed Instances and required network configuration, but can't give access to others.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4939a1f6-9ae0-4e48-a1e0-f2cbe897382d",
"name": "4939a1f6-9ae0-4e48-a1e0-f2cbe897382d",
"permissions": [
{
"actions": [
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/networkSecurityGroups/*",
"Microsoft.Network/routeTables/*",
"Microsoft.Sql/locations/*/read",
"Microsoft.Sql/locations/instanceFailoverGroups/*",
"Microsoft.Sql/managedInstances/*",
"Microsoft.Support/*",
"Microsoft.Network/virtualNetworks/subnets/*",
"Microsoft.Network/virtualNetworks/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read"
],
"notActions": [
"Microsoft.Sql/managedInstances/azureADOnlyAuthentications/delete",
"Microsoft.Sql/managedInstances/azureADOnlyAuthentications/write"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SQL Managed Instance Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SQL Security Manager
SQL サーバーとデータベースのセキュリティ関連のポリシーを管理できます。ただし、それらへのアクセスは管理できません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Sql/locations/administratorAzureAsyncOperation/read | マネージド インスタンスの Azure 非同期管理者操作の結果を取得します。 |
| Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read | 特定のインスタンスに対して構成されたマネージド インスタンスの Advanced Threat Protection 設定の一覧を取得します |
| Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write | 特定のマネージド インスタンスの Advanced Threat Protection 設定を変更します |
| Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read | 特定のマネージド データベースに対して構成されたマネージド データベースの Advanced Threat Protection 設定の一覧を取得します |
| Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write | 特定のマネージド データベースのデータベース Advanced Threat Protection 設定を変更します |
| Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read | 特定のインスタンスに対して構成されたマネージド インスタンスの Advanced Threat Protection 設定の一覧を取得します |
| Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write | 特定のマネージド インスタンスの Advanced Threat Protection 設定を変更します |
| Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read | 特定のマネージド データベースに対して構成されたマネージド データベースの Advanced Threat Protection 設定の一覧を取得します |
| Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write | 特定のマネージド データベースのデータベース Advanced Threat Protection 設定を変更します |
| Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/databases/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/advancedThreatProtectionSettings/read | 特定のサーバーに対して構成されたサーバー Advanced Threat Protection 設定の一覧を取得します |
| Microsoft.Sql/servers/advancedThreatProtectionSettings/write | 特定のサーバーの Advanced Threat Protection 設定を変更します |
| Microsoft.Sql/managedInstances/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/databases/transparentDataEncryption/* | |
| Microsoft.Sql/managedInstances/vulnerabilityAssessments/* | |
| Microsoft.Sql/managedInstances/serverConfigurationOptions/read | 指定した Azure SQL Managed Instance サーバー構成オプション のプロパティを取得します。 |
| Microsoft.Sql/managedInstances/serverConfigurationOptions/write | 指定したインスタンスの Azure SQL Managed Instance の サーバー構成を更新します。 |
| Microsoft.Sql/locations/serverConfigurationOptionAzureAsyncOperation/read | Azure SQL Managed Instance サーバー 構成オプションの Azure 非同期操作の状態を取得します。 |
| Microsoft.Sql/servers/advancedThreatProtectionSettings/read | 特定のサーバーに対して構成されたサーバー Advanced Threat Protection 設定の一覧を取得します |
| Microsoft.Sql/servers/advancedThreatProtectionSettings/write | 特定のサーバーの Advanced Threat Protection 設定を変更します |
| Microsoft.Sql/servers/auditingSettings/* | SQL サーバー監査設定の作成と管理 |
| Microsoft.Sql/servers/extendedAuditingSettings/read | 指定されたサーバーで構成されている拡張サーバー BLOB 監査ポリシーの詳細を取得します。 |
| Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read | 特定のデータベースに対して構成されたデータベース Advanced Threat Protection 設定の一覧を取得します |
| Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write | 特定のデータベースの Advanced Threat Protection 設定を変更します |
| Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read | 特定のデータベースに対して構成されたデータベース Advanced Threat Protection 設定の一覧を取得します |
| Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write | 特定のデータベースの Advanced Threat Protection 設定を変更します |
| Microsoft.Sql/servers/databases/auditingSettings/* | SQL サーバー データベース監査設定の作成と管理 |
| Microsoft.Sql/servers/databases/auditRecords/read | データベースの BLOB 監査レコードを取得します。 |
| Microsoft.Sql/servers/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* | SQL サーバー データベース データ マスク ポリシーの作成と管理 |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/read | 指定されたデータベースで構成されている拡張 BLOB 監査ポリシーの詳細を取得します。 |
| Microsoft.Sql/servers/databases/read | データベースの一覧を返すか、指定されたデータベースのプロパティを取得します。 |
| Microsoft.Sql/servers/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/schemas/read | データベースのスキーマを取得します。 |
| Microsoft.Sql/servers/databases/schemas/tables/columns/read | データベースの列を取得します。 |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/schemas/tables/read | データベースのテーブルを取得します。 |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* | SQL サーバー データベース セキュリティの警告のポリシーの作成と管理 |
| Microsoft.Sql/servers/databases/securityMetrics/* | SQL サーバー データベース セキュリティ基準の作成と管理 |
| Microsoft.Sql/servers/databases/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/transparentDataEncryption/* | |
| Microsoft.Sql/servers/databases/sqlvulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* | |
| Microsoft.Sql/servers/devOpsAuditingSettings/* | |
| Microsoft.Sql/servers/firewallRules/* | |
| Microsoft.Sql/servers/read | サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。 |
| Microsoft.Sql/servers/securityAlertPolicies/* | SQL サーバー セキュリティの警告のポリシーの作成と管理 |
| Microsoft.Sql/servers/sqlvulnerabilityAssessments/* | |
| Microsoft.Sql/servers/vulnerabilityAssessments/* | |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Sql/servers/azureADOnlyAuthentications/* | |
| Microsoft.Sql/managedInstances/read | マネージド インスタンスの一覧を返すか、指定されたマネージド インスタンスのプロパティを取得します。 |
| Microsoft.Sql/managedInstances/azureADOnlyAuthentications/* | |
| Microsoft.Security/sqlVulnerabilityAssessments/* | |
| Microsoft.Sql/managedInstances/administrators/read | Managed Instance の管理者の一覧を取得します。 |
| Microsoft.Sql/servers/administrators/read | 特定の Azure Active Directory 管理者オブジェクトを取得します |
| Microsoft.Sql/servers/databases/ledgerDigestUploads/* | |
| Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read | 台帳ダイジェスト アップロード設定の進行中の操作を取得します |
| Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read | 台帳ダイジェスト アップロード設定の進行中の操作を取得します |
| Microsoft.Sql/servers/externalPolicyBasedAuthorizations/* | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage the security-related policies of SQL servers and databases, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/056cd41c-7e88-42e1-933e-88ba6a50c9c3",
"name": "056cd41c-7e88-42e1-933e-88ba6a50c9c3",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Sql/locations/administratorAzureAsyncOperation/read",
"Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read",
"Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read",
"Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read",
"Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read",
"Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/advancedThreatProtectionSettings/read",
"Microsoft.Sql/servers/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/databases/transparentDataEncryption/*",
"Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
"Microsoft.Sql/managedInstances/serverConfigurationOptions/read",
"Microsoft.Sql/managedInstances/serverConfigurationOptions/write",
"Microsoft.Sql/locations/serverConfigurationOptionAzureAsyncOperation/read",
"Microsoft.Sql/servers/advancedThreatProtectionSettings/read",
"Microsoft.Sql/servers/advancedThreatProtectionSettings/write",
"Microsoft.Sql/servers/auditingSettings/*",
"Microsoft.Sql/servers/extendedAuditingSettings/read",
"Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read",
"Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write",
"Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read",
"Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write",
"Microsoft.Sql/servers/databases/auditingSettings/*",
"Microsoft.Sql/servers/databases/auditRecords/read",
"Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
"Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
"Microsoft.Sql/servers/databases/extendedAuditingSettings/read",
"Microsoft.Sql/servers/databases/read",
"Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/servers/databases/schemas/read",
"Microsoft.Sql/servers/databases/schemas/tables/columns/read",
"Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/schemas/tables/read",
"Microsoft.Sql/servers/databases/securityAlertPolicies/*",
"Microsoft.Sql/servers/databases/securityMetrics/*",
"Microsoft.Sql/servers/databases/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/transparentDataEncryption/*",
"Microsoft.Sql/servers/databases/sqlvulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
"Microsoft.Sql/servers/devOpsAuditingSettings/*",
"Microsoft.Sql/servers/firewallRules/*",
"Microsoft.Sql/servers/read",
"Microsoft.Sql/servers/securityAlertPolicies/*",
"Microsoft.Sql/servers/sqlvulnerabilityAssessments/*",
"Microsoft.Sql/servers/vulnerabilityAssessments/*",
"Microsoft.Support/*",
"Microsoft.Sql/servers/azureADOnlyAuthentications/*",
"Microsoft.Sql/managedInstances/read",
"Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*",
"Microsoft.Security/sqlVulnerabilityAssessments/*",
"Microsoft.Sql/managedInstances/administrators/read",
"Microsoft.Sql/servers/administrators/read",
"Microsoft.Sql/servers/databases/ledgerDigestUploads/*",
"Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read",
"Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read",
"Microsoft.Sql/servers/externalPolicyBasedAuthorizations/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SQL Security Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
SQL Server Contributor
SQL サーバーとデータベースを管理できます。ただし、それらへのアクセスや、それらのセキュリティ関連ポリシーは管理できません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Sql/locations/*/read | |
| Microsoft.Sql/servers/* | SQL サーバーの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.Insights/metricDefinitions/read | メトリック定義を読み取ります。 |
| NotActions | |
| Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/databases/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/managedInstances/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/auditingSettings/* | SQL サーバー監査設定の編集 |
| Microsoft.Sql/servers/databases/auditingSettings/* | SQL サーバー データベース監査設定の編集 |
| Microsoft.Sql/servers/databases/auditRecords/read | データベースの BLOB 監査レコードを取得します。 |
| Microsoft.Sql/servers/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* | SQL サーバー データベース データ マスク ポリシーの編集 |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/* | |
| Microsoft.Sql/servers/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* | SQL サーバー データベースのセキュリティ警告ポリシーの編集 |
| Microsoft.Sql/servers/databases/securityMetrics/* | SQL サーバー データベースのセキュリティ基準の編集 |
| Microsoft.Sql/servers/databases/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* | |
| Microsoft.Sql/servers/devOpsAuditingSettings/* | |
| Microsoft.Sql/servers/extendedAuditingSettings/* | |
| Microsoft.Sql/servers/securityAlertPolicies/* | SQL サーバーのセキュリティ警告ポリシーの編集 |
| Microsoft.Sql/servers/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/azureADOnlyAuthentications/delete | 特定のサーバーの Azure Active Directory のみの認証オブジェクトを削除します |
| Microsoft.Sql/servers/azureADOnlyAuthentications/write | 特定のサーバーの Azure Active Directory 認証オブジェクトのみを追加または更新します |
| Microsoft.Sql/servers/externalPolicyBasedAuthorizations/delete | 特定のサーバーの外部ポリシー ベースの承認プロパティを削除します |
| Microsoft.Sql/servers/externalPolicyBasedAuthorizations/write | 特定のサーバーの外部ポリシー ベースの承認プロパティを追加または更新します |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage SQL servers and databases, but not access to them, and not their security -related policies.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437",
"name": "6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Sql/locations/*/read",
"Microsoft.Sql/servers/*",
"Microsoft.Support/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read"
],
"notActions": [
"Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/managedInstances/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/auditingSettings/*",
"Microsoft.Sql/servers/databases/auditingSettings/*",
"Microsoft.Sql/servers/databases/auditRecords/read",
"Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
"Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
"Microsoft.Sql/servers/databases/extendedAuditingSettings/*",
"Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/securityAlertPolicies/*",
"Microsoft.Sql/servers/databases/securityMetrics/*",
"Microsoft.Sql/servers/databases/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
"Microsoft.Sql/servers/devOpsAuditingSettings/*",
"Microsoft.Sql/servers/extendedAuditingSettings/*",
"Microsoft.Sql/servers/securityAlertPolicies/*",
"Microsoft.Sql/servers/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/azureADOnlyAuthentications/delete",
"Microsoft.Sql/servers/azureADOnlyAuthentications/write",
"Microsoft.Sql/servers/externalPolicyBasedAuthorizations/delete",
"Microsoft.Sql/servers/externalPolicyBasedAuthorizations/write"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SQL Server Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
分析
Azure Event Hubs データ所有者
Azure Event Hubs リソースへのフル アクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.EventHub/* | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.EventHub/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to Azure Event Hubs resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f526a384-b230-433a-b45c-95f59c4a2dec",
"name": "f526a384-b230-433a-b45c-95f59c4a2dec",
"permissions": [
{
"actions": [
"Microsoft.EventHub/*"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/*"
],
"notDataActions": []
}
],
"roleName": "Azure Event Hubs Data Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Event Hubs データ受信者
Azure Event Hubs リソースへの受信アクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.EventHub/*/eventhubs/consumergroups/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.EventHub/*/receive/action | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows receive access to Azure Event Hubs resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a638d3c7-ab3a-418d-83e6-5f17a39d4fde",
"name": "a638d3c7-ab3a-418d-83e6-5f17a39d4fde",
"permissions": [
{
"actions": [
"Microsoft.EventHub/*/eventhubs/consumergroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/*/receive/action"
],
"notDataActions": []
}
],
"roleName": "Azure Event Hubs Data Receiver",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Event Hubs データ送信者
Azure Event Hubs リソースへの送信アクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.EventHub/*/eventhubs/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.EventHub/*/send/action | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows send access to Azure Event Hubs resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2b629674-e913-4c01-ae53-ef4638d8f975",
"name": "2b629674-e913-4c01-ae53-ef4638d8f975",
"permissions": [
{
"actions": [
"Microsoft.EventHub/*/eventhubs/read"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/*/send/action"
],
"notDataActions": []
}
],
"roleName": "Azure Event Hubs Data Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Data Factory Contributor
データ ファクトリまたデータ ファクトリ内の子リソースを作成し管理します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.DataFactory/dataFactories/* | Data Factory と Data Factory に含まれる子リソースを作成および管理します。 |
| Microsoft.DataFactory/factories/* | Data Factory と Data Factory に含まれる子リソースを作成および管理します。 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.EventGrid/eventSubscriptions/write | eventSubscription を作成または更新します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Create and manage data factories, as well as child resources within them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/673868aa-7521-48a0-acc6-0f60742d39f5",
"name": "673868aa-7521-48a0-acc6-0f60742d39f5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.DataFactory/dataFactories/*",
"Microsoft.DataFactory/factories/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.EventGrid/eventSubscriptions/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Factory Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Data Purger
Log Analytics ワークスペースの非公開データを削除します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Insights/components/*/read | |
| Microsoft.Insights/components/purge/action | Application Insights からデータを削除します。 |
| Microsoft.OperationalInsights/workspaces/*/read | Log Analytics のデータの表示 |
| Microsoft.OperationalInsights/workspaces/purge/action | ワークスペースからクエリによって指定されたデータを削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can purge analytics data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/150f5e0c-0603-4f03-8c7f-cf70034c4e90",
"name": "150f5e0c-0603-4f03-8c7f-cf70034c4e90",
"permissions": [
{
"actions": [
"Microsoft.Insights/components/*/read",
"Microsoft.Insights/components/purge/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/purge/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Purger",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
HDInsight クラスター オペレーター
HDInsight クラスター構成の読み取りと変更を実行できます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.HDInsight/*/read | |
| Microsoft.HDInsight/clusters/getGatewaySettings/action | HDInsight クラスター向けのアプリケーションを取得します |
| Microsoft.HDInsight/clusters/updateGatewaySettings/action | HDInsight クラスターのゲートウェイ設定を更新します |
| Microsoft.HDInsight/clusters/configurations/* | |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/deployments/operations/read | デプロイ操作を取得または一覧表示します。 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you read and modify HDInsight cluster configurations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/61ed4efc-fab3-44fd-b111-e24485cc132a",
"name": "61ed4efc-fab3-44fd-b111-e24485cc132a",
"permissions": [
{
"actions": [
"Microsoft.HDInsight/*/read",
"Microsoft.HDInsight/clusters/getGatewaySettings/action",
"Microsoft.HDInsight/clusters/updateGatewaySettings/action",
"Microsoft.HDInsight/clusters/configurations/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Authorization/*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "HDInsight Cluster Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
HDInsight ドメイン サービス共同作成者
HDInsight Enterprise セキュリティ パッケージに必要なドメイン サービス関連の操作の読み取り、作成、変更、および削除を行うことができます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.AAD/*/read | |
| Microsoft.AAD/domainServices/*/read | |
| Microsoft.AAD/domainServices/oucontainer/* | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can Read, Create, Modify and Delete Domain Services related operations needed for HDInsight Enterprise Security Package",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d8d5a11-05d3-4bda-a417-a08778121c7c",
"name": "8d8d5a11-05d3-4bda-a417-a08778121c7c",
"permissions": [
{
"actions": [
"Microsoft.AAD/*/read",
"Microsoft.AAD/domainServices/*/read",
"Microsoft.AAD/domainServices/oucontainer/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "HDInsight Domain Services Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Log Analytics Contributor
Log Analytics 共同作成者は、すべての監視データを読み取り、監視設定を編集できます。 監視設定の編集には、VM 拡張機能の VM への追加、Azure Storage からログの収集を設定できるようにするためのストレージ アカウント キーの読み取り、ソリューションの追加、すべての Azure リソースでの Azure Diagnostics の構成が含まれます。 詳細情報
| アクション | 説明 |
|---|---|
| */read | 機密データを除くあらゆる種類のリソースの読み取り |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ストレージ アカウントのアクセス キーを一覧表示します。 |
| Microsoft.Compute/virtualMachines/extensions/* | |
| Microsoft.HybridCompute/machines/extensions/write | Azure Arc 拡張機能をインストールまたは更新されます |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/diagnosticSettings/* | 分析サーバーの診断の設定の作成、更新、または読み取りを行います |
| Microsoft.OperationalInsights/* | |
| Microsoft.OperationsManagement/* | |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Log Analytics Contributor can read all monitoring data and edit monitoring settings. Editing monitoring settings includes adding the VM extension to VMs; reading storage account keys to be able to configure collection of logs from Azure Storage; adding solutions; and configuring Azure diagnostics on all Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"name": "92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.ClassicCompute/virtualMachines/extensions/*",
"Microsoft.ClassicStorage/storageAccounts/listKeys/action",
"Microsoft.Compute/virtualMachines/extensions/*",
"Microsoft.HybridCompute/machines/extensions/write",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.OperationalInsights/*",
"Microsoft.OperationsManagement/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Log Analytics Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Log Analytics Reader
Log Analytics Reader は、すべての監視データの表示と検索、およびすべての Azure リソース上の Azure Diagnostics 構成の表示など、監視設定の表示を行うことができます。 詳細情報
| アクション | 説明 |
|---|---|
| */read | 機密データを除くあらゆる種類のリソースの読み取り |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | 新しいエンジンを使用して検索します。 |
| Microsoft.OperationalInsights/workspaces/search/action | 検索クエリを実行します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| Microsoft.OperationalInsights/workspaces/sharedKeys/read | ワークスペースの共有キーを取得します。 これらのキーを使用して、Microsoft Operational Insights エージェントをワークスペースに接続します。 |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Log Analytics Reader can view and search all monitoring data as well as and view monitoring settings, including viewing the configuration of Azure diagnostics on all Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/73c42c96-874c-492b-b04d-ab87d138a893",
"name": "73c42c96-874c-492b-b04d-ab87d138a893",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/search/action",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.OperationalInsights/workspaces/sharedKeys/read"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Log Analytics Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Schema Registry Contributor (プレビュー)
Schema Registry グループおよびスキーマの読み取り、書き込み、および削除を行います。
| アクション | 説明 |
|---|---|
| Microsoft.EventHub/namespaces/schemagroups/* | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.EventHub/namespaces/schemas/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Read, write, and delete Schema Registry groups and schemas.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5dffeca3-4936-4216-b2bc-10343a5abb25",
"name": "5dffeca3-4936-4216-b2bc-10343a5abb25",
"permissions": [
{
"actions": [
"Microsoft.EventHub/namespaces/schemagroups/*"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/namespaces/schemas/*"
],
"notDataActions": []
}
],
"roleName": "Schema Registry Contributor (Preview)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Schema Registry Reader (プレビュー)
Schema Registry グループおよびスキーマの読み取りと一覧表示を行います。
| アクション | 説明 |
|---|---|
| Microsoft.EventHub/namespaces/schemagroups/read | SchemaGroup リソースの説明の一覧を取得します |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.EventHub/namespaces/schemas/read | スキーマを取得する |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Read and list Schema Registry groups and schemas.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2c56ea50-c6b3-40a6-83c0-9d98858bc7d2",
"name": "2c56ea50-c6b3-40a6-83c0-9d98858bc7d2",
"permissions": [
{
"actions": [
"Microsoft.EventHub/namespaces/schemagroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/namespaces/schemas/read"
],
"notDataActions": []
}
],
"roleName": "Schema Registry Reader (Preview)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Stream Analytics クエリ テスター
最初に Stream Analytics ジョブを作成せずにクエリ テストを実行できるようにします
| アクション | 説明 |
|---|---|
| Microsoft.StreamAnalytics/locations/TestQuery/action | Stream Analytics リソース プロバイダーのクエリをテストします |
| Microsoft.StreamAnalytics/locations/OperationResults/read | Stream Analytics の操作の結果を読み取ります |
| Microsoft.StreamAnalytics/locations/SampleInput/action | Stream Analytics リソース プロバイダーのサンプル入力 |
| Microsoft.StreamAnalytics/locations/CompileQuery/action | Stream Analytics リソース プロバイダーのクエリをコンパイルします |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you perform query testing without creating a stream analytics job first",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf",
"name": "1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf",
"permissions": [
{
"actions": [
"Microsoft.StreamAnalytics/locations/TestQuery/action",
"Microsoft.StreamAnalytics/locations/OperationResults/read",
"Microsoft.StreamAnalytics/locations/SampleInput/action",
"Microsoft.StreamAnalytics/locations/CompileQuery/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Stream Analytics Query Tester",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AI + 機械学習
AzureML データ サイエンティスト
コンピューティング リソースの作成または削除とワークスペース自体の変更を除く、Azure Machine Learning ワークスペース内のすべてのアクションを実行できます。
| アクション | 説明 |
|---|---|
| Microsoft.MachineLearningServices/workspaces/*/read | |
| Microsoft.MachineLearningServices/workspaces/*/action | |
| Microsoft.MachineLearningServices/workspaces/*/delete | |
| Microsoft.MachineLearningServices/workspaces/*/write | |
| NotActions | |
| Microsoft.MachineLearningServices/workspaces/delete | Machine Learning Services ワークスペースを削除します。 |
| Microsoft.MachineLearningServices/workspaces/write | Machine Learning Services ワークスペースを作成または更新します。 |
| Microsoft.MachineLearningServices/workspaces/computes/*/write | |
| Microsoft.MachineLearningServices/workspaces/computes/*/delete | |
| Microsoft.MachineLearningServices/workspaces/computes/listKeys/action | Machine Learning Services ワークスペースのコンピューティング リソースについて、シークレットの一覧を取得します。 |
| Microsoft.MachineLearningServices/workspaces/listKeys/action | Machine Learning Services ワークスペースのシークレットの一覧を取得します。 |
| Microsoft.MachineLearningServices/workspaces/hubs/write | Machine Learning Services Hub ワークスペースを作成または更新します |
| Microsoft.MachineLearningServices/workspaces/hubs/delete | Machine Learning Services Hub ワークスペースを削除します |
| Microsoft.MachineLearningServices/workspaces/featurestores/write | Machine Learning Services FeatureStore を作成または更新します |
| Microsoft.MachineLearningServices/workspaces/featurestores/delete | Machine Learning Services FeatureStore を削除します。 |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can perform all actions within an Azure Machine Learning workspace, except for creating or deleting compute resources and modifying the workspace itself.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f6c7c914-8db3-469d-8ca1-694a8f32e121",
"name": "f6c7c914-8db3-469d-8ca1-694a8f32e121",
"permissions": [
{
"actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write"
],
"notActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/computes/*/write",
"Microsoft.MachineLearningServices/workspaces/computes/*/delete",
"Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/hubs/write",
"Microsoft.MachineLearningServices/workspaces/hubs/delete",
"Microsoft.MachineLearningServices/workspaces/featurestores/write",
"Microsoft.MachineLearningServices/workspaces/featurestores/delete"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AzureML Data Scientist",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services 共同作成者
Cognitive Services のキーの作成、読み取り、更新、削除、管理を行うことができます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.CognitiveServices/* | |
| Microsoft.Features/features/read | サブスクリプションの機能を取得します。 |
| Microsoft.Features/providers/features/read | 指定されたリソース プロバイダーのサブスクリプションの機能を取得します。 |
| Microsoft.Features/providers/features/register/action | 指定されたリソース プロバイダーのサブスクリプションの機能を登録します。 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/diagnosticSettings/* | 分析サーバーの診断の設定の作成、更新、または読み取りを行います |
| Microsoft.Insights/logDefinitions/read | ログ定義を読み取ります。 |
| Microsoft.Insights/metricdefinitions/read | メトリック定義を読み取ります。 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/deployments/operations/read | デプロイ操作を取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you create, read, update, delete and manage keys of Cognitive Services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68",
"name": "25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Cognitive Services Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services Custom Vision Contributor
プロジェクトの表示、作成、編集、削除を含む、プロジェクトへのフル アクセス。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Full access to the project, including the ability to view, create, edit, or delete projects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c1ff6cc2-c111-46fe-8896-e0ef812ad9f3",
"name": "c1ff6cc2-c111-46fe-8896-e0ef812ad9f3",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services Custom Vision Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services Custom Vision Deployment
モデルの公開、非公開、またはエクスポートを行います。 Deployment は、プロジェクトを表示できますが、更新することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/*/read | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/publish/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/export/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/quicktest/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/classify/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/detect/* | |
| NotDataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read | プロジェクトをエクスポートします。 |
{
"assignableScopes": [
"/"
],
"description": "Publish, unpublish or export models. Deployment can view the project but can't update.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5c4089e1-6d96-4d2f-b296-c1bc7137275f",
"name": "5c4089e1-6d96-4d2f-b296-c1bc7137275f",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*/read",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/publish/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/export/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/quicktest/*",
"Microsoft.CognitiveServices/accounts/CustomVision/classify/*",
"Microsoft.CognitiveServices/accounts/CustomVision/detect/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
]
}
],
"roleName": "Cognitive Services Custom Vision Deployment",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services Custom Vision Labeler
トレーニング画像の表示と編集、およびイメージ タグの作成、追加、または削除を行うことができます。 ラベラーはプロジェクトを表示できますが、トレーニング画像とタグ以外は更新できません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/*/read | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action | 予測エンドポイントに送信された画像を取得します。 |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/images/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/tags/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/images/suggested/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/tagsandregions/suggestions/action | この API は、タグ付けされていないイメージの配列/バッチとタグの信頼度に対して、推奨されるタグと領域を取得します。 タグが見つからない場合は、空の配列を返します。 |
| NotDataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read | プロジェクトをエクスポートします。 |
{
"assignableScopes": [
"/"
],
"description": "View, edit training images and create, add, remove, or delete the image tags. Labelers can view the project but can't update anything other than training images and tags.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/88424f51-ebe7-446f-bc41-7fa16989e96c",
"name": "88424f51-ebe7-446f-bc41-7fa16989e96c",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*/read",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/images/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/tags/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/images/suggested/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/tagsandregions/suggestions/action"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
]
}
],
"roleName": "Cognitive Services Custom Vision Labeler",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services Custom Vision Reader
プロジェクトでの読み取り専用のアクション。 閲覧者がこのプロジェクトを作成または更新することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/*/read | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action | 予測エンドポイントに送信された画像を取得します。 |
| NotDataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read | プロジェクトをエクスポートします。 |
{
"assignableScopes": [
"/"
],
"description": "Read-only actions in the project. Readers can't create or update the project.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/93586559-c37d-4a6b-ba08-b9f0940c2d73",
"name": "93586559-c37d-4a6b-ba08-b9f0940c2d73",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*/read",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
]
}
],
"roleName": "Cognitive Services Custom Vision Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services Custom Vision Trainer
プロジェクトの表示、作成、およびモデルの公開、非公開、エクスポートを含む、モデルのトレーニングを行うことができます。 トレーナーがこのプロジェクトを作成または削除することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/* | |
| NotDataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/action | プロジェクトを作成します。 |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/delete | 特定のプロジェクトを削除します。 |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/import/action | プロジェクトをインポートします。 |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read | プロジェクトをエクスポートします。 |
{
"assignableScopes": [
"/"
],
"description": "View, edit projects and train the models, including the ability to publish, unpublish, export the models. Trainers can't create or delete the project.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0a5ae4ab-0d65-4eeb-be61-29fc9b54394b",
"name": "0a5ae4ab-0d65-4eeb-be61-29fc9b54394b",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/projects/action",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/delete",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/import/action",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
]
}
],
"roleName": "Cognitive Services Custom Vision Trainer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services データ閲覧者 (プレビュー)
Cognitive Services データを読み取ります。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/*/read | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you read Cognitive Services data.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b59867f0-fa02-499b-be73-45a86b5b3e1c",
"name": "b59867f0-fa02-499b-be73-45a86b5b3e1c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*/read"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services Data Reader (Preview)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services Face Recognizer
Face API に対する類似の操作の検出、検証、識別、グループ化、検索を実行できるようにします。 このロールでは、作成または削除操作は許可されません。そのため、"最小特権" のベスト プラクティスに従えば、推論機能のみを必要とするエンドポイントに適しています。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/Face/detect/action | 画像内の人間の顔を検出して、顔を示す四角形を返します。必要に応じて、FaceId、ランドマーク、および属性も返します。 |
| Microsoft.CognitiveServices/accounts/Face/verify/action | 2 つの顔が同じユーザーのものであるか、または 1 つの顔が 1 人のユーザーのものであるかを検証します。 |
| Microsoft.CognitiveServices/accounts/Face/identify/action | 1 対多の識別により、人物グループまたは大規模人物グループから、特定のクエリの人物の顔に最も近い一致を見つけます。 |
| Microsoft.CognitiveServices/accounts/Face/group/action | 顔の類似性に基づいて候補の顔をグループ分けします。 |
| Microsoft.CognitiveServices/accounts/Face/findsimilars/action | 与えられたクエリの顔の faceId に対して、faceId 配列、顔リスト、または大規模顔リストから類似の顔を検索します。 faceId |
| Microsoft.CognitiveServices/accounts/Face/detectliveness/multimodal/action | ターゲットの顔に対するライブネス検出を赤外画像、色画像、深度画像のシーケンスで行い、特定の入力で分類を行えなかった場合にターゲット顔のライブネス分類を "実際の顔"、"なりすまし顔"、または "不明" として返します。 |
| Microsoft.CognitiveServices/accounts/Face/detectliveness/singlemodal/action | ターゲットの顔に対するライブネス検出を同じモダリティの画像 (色画像や赤外画像) のシーケンスで行い、特定の入力で分類を行えなかった場合にターゲット顔のライブネス分類を "実際の顔"、"なりすまし顔"、または "不明" として返します。 |
| Microsoft.CognitiveServices/accounts/Face/detectlivenesswithverify/singlemodal/action | 同じストリーム タイプ (色など) の一連の画像からターゲットの顔のライブネスを検出し、VerifyImage と比較して、ID シナリオに使用される信頼度スコアを返します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you perform detect, verify, identify, group, and find similar operations on Face API. This role does not allow create or delete operations, which makes it well suited for endpoints that only need inferencing capabilities, following 'least privilege' best practices.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/9894cab4-e18a-44aa-828b-cb588cd6f2d7",
"name": "9894cab4-e18a-44aa-828b-cb588cd6f2d7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/Face/detect/action",
"Microsoft.CognitiveServices/accounts/Face/verify/action",
"Microsoft.CognitiveServices/accounts/Face/identify/action",
"Microsoft.CognitiveServices/accounts/Face/group/action",
"Microsoft.CognitiveServices/accounts/Face/findsimilars/action",
"Microsoft.CognitiveServices/accounts/Face/detectliveness/multimodal/action",
"Microsoft.CognitiveServices/accounts/Face/detectliveness/singlemodal/action",
"Microsoft.CognitiveServices/accounts/Face/detectlivenesswithverify/singlemodal/action"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services Face Recognizer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services Metrics Advisor Administrator
システム レベルの構成を含む、プロジェクトへのフル アクセス。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/MetricsAdvisor/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Full access to the project, including the system level configuration.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cb43c632-a144-4ec5-977c-e80c4affc34a",
"name": "cb43c632-a144-4ec5-977c-e80c4affc34a",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/MetricsAdvisor/*"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services Metrics Advisor Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services OpenAI 共同作成者
テキスト を微調整、デプロイ、生成する機能を含むフル アクセス 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| Microsoft.CognitiveServices/accounts/deployments/write | デプロイを書き込みます。 |
| Microsoft.CognitiveServices/accounts/deployments/delete | デプロイを削除します。 |
| Microsoft.CognitiveServices/accounts/raiPolicies/read | 既定のポリシーを含む、アカウントのすべての適用可能なポリシーを取得します。 |
| Microsoft.CognitiveServices/accounts/raiPolicies/write | カスタムの Responsible AI ポリシーを作成または更新します。 |
| Microsoft.CognitiveServices/accounts/raiPolicies/delete | 既存のデプロイによって参照されていないカスタムの Responsible AI ポリシーを削除します。 |
| Microsoft.CognitiveServices/accounts/commitmentplans/read | コミットメント プランを読み取ります。 |
| Microsoft.CognitiveServices/accounts/commitmentplans/write | コミットメント プランを書き込みます。 |
| Microsoft.CognitiveServices/accounts/commitmentplans/delete | コミットメント プランを削除します。 |
| Microsoft.Authorization/roleAssignments/read | ロールの割り当てに関する情報を取得します。 |
| Microsoft.Authorization/roleDefinitions/read | ロール定義に関する情報を取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/OpenAI/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Full access including the ability to fine-tune, deploy and generate text",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a001fd3d-188f-4b5d-821b-7da978bf7442",
"name": "a001fd3d-188f-4b5d-821b-7da978bf7442",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/deployments/write",
"Microsoft.CognitiveServices/accounts/deployments/delete",
"Microsoft.CognitiveServices/accounts/raiPolicies/read",
"Microsoft.CognitiveServices/accounts/raiPolicies/write",
"Microsoft.CognitiveServices/accounts/raiPolicies/delete",
"Microsoft.CognitiveServices/accounts/commitmentplans/read",
"Microsoft.CognitiveServices/accounts/commitmentplans/write",
"Microsoft.CognitiveServices/accounts/commitmentplans/delete",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services OpenAI Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services OpenAI ユーザー
ファイル、モデル、デプロイを表示するための読み取りアクセス。 補完呼び出しと埋め込み呼び出しを作成する機能。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| Microsoft.Authorization/roleAssignments/read | ロールの割り当てに関する情報を取得します。 |
| Microsoft.Authorization/roleDefinitions/read | ロール定義に関する情報を取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/OpenAI/*/read | |
| Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action | 選択したモデルから完了を作成します。 |
| Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action | 現在のエンジンを使用して、最も関連性の高いドキュメントを検索します。 |
| Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action | (ブラウザーのみを対象としています。) バージョン変更 要求を介して、生成されたテキストをモデルからストリーム配信します。 ブラウザーネイティブの EventSource メソッドでは バージョン変更 (GET) 要求のみを送信できるため、このメソッドが提供されます。 POST バリアントよりも制限された構成オプションのセットがサポートされています。 |
| Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/write | |
| Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action | 現在のエンジンを使用して、最も関連性の高いドキュメントを検索します。 |
| Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action | 選択されたモデルから完了を作成します。 |
| Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action | チャット メッセージの補完を作成します |
| Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action | 拡張子を持つ チャット メッセージの補完を作成します |
| Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action | 指定されたプロンプトの埋め込みを返却します。 |
| Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/write | |
| Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action | 画像の世代を作成します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Ability to view files, models, deployments. Readers are able to call inference operations such as chat completions and image generation.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5e0bd9bd-7b93-4f28-af87-19fc36ad61bd",
"name": "5e0bd9bd-7b93-4f28-af87-19fc36ad61bd",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/OpenAI/*/read",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/generate/action",
"Microsoft.CognitiveServices/accounts/OpenAI/engines/completions/write",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/search/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/extensions/chat/completions/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/embeddings/action",
"Microsoft.CognitiveServices/accounts/OpenAI/deployments/completions/write",
"Microsoft.CognitiveServices/accounts/OpenAI/images/generations/action"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services OpenAI User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services QnA Maker エディター
KB の作成、編集、インポート、およびエクスポートが可能になります。 KB を公開または削除することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| Microsoft.Authorization/roleAssignments/read | ロールの割り当てに関する情報を取得します。 |
| Microsoft.Authorization/roleDefinitions/read | ロール定義に関する情報を取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read | ナレッジベースの一覧または特定のナレッジベースの詳細を取得します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read | ナレッジベースをダウンロードします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/create/write | 新しいナレッジベースを作成する非同期操作。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/write | ナレッジベースを変更する、またはナレッジベースの内容を置き換えるための非同期操作。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action | ナレッジベースのクエリを実行するための GenerateAnswer 呼び出し。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/train/action | ナレッジベースに提案を追加する呼び出しをトレーニングします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read | ランタイムから変更をダウンロードします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/alterations/write | 変更データを置換します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read | エンドポイント用のエンドポイント キーを取得します |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/refreshkeys/action | エンドポイント キーを再生成します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read | エンドポイントのエンドポイント設定を取得します |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/write | エンドポイントのエンドポイント設定を更新します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/operations/read | 長期実行されている特定の操作の詳細を取得します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read | ナレッジベースの一覧または特定のナレッジベースの詳細を取得します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read | ナレッジベースをダウンロードします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/create/write | 新しいナレッジベースを作成する非同期操作。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/write | ナレッジベースを変更する、またはナレッジベースの内容を置き換えるための非同期操作。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action | ナレッジベースのクエリを実行するための GenerateAnswer 呼び出し。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/train/action | ナレッジベースに提案を追加する呼び出しをトレーニングします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read | ランタイムから変更をダウンロードします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/write | 変更データを置換します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read | エンドポイント用のエンドポイント キーを取得します |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/refreshkeys/action | エンドポイント キーを再生成します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read | エンドポイントのエンドポイント設定を取得します |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/write | エンドポイントのエンドポイント設定を更新します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/operations/read | 長期実行されている特定の操作の詳細を取得します。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read | ナレッジベースの一覧または特定のナレッジベースの詳細を取得します。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read | ナレッジベースをダウンロードします。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/create/write | 新しいナレッジベースを作成する非同期操作。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/write | ナレッジベースを変更する、またはナレッジベースの内容を置き換えるための非同期操作。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action | ナレッジベースのクエリを実行するための GenerateAnswer 呼び出し。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/train/action | ナレッジベースに提案を追加する呼び出しをトレーニングします。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read | ランタイムから変更をダウンロードします。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/write | 変更データを置換します。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read | エンドポイント用のエンドポイント キーを取得します |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/refreshkeys/action | エンドポイント キーを再生成します。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read | エンドポイントのエンドポイント設定を取得します |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/write | エンドポイントのエンドポイント設定を更新します。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/operations/read | 長期実行されている特定の操作の詳細を取得します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Let's you create, edit, import and export a KB. You cannot publish or delete a KB.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4cc2bf9-21be-47a1-bdf1-5c5804381025",
"name": "f4cc2bf9-21be-47a1-bdf1-5c5804381025",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/create/write",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/write",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/train/action",
"Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/alterations/write",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/refreshkeys/action",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/write",
"Microsoft.CognitiveServices/accounts/QnAMaker/operations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/create/write",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/write",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/train/action",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/write",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/refreshkeys/action",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/write",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/operations/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/create/write",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/write",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/train/action",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/write",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/refreshkeys/action",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/write",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/operations/read"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services QnA Maker Editor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services QnA Maker 閲覧者
KB のみ、読み取りとテストが可能になります。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| Microsoft.Authorization/roleAssignments/read | ロールの割り当てに関する情報を取得します。 |
| Microsoft.Authorization/roleDefinitions/read | ロール定義に関する情報を取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read | ナレッジベースの一覧または特定のナレッジベースの詳細を取得します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read | ナレッジベースをダウンロードします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action | ナレッジベースのクエリを実行するための GenerateAnswer 呼び出し。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read | ランタイムから変更をダウンロードします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read | エンドポイント用のエンドポイント キーを取得します |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read | エンドポイントのエンドポイント設定を取得します |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read | ナレッジベースの一覧または特定のナレッジベースの詳細を取得します。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read | ナレッジベースをダウンロードします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action | ナレッジベースのクエリを実行するための GenerateAnswer 呼び出し。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read | ランタイムから変更をダウンロードします。 |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read | エンドポイント用のエンドポイント キーを取得します |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read | エンドポイントのエンドポイント設定を取得します |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read | ナレッジベースの一覧または特定のナレッジベースの詳細を取得します。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read | ナレッジベースをダウンロードします。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action | ナレッジベースのクエリを実行するための GenerateAnswer 呼び出し。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read | ランタイムから変更をダウンロードします。 |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read | エンドポイント用のエンドポイント キーを取得します |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read | エンドポイントのエンドポイント設定を取得します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Let's you read and test a KB only.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/466ccd10-b268-4a11-b098-b4849f024126",
"name": "466ccd10-b268-4a11-b098-b4849f024126",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services QnA Maker Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services 使用状況閲覧者
Cognitive Services の使用状況を表示するための最小限のアクセス許可。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/locations/usages/read | すべての使用状況データの読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Minimal permission to view Cognitive Services usages.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bba48692-92b0-4667-a9ad-c31c7b334ac2",
"name": "bba48692-92b0-4667-a9ad-c31c7b334ac2",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/locations/usages/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Cognitive Services Usages Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cognitive Services ユーザー
Cognitive Services のキーの読み取りおよび一覧表示を行うことができます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| Microsoft.CognitiveServices/accounts/listkeys/action | キーのリスト |
| Microsoft.Insights/alertRules/read | クラシック メトリック アラートを読み取ります |
| Microsoft.Insights/diagnosticSettings/read | リソースの診断設定を読み取ります |
| Microsoft.Insights/logDefinitions/read | ログ定義を読み取ります。 |
| Microsoft.Insights/metricdefinitions/read | メトリック定義を読み取ります。 |
| Microsoft.Insights/metrics/read | メトリックを読み取ります。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/operations/read | デプロイ操作を取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.CognitiveServices/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you read and list keys of Cognitive Services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a97b65f3-24c7-4388-baec-2e87135dc908",
"name": "a97b65f3-24c7-4388-baec-2e87135dc908",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
モノのインターネット
デバイス更新管理者
管理およびコンテンツ操作へのフル アクセスが付与されます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | 更新に関連する読み取り操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/updates/write | 更新に関連する書き込み操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/updates/delete | 更新に関連する削除操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/management/read | 管理に関連する読み取り操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/management/write | 管理に関連する書き込み操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/management/delete | 管理に関連する削除操作を実行します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Gives you full access to management and content operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/02ca0879-e8e4-47a5-a61e-5c618b76e64a",
"name": "02ca0879-e8e4-47a5-a61e-5c618b76e64a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/updates/read",
"Microsoft.DeviceUpdate/accounts/instances/updates/write",
"Microsoft.DeviceUpdate/accounts/instances/updates/delete",
"Microsoft.DeviceUpdate/accounts/instances/management/read",
"Microsoft.DeviceUpdate/accounts/instances/management/write",
"Microsoft.DeviceUpdate/accounts/instances/management/delete"
],
"notDataActions": []
}
],
"roleName": "Device Update Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
デバイス更新コンテンツ管理者
コンテンツ操作へのフル アクセスが付与されます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | 更新に関連する読み取り操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/updates/write | 更新に関連する書き込み操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/updates/delete | 更新に関連する削除操作を実行します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Gives you full access to content operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0378884a-3af5-44ab-8323-f5b22f9f3c98",
"name": "0378884a-3af5-44ab-8323-f5b22f9f3c98",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/updates/read",
"Microsoft.DeviceUpdate/accounts/instances/updates/write",
"Microsoft.DeviceUpdate/accounts/instances/updates/delete"
],
"notDataActions": []
}
],
"roleName": "Device Update Content Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
デバイス更新コンテンツ閲覧者
コンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | 更新に関連する読み取り操作を実行します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Gives you read access to content operations, but does not allow making changes",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d1ee9a80-8b14-47f0-bdc2-f4a351625a7b",
"name": "d1ee9a80-8b14-47f0-bdc2-f4a351625a7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/updates/read"
],
"notDataActions": []
}
],
"roleName": "Device Update Content Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
デバイス更新デプロイ管理者
管理操作へのフル アクセスが付与されます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.DeviceUpdate/accounts/instances/management/read | 管理に関連する読み取り操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/management/write | 管理に関連する書き込み操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/management/delete | 管理に関連する削除操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | 更新に関連する読み取り操作を実行します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Gives you full access to management operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e4237640-0e3d-4a46-8fda-70bc94856432",
"name": "e4237640-0e3d-4a46-8fda-70bc94856432",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/management/read",
"Microsoft.DeviceUpdate/accounts/instances/management/write",
"Microsoft.DeviceUpdate/accounts/instances/management/delete",
"Microsoft.DeviceUpdate/accounts/instances/updates/read"
],
"notDataActions": []
}
],
"roleName": "Device Update Deployments Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
デバイス更新デプロイ閲覧者
管理操作への読み取りアクセスが付与されますが、変更を加えることはできません。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.DeviceUpdate/accounts/instances/management/read | 管理に関連する読み取り操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | 更新に関連する読み取り操作を実行します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Gives you read access to management operations, but does not allow making changes",
"id": "/providers/Microsoft.Authorization/roleDefinitions/49e2f5d2-7741-4835-8efa-19e1fe35e47f",
"name": "49e2f5d2-7741-4835-8efa-19e1fe35e47f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/management/read",
"Microsoft.DeviceUpdate/accounts/instances/updates/read"
],
"notDataActions": []
}
],
"roleName": "Device Update Deployments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
デバイス更新閲覧者
管理操作およびコンテンツ操作への読み取りアクセスが付与されますが、変更を加えることはできません。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | 更新に関連する読み取り操作を実行します |
| Microsoft.DeviceUpdate/accounts/instances/management/read | 管理に関連する読み取り操作を実行します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Gives you read access to management and content operations, but does not allow making changes",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f",
"name": "e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/updates/read",
"Microsoft.DeviceUpdate/accounts/instances/management/read"
],
"notDataActions": []
}
],
"roleName": "Device Update Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
IoT Hub データ共同作成者
IoT Hub データ プレーン操作へのフル アクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Devices/IotHubs/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to IoT Hub data plane operations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4fc6c259-987e-4a07-842e-c321cc9d413f",
"name": "4fc6c259-987e-4a07-842e-c321cc9d413f",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Devices/IotHubs/*"
],
"notDataActions": []
}
],
"roleName": "IoT Hub Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
IoT Hub データ リーダー
IoT Hub データプレーン プロパティへの読み取りのフル アクセスを許可します。詳細
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Devices/IotHubs/*/read | |
| Microsoft.Devices/IotHubs/fileUpload/notifications/action | ファイルのアップロード通知を受信、完了、または破棄します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for full read access to IoT Hub data-plane properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b447c946-2db7-41ec-983d-d8bf3b1c77e3",
"name": "b447c946-2db7-41ec-983d-d8bf3b1c77e3",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Devices/IotHubs/*/read",
"Microsoft.Devices/IotHubs/fileUpload/notifications/action"
],
"notDataActions": []
}
],
"roleName": "IoT Hub Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
IoT Hub レジストリ共同作成者
IoT Hub デバイス レジストリへのフル アクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Devices/IotHubs/devices/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to IoT Hub device registry.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4ea46cd5-c1b2-4a8e-910b-273211f9ce47",
"name": "4ea46cd5-c1b2-4a8e-910b-273211f9ce47",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Devices/IotHubs/devices/*"
],
"notDataActions": []
}
],
"roleName": "IoT Hub Registry Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
IoT Hub ツイン共同作成者
すべての IoT Hub デバイスとモジュール ツインに対する読み取りおよび書き込みのアクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Devices/IotHubs/twins/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to all IoT Hub device and module twins.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/494bdba2-168f-4f31-a0a1-191d2f7c028c",
"name": "494bdba2-168f-4f31-a0a1-191d2f7c028c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Devices/IotHubs/twins/*"
],
"notDataActions": []
}
],
"roleName": "IoT Hub Twin Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mixed Reality
Remote Rendering 管理者
ユーザーに、Azure Remote Rendering の変換、セッション管理、レンダリング、および診断の機能を提供します。詳細
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.MixedReality/RemoteRenderingAccounts/convert/action | 資産の変換を開始します |
| Microsoft.MixedReality/RemoteRenderingAccounts/convert/read | 資産の変換プロパティを取得します |
| Microsoft.MixedReality/RemoteRenderingAccounts/convert/delete | 資産の変換を停止します |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read | セッションのプロパティを取得します |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action | セッションの開始 |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete | セッションを停止します |
| Microsoft.MixedReality/RemoteRenderingAccounts/render/read | セッションに接続します |
| Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read | Remote Rendering インスペクターに接続します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides user with conversion, manage session, rendering and diagnostics capabilities for Azure Remote Rendering",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3df8b902-2a6f-47c7-8cc5-360e9b272a7e",
"name": "3df8b902-2a6f-47c7-8cc5-360e9b272a7e",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/RemoteRenderingAccounts/convert/action",
"Microsoft.MixedReality/RemoteRenderingAccounts/convert/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/convert/delete",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete",
"Microsoft.MixedReality/RemoteRenderingAccounts/render/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read"
],
"notDataActions": []
}
],
"roleName": "Remote Rendering Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Remote Rendering クライアント
ユーザーに、Azure Remote Rendering でのセッション管理、レンダリング、および診断の機能を提供します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read | セッションのプロパティを取得します |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action | セッションの開始 |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete | セッションを停止します |
| Microsoft.MixedReality/RemoteRenderingAccounts/render/read | セッションに接続します |
| Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read | Remote Rendering インスペクターに接続します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides user with manage session, rendering and diagnostics capabilities for Azure Remote Rendering.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d39065c4-c120-43c9-ab0a-63eed9795f0a",
"name": "d39065c4-c120-43c9-ab0a-63eed9795f0a",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete",
"Microsoft.MixedReality/RemoteRenderingAccounts/render/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read"
],
"notDataActions": []
}
],
"roleName": "Remote Rendering Client",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Spatial Anchors アカウント共同作成者
アカウントで空間アンカーを管理できますが、削除することはできません。詳細
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.MixedReality/SpatialAnchorsAccounts/create/action | 空間アンカーを作成します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read | 近くにある空間アンカーを検出します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read | 空間アンカーのプロパティを取得します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/query/read | 空間アンカーを探します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read | Azure Spatial Anchors サービスの品質を改善するために診断データを送信します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/write | 空間アンカーのプロパティを更新します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage spatial anchors in your account, but not delete them",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827",
"name": "8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/SpatialAnchorsAccounts/create/action",
"Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/query/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/write"
],
"notDataActions": []
}
],
"roleName": "Spatial Anchors Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Spatial Anchors アカウント所有者
アカウントで空間アンカーを管理できます。削除も可能です。詳細
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.MixedReality/SpatialAnchorsAccounts/create/action | 空間アンカーを作成します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/delete | 空間アンカーを削除します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read | 近くにある空間アンカーを検出します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read | 空間アンカーのプロパティを取得します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/query/read | 空間アンカーを探します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read | Azure Spatial Anchors サービスの品質を改善するために診断データを送信します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/write | 空間アンカーのプロパティを更新します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage spatial anchors in your account, including deleting them",
"id": "/providers/Microsoft.Authorization/roleDefinitions/70bbe301-9835-447d-afdd-19eb3167307c",
"name": "70bbe301-9835-447d-afdd-19eb3167307c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/SpatialAnchorsAccounts/create/action",
"Microsoft.MixedReality/SpatialAnchorsAccounts/delete",
"Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/query/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/write"
],
"notDataActions": []
}
],
"roleName": "Spatial Anchors Account Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Spatial Anchors アカウント閲覧者
アカウントで空間アンカーのプロパティを検索して読み取ることができます。詳細
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read | 近くにある空間アンカーを検出します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read | 空間アンカーのプロパティを取得します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/query/read | 空間アンカーを探します。 |
| Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read | Azure Spatial Anchors サービスの品質を改善するために診断データを送信します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you locate and read properties of spatial anchors in your account",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d51204f-eb77-4b1c-b86a-2ec626c49413",
"name": "5d51204f-eb77-4b1c-b86a-2ec626c49413",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/query/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read"
],
"notDataActions": []
}
],
"roleName": "Spatial Anchors Account Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
統合
API Management Service Contributor
サービスと API を管理できます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.ApiManagement/service/* | API Management サービスの作成と管理 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can manage service and the APIs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/312a565d-c81f-4fd8-895a-4e21e48d571c",
"name": "312a565d-c81f-4fd8-895a-4e21e48d571c",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Service Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
API Management Service Operator Role
サービスを管理できますが、API は対象外です。詳細
| アクション | 説明 |
|---|---|
| Microsoft.ApiManagement/service/*/read | API Management サービス インスタンスの読み取り |
| Microsoft.ApiManagement/service/backup/action | ユーザーが指定したストレージ アカウント内の指定されたコンテナーに API Management サービスをバックアップします。 |
| Microsoft.ApiManagement/service/delete | API Management サービス インスタンスを削除します。 |
| Microsoft.ApiManagement/service/managedeployments/action | SKU/ユニット数を変更し、API Management サービスのリージョン デプロイを追加または削除します。 |
| Microsoft.ApiManagement/service/read | API Management サービス インスタンスのメタデータの読み取り |
| Microsoft.ApiManagement/service/restore/action | ユーザーが指定したストレージ アカウント内の指定されたコンテナーからの API Management サービスの復元 |
| Microsoft.ApiManagement/service/updatecertificate/action | API Management サービスの TLS/SSL 証明書をアップロードします。 |
| Microsoft.ApiManagement/service/updatehostname/action | API Management サービスのカスタム ドメイン名を設定、更新、または削除します。 |
| Microsoft.ApiManagement/service/write | API Management サービスのインスタンスが作成または更新されます |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| Microsoft.ApiManagement/service/users/keys/read | ユーザーに関連付けられたキーを取得します |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can manage service but not the APIs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e022efe7-f5ba-4159-bbe4-b44f577e9b61",
"name": "e022efe7-f5ba-4159-bbe4-b44f577e9b61",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/*/read",
"Microsoft.ApiManagement/service/backup/action",
"Microsoft.ApiManagement/service/delete",
"Microsoft.ApiManagement/service/managedeployments/action",
"Microsoft.ApiManagement/service/read",
"Microsoft.ApiManagement/service/restore/action",
"Microsoft.ApiManagement/service/updatecertificate/action",
"Microsoft.ApiManagement/service/updatehostname/action",
"Microsoft.ApiManagement/service/write",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.ApiManagement/service/users/keys/read"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Service Operator Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
API Management Service Reader Role
サービスと API への読み取り専用アクセスです。詳細
| アクション | 説明 |
|---|---|
| Microsoft.ApiManagement/service/*/read | API Management サービス インスタンスの読み取り |
| Microsoft.ApiManagement/service/read | API Management サービス インスタンスのメタデータの読み取り |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| Microsoft.ApiManagement/service/users/keys/read | ユーザーに関連付けられたキーを取得します |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Read-only access to service and APIs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/71522526-b88f-4d52-b57f-d31fc3546d0d",
"name": "71522526-b88f-4d52-b57f-d31fc3546d0d",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/*/read",
"Microsoft.ApiManagement/service/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.ApiManagement/service/users/keys/read"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Service Reader Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
API Management サービス ワークスペース API 開発者
タグと製品への読み取りアクセスと、製品への API の割り当て、製品と API へのタグの割り当てを許可する書き込みアクセス権を持ちます。 このロールは、サービス スコープに割り当てる必要があります。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ApiManagement/service/tags/read | サービス インスタンス内で定義されているタグのコレクションを一覧表示します。 または、識別子によって指定されたタグの詳細を取得します。 |
| Microsoft.ApiManagement/service/tags/apiLinks/* | |
| Microsoft.ApiManagement/service/tags/operationLinks/* | |
| Microsoft.ApiManagement/service/tags/productLinks/* | |
| Microsoft.ApiManagement/service/products/read | 指定されたサービス インスタンスにおける製品のコレクションを一覧表示します。 または、識別子によって指定された製品の詳細を取得します。 |
| Microsoft.ApiManagement/service/products/apiLinks/* | |
| Microsoft.ApiManagement/service/read | API Management サービス インスタンスのメタデータの読み取り |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Has read access to tags and products and write access to allow: assigning APIs to products, assigning tags to products and APIs. This role should be assigned on the service scope.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/9565a273-41b9-4368-97d2-aeb0c976a9b3",
"name": "9565a273-41b9-4368-97d2-aeb0c976a9b3",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/tags/read",
"Microsoft.ApiManagement/service/tags/apiLinks/*",
"Microsoft.ApiManagement/service/tags/operationLinks/*",
"Microsoft.ApiManagement/service/tags/productLinks/*",
"Microsoft.ApiManagement/service/products/read",
"Microsoft.ApiManagement/service/products/apiLinks/*",
"Microsoft.ApiManagement/service/read",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Service Workspace API Developer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
API Management サービス ワークスペース API プロダクト マネージャー
API Management サービス ワークスペース API 開発者と同じアクセス権だけでなく、ユーザーへの読み取りアクセス権と、グループへのユーザーの割り当てを可能にする書き込みアクセス権があります。 このロールは、サービス スコープに割り当てる必要があります。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ApiManagement/service/users/read | 指定されたサービス インスタンスにおける登録ユーザーのコレクションを一覧表示します。 または、識別子によって指定されたユーザーの詳細を取得します。 |
| Microsoft.ApiManagement/service/tags/read | サービス インスタンス内で定義されているタグのコレクションを一覧表示します。 または、識別子によって指定されたタグの詳細を取得します。 |
| Microsoft.ApiManagement/service/tags/apiLinks/* | |
| Microsoft.ApiManagement/service/tags/operationLinks/* | |
| Microsoft.ApiManagement/service/tags/productLinks/* | |
| Microsoft.ApiManagement/service/products/read | 指定されたサービス インスタンスにおける製品のコレクションを一覧表示します。 または、識別子によって指定された製品の詳細を取得します。 |
| Microsoft.ApiManagement/service/products/apiLinks/* | |
| Microsoft.ApiManagement/service/groups/users/* | |
| Microsoft.ApiManagement/service/read | API Management サービス インスタンスのメタデータの読み取り |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Has the same access as API Management Service Workspace API Developer as well as read access to users and write access to allow assigning users to groups. This role should be assigned on the service scope.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da",
"name": "d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/users/read",
"Microsoft.ApiManagement/service/tags/read",
"Microsoft.ApiManagement/service/tags/apiLinks/*",
"Microsoft.ApiManagement/service/tags/operationLinks/*",
"Microsoft.ApiManagement/service/tags/productLinks/*",
"Microsoft.ApiManagement/service/products/read",
"Microsoft.ApiManagement/service/products/apiLinks/*",
"Microsoft.ApiManagement/service/groups/users/*",
"Microsoft.ApiManagement/service/read",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Service Workspace API Product Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
API Management ワークスペース API 開発者
ワークスペース内のエンティティに対する読み取りアクセス権と、API を編集するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ApiManagement/service/workspaces/*/read | |
| Microsoft.ApiManagement/service/workspaces/apis/* | |
| Microsoft.ApiManagement/service/workspaces/apiVersionSets/* | |
| Microsoft.ApiManagement/service/workspaces/policies/* | |
| Microsoft.ApiManagement/service/workspaces/schemas/* | |
| Microsoft.ApiManagement/service/workspaces/products/* | |
| Microsoft.ApiManagement/service/workspaces/policyFragments/* | |
| Microsoft.ApiManagement/service/workspaces/namedValues/* | |
| Microsoft.ApiManagement/service/workspaces/tags/* | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Has read access to entities in the workspace and read and write access to entities for editing APIs. This role should be assigned on the workspace scope.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/56328988-075d-4c6a-8766-d93edd6725b6",
"name": "56328988-075d-4c6a-8766-d93edd6725b6",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/workspaces/*/read",
"Microsoft.ApiManagement/service/workspaces/apis/*",
"Microsoft.ApiManagement/service/workspaces/apiVersionSets/*",
"Microsoft.ApiManagement/service/workspaces/policies/*",
"Microsoft.ApiManagement/service/workspaces/schemas/*",
"Microsoft.ApiManagement/service/workspaces/products/*",
"Microsoft.ApiManagement/service/workspaces/policyFragments/*",
"Microsoft.ApiManagement/service/workspaces/namedValues/*",
"Microsoft.ApiManagement/service/workspaces/tags/*",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Workspace API Developer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
API Management ワークスペース API プロダクト マネージャー
ワークスペース内のエンティティに対する読み取りアクセス権と、API を発行するためのエンティティへの読み取りおよび書き込みアクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ApiManagement/service/workspaces/*/read | |
| Microsoft.ApiManagement/service/workspaces/products/* | |
| Microsoft.ApiManagement/service/workspaces/subscriptions/* | |
| Microsoft.ApiManagement/service/workspaces/groups/* | |
| Microsoft.ApiManagement/service/workspaces/tags/* | |
| Microsoft.ApiManagement/service/workspaces/notifications/* | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Has read access to entities in the workspace and read and write access to entities for publishing APIs. This role should be assigned on the workspace scope.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/73c2c328-d004-4c5e-938c-35c6f5679a1f",
"name": "73c2c328-d004-4c5e-938c-35c6f5679a1f",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/workspaces/*/read",
"Microsoft.ApiManagement/service/workspaces/products/*",
"Microsoft.ApiManagement/service/workspaces/subscriptions/*",
"Microsoft.ApiManagement/service/workspaces/groups/*",
"Microsoft.ApiManagement/service/workspaces/tags/*",
"Microsoft.ApiManagement/service/workspaces/notifications/*",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Workspace API Product Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
API Management ワークスペース共同作成者
ワークスペースとビューを管理できますが、そのメンバーは変更できません。 このロールは、ワークスペース スコープに割り当てる必要があります。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ApiManagement/service/workspaces/* | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can manage the workspace and view, but not modify its members. This role should be assigned on the workspace scope.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0c34c906-8d99-4cb7-8bb7-33f5b0a1a799",
"name": "0c34c906-8d99-4cb7-8bb7-33f5b0a1a799",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/workspaces/*",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Workspace Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
API Management ワークスペース閲覧者
ワークスペース内のエンティティに対する読み取り専用アクセス権があります。 このロールは、ワークスペース スコープに割り当てる必要があります。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ApiManagement/service/workspaces/*/read | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Has read-only access to entities in the workspace. This role should be assigned on the workspace scope.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2",
"name": "ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/workspaces/*/read",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Workspace Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
App Configuration データ所有者
App Configuration データへのフル アクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.AppConfiguration/configurationStores/*/read | |
| Microsoft.AppConfiguration/configurationStores/*/write | |
| Microsoft.AppConfiguration/configurationStores/*/delete | |
| Microsoft.AppConfiguration/configurationStores/*/action | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows full access to App Configuration data.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b",
"name": "5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppConfiguration/configurationStores/*/read",
"Microsoft.AppConfiguration/configurationStores/*/write",
"Microsoft.AppConfiguration/configurationStores/*/delete",
"Microsoft.AppConfiguration/configurationStores/*/action"
],
"notDataActions": []
}
],
"roleName": "App Configuration Data Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
App Configuration データ閲覧者
App Configuration データへの読み取りアクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.AppConfiguration/configurationStores/*/read | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows read access to App Configuration data.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/516239f1-63e1-4d78-a4de-a74fb236a071",
"name": "516239f1-63e1-4d78-a4de-a74fb236a071",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppConfiguration/configurationStores/*/read"
],
"notDataActions": []
}
],
"roleName": "App Configuration Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Relay リスナー
Azure Relay リソースへのリッスン アクセスを許可します。
| アクション | 説明 |
|---|---|
| Microsoft.Relay/*/wcfRelays/read | |
| Microsoft.Relay/*/hybridConnections/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Relay/*/listen/action | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for listen access to Azure Relay resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/26e0b698-aa6d-4085-9386-aadae190014d",
"name": "26e0b698-aa6d-4085-9386-aadae190014d",
"permissions": [
{
"actions": [
"Microsoft.Relay/*/wcfRelays/read",
"Microsoft.Relay/*/hybridConnections/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Relay/*/listen/action"
],
"notDataActions": []
}
],
"roleName": "Azure Relay Listener",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Relay 所有者
Azure Relay リソースへのフル アクセスを許可します。
| アクション | 説明 |
|---|---|
| Microsoft.Relay/* | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Relay/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to Azure Relay resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2787bf04-f1f5-4bfe-8383-c8a24483ee38",
"name": "2787bf04-f1f5-4bfe-8383-c8a24483ee38",
"permissions": [
{
"actions": [
"Microsoft.Relay/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Relay/*"
],
"notDataActions": []
}
],
"roleName": "Azure Relay Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Relay 送信者
Azure Relay リソースへの送信アクセスを許可します。
| アクション | 説明 |
|---|---|
| Microsoft.Relay/*/wcfRelays/read | |
| Microsoft.Relay/*/hybridConnections/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Relay/*/send/action | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for send access to Azure Relay resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/26baccc8-eea7-41f1-98f4-1762cc7f685d",
"name": "26baccc8-eea7-41f1-98f4-1762cc7f685d",
"permissions": [
{
"actions": [
"Microsoft.Relay/*/wcfRelays/read",
"Microsoft.Relay/*/hybridConnections/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Relay/*/send/action"
],
"notDataActions": []
}
],
"roleName": "Azure Relay Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Service Bus データ所有者
Azure Service Bus リソースへのフル アクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ServiceBus/* | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ServiceBus/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to Azure Service Bus resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/090c5cfd-751d-490a-894a-3ce6f1109419",
"name": "090c5cfd-751d-490a-894a-3ce6f1109419",
"permissions": [
{
"actions": [
"Microsoft.ServiceBus/*"
],
"notActions": [],
"dataActions": [
"Microsoft.ServiceBus/*"
],
"notDataActions": []
}
],
"roleName": "Azure Service Bus Data Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Service Bus データ受信者
Azure Service Bus リソースへの受信アクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ServiceBus/*/queues/read | |
| Microsoft.ServiceBus/*/topics/read | |
| Microsoft.ServiceBus/*/topics/subscriptions/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ServiceBus/*/receive/action | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for receive access to Azure Service Bus resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0",
"name": "4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0",
"permissions": [
{
"actions": [
"Microsoft.ServiceBus/*/queues/read",
"Microsoft.ServiceBus/*/topics/read",
"Microsoft.ServiceBus/*/topics/subscriptions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ServiceBus/*/receive/action"
],
"notDataActions": []
}
],
"roleName": "Azure Service Bus Data Receiver",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Service Bus データ送信者
Azure Service Bus リソースへの送信アクセスを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.ServiceBus/*/queues/read | |
| Microsoft.ServiceBus/*/topics/read | |
| Microsoft.ServiceBus/*/topics/subscriptions/read | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ServiceBus/*/send/action | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for send access to Azure Service Bus resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69a216fc-b8fb-44d8-bc22-1f3c2cd27a39",
"name": "69a216fc-b8fb-44d8-bc22-1f3c2cd27a39",
"permissions": [
{
"actions": [
"Microsoft.ServiceBus/*/queues/read",
"Microsoft.ServiceBus/*/topics/read",
"Microsoft.ServiceBus/*/topics/subscriptions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ServiceBus/*/send/action"
],
"notDataActions": []
}
],
"roleName": "Azure Service Bus Data Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Stack Registration Owner
Azure Stack の登録を管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.AzureStack/edgeSubscriptions/read | |
| Microsoft.AzureStack/registrations/products/*/action | |
| Microsoft.AzureStack/registrations/products/read | Azure Stack Marketplace の製品のプロパティを取得します |
| Microsoft.AzureStack/registrations/read | Azure Stack の登録のプロパティを取得します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Azure Stack registrations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6f12a6df-dd06-4f3e-bcb1-ce8be600526a",
"name": "6f12a6df-dd06-4f3e-bcb1-ce8be600526a",
"permissions": [
{
"actions": [
"Microsoft.AzureStack/edgeSubscriptions/read",
"Microsoft.AzureStack/registrations/products/*/action",
"Microsoft.AzureStack/registrations/products/read",
"Microsoft.AzureStack/registrations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Stack Registration Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
EventGrid 共同作成者
EventGrid 操作を管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.EventGrid/* | Event Grid リソースの作成と管理 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage EventGrid operations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1e241071-0855-49ea-94dc-649edcd759de",
"name": "1e241071-0855-49ea-94dc-649edcd759de",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.EventGrid/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "EventGrid Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
EventGrid データ送信者
Event Grid イベントへの送信アクセスを許可します。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.EventGrid/topics/read | トピックを読み取ります。 |
| Microsoft.EventGrid/domains/read | ドメインを読み取ります |
| Microsoft.EventGrid/partnerNamespaces/read | パートナー名前空間を読み取ります |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.EventGrid/events/send/action | トピックにイベントを送信します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows send access to event grid events.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a91429-5739-47e2-a06b-3470a27159e7",
"name": "d5a91429-5739-47e2-a06b-3470a27159e7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.EventGrid/topics/read",
"Microsoft.EventGrid/domains/read",
"Microsoft.EventGrid/partnerNamespaces/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.EventGrid/events/send/action"
],
"notDataActions": []
}
],
"roleName": "EventGrid Data Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
EventGrid EventSubscription 共同作成者
EventGrid のイベント サブスクリプション操作を管理できます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.EventGrid/eventSubscriptions/* | リージョンのイベント サブスクリプションを作成および管理します |
| Microsoft.EventGrid/topicTypes/eventSubscriptions/read | グローバル イベント サブスクリプションをトピックの種類ごとに一覧表示します |
| Microsoft.EventGrid/locations/eventSubscriptions/read | リージョンのイベント サブスクリプションを一覧表示します |
| Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read | リージョンのイベント サブスクリプションを topictype ごとに一覧表示します |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage EventGrid event subscription operations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/428e0ff0-5e57-4d9c-a221-2c70d0e0a443",
"name": "428e0ff0-5e57-4d9c-a221-2c70d0e0a443",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.EventGrid/eventSubscriptions/*",
"Microsoft.EventGrid/topicTypes/eventSubscriptions/read",
"Microsoft.EventGrid/locations/eventSubscriptions/read",
"Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "EventGrid EventSubscription Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
EventGrid EventSubscription 閲覧者
EventGrid のイベント サブスクリプションを読み取ることができます。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.EventGrid/eventSubscriptions/read | eventSubscription を削除します。 |
| Microsoft.EventGrid/topicTypes/eventSubscriptions/read | グローバル イベント サブスクリプションをトピックの種類ごとに一覧表示します |
| Microsoft.EventGrid/locations/eventSubscriptions/read | リージョンのイベント サブスクリプションを一覧表示します |
| Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read | リージョンのイベント サブスクリプションを topictype ごとに一覧表示します |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you read EventGrid event subscriptions.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2414bbcf-6497-4faf-8c65-045460748405",
"name": "2414bbcf-6497-4faf-8c65-045460748405",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/topicTypes/eventSubscriptions/read",
"Microsoft.EventGrid/locations/eventSubscriptions/read",
"Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "EventGrid EventSubscription Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
FHIR データ共同作成者
ユーザーまたはプリンシパルに FHIR データへのフル アクセスを許可するロールです。詳細
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.HealthcareApis/services/fhir/resources/* | |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Role allows user or principal full access to FHIR Data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5a1fc7df-4bf1-4951-a576-89034ee01acd",
"name": "5a1fc7df-4bf1-4951-a576-89034ee01acd",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.HealthcareApis/services/fhir/resources/*",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/*"
],
"notDataActions": []
}
],
"roleName": "FHIR Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
FHIR データ エクスポーター
ユーザーまたはプリンシパルに FHIR データの読み取りとエクスポートを許可するロールです。詳細
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.HealthcareApis/services/fhir/resources/read | FHIR リソースを読み取ります (検索とバージョン管理された履歴を含みます)。 |
| Microsoft.HealthcareApis/services/fhir/resources/export/action | エクスポート操作 ($export)。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/read | FHIR リソースを読み取ります (検索とバージョン管理された履歴を含みます)。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/export/action | エクスポート操作 ($export)。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Role allows user or principal to read and export FHIR Data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3db33094-8700-4567-8da5-1501d4e7e843",
"name": "3db33094-8700-4567-8da5-1501d4e7e843",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.HealthcareApis/services/fhir/resources/read",
"Microsoft.HealthcareApis/services/fhir/resources/export/action",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/read",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/export/action"
],
"notDataActions": []
}
],
"roleName": "FHIR Data Exporter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
FHIR データ インポーター
ロールは、ユーザーまたはプリンシパルに FHIR データの読み取りとインポートを許可します 詳細はこちら
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/read | FHIR リソースを読み取ります (検索とバージョン管理された履歴を含みます)。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/import/action | FHIR リソースをバッチでインポートします。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Role allows user or principal to read and import FHIR Data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4465e953-8ced-4406-a58e-0f6e3f3b530b",
"name": "4465e953-8ced-4406-a58e-0f6e3f3b530b",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/read",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/import/action"
],
"notDataActions": []
}
],
"roleName": "FHIR Data Importer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
FHIR データ リーダー
ユーザーまたはプリンシパルに FHIR データの読み取りを許可するロールです。詳細
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.HealthcareApis/services/fhir/resources/read | FHIR リソースを読み取ります (検索とバージョン管理された履歴を含みます)。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/read | FHIR リソースを読み取ります (検索とバージョン管理された履歴を含みます)。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Role allows user or principal to read FHIR Data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4c8d0bbc-75d3-4935-991f-5f3c56d81508",
"name": "4c8d0bbc-75d3-4935-991f-5f3c56d81508",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.HealthcareApis/services/fhir/resources/read",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/read"
],
"notDataActions": []
}
],
"roleName": "FHIR Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
FHIR データ ライター
ユーザーまたはプリンシパルに FHIR データの読み取りと書き込みを許可するロールです。詳細
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.HealthcareApis/services/fhir/resources/read | FHIR リソースを読み取ります (検索とバージョン管理された履歴を含みます)。 |
| Microsoft.HealthcareApis/services/fhir/resources/write | FHIR リソースを書き込みます (作成と更新を含む)。 |
| Microsoft.HealthcareApis/services/fhir/resources/delete | FHIR リソースを削除します (ソフト削除)。 |
| Microsoft.HealthcareApis/services/fhir/resources/export/action | エクスポート操作 ($export)。 |
| Microsoft.HealthcareApis/services/fhir/resources/resourceValidate/action | 検証操作($検証)。 |
| Microsoft.HealthcareApis/services/fhir/resources/reindex/action | ユーザーは再インデックスジョブを実行して、まだインデックスが作成されていない検索パラメーターにインデックスを付けることができます。 |
| Microsoft.HealthcareApis/services/fhir/resources/convertData/action | データ変換操作 ($変換-データ) |
| Microsoft.HealthcareApis/services/fhir/resources/editProfileDefinitions/action | ユーザーがプロファイル リソースに対して作成、更新、削除操作を実行できるようにします。 |
| Microsoft.HealthcareApis/services/fhir/resources/import/action | FHIR リソースをバッチでインポートします。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/read | FHIR リソースを読み取ります (検索とバージョン管理された履歴を含みます)。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/write | FHIR リソースを書き込みます (作成と更新を含む)。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/delete | FHIR リソースを削除します (ソフト削除)。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/export/action | エクスポート操作 ($export)。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/resourceValidate/action | 検証操作($検証)。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/reindex/action | ユーザーは再インデックスジョブを実行して、まだインデックスが作成されていない検索パラメーターにインデックスを付けることができます。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/convertData/action | データ変換操作 ($変換-データ) |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/editProfileDefinitions/action | ユーザーがプロファイル リソースに対して作成、更新、削除操作を実行できるようにします。 |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/import/action | FHIR リソースをバッチでインポートします。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Role allows user or principal to read and write FHIR Data",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3f88fce4-5892-4214-ae73-ba5294559913",
"name": "3f88fce4-5892-4214-ae73-ba5294559913",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.HealthcareApis/services/fhir/resources/read",
"Microsoft.HealthcareApis/services/fhir/resources/write",
"Microsoft.HealthcareApis/services/fhir/resources/delete",
"Microsoft.HealthcareApis/services/fhir/resources/export/action",
"Microsoft.HealthcareApis/services/fhir/resources/resourceValidate/action",
"Microsoft.HealthcareApis/services/fhir/resources/reindex/action",
"Microsoft.HealthcareApis/services/fhir/resources/convertData/action",
"Microsoft.HealthcareApis/services/fhir/resources/editProfileDefinitions/action",
"Microsoft.HealthcareApis/services/fhir/resources/import/action",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/read",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/write",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/delete",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/export/action",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/resourceValidate/action",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/reindex/action",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/convertData/action",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/editProfileDefinitions/action",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/import/action"
],
"notDataActions": []
}
],
"roleName": "FHIR Data Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
統合サービス環境の共同作成者
統合サービス環境を管理できますが、それらにアクセスすることはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Logic/integrationServiceEnvironments/* | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage integration service environments, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a41e2c5b-bd99-4a07-88f4-9bf657a760b8",
"name": "a41e2c5b-bd99-4a07-88f4-9bf657a760b8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Support/*",
"Microsoft.Logic/integrationServiceEnvironments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Integration Service Environment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
統合サービス環境の開発者
開発者が統合サービス環境でワークフロー、統合アカウント、および API 接続を作成および更新することを許可します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Logic/integrationServiceEnvironments/read | 統合サービス環境を読み取ります。 |
| Microsoft.Logic/integrationServiceEnvironments/*/join/action | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows developers to create and update workflows, integration accounts and API connections in integration service environments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c7aa55d3-1abb-444a-a5ca-5e51e485d6ec",
"name": "c7aa55d3-1abb-444a-a5ca-5e51e485d6ec",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Support/*",
"Microsoft.Logic/integrationServiceEnvironments/read",
"Microsoft.Logic/integrationServiceEnvironments/*/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Integration Service Environment Developer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Intelligent Systems Account Contributor
Intelligent Systems のアカウントを管理できます。ただし、それらへのアクセスは含まれません。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.IntelligentSystems/accounts/* | Intelligent Systems アカウントの作成と管理 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 指定されたスコープのすべてのリソースの利用状況を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Intelligent Systems accounts, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/03a6d094-3444-4b3d-88af-7477090a9e5e",
"name": "03a6d094-3444-4b3d-88af-7477090a9e5e",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.IntelligentSystems/accounts/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Intelligent Systems Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Logic App Contributor
ロジック アプリを管理できますが、アクセス権を変更することはできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | ストレージ アカウントのアクセス キーを一覧表示します。 |
| Microsoft.ClassicStorage/storageAccounts/read | 特定のアカウントのストレージ アカウントを返します。 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Insights/metricAlerts/* | |
| Microsoft.Insights/diagnosticSettings/* | 分析サーバーの診断の設定の作成、更新、または読み取りを行います |
| Microsoft.Insights/logdefinitions/* | このアクセス許可は、ポータルを使用してアクティビティ ログにアクセスする必要があるユーザーに必要です。 アクティビティ ログのログのカテゴリを一覧表示します。 |
| Microsoft.Insights/metricDefinitions/* | メトリック定義 (リソースの使用可能なメトリックの種類の一覧) を読み取ります。 |
| Microsoft.Logic/* | Logic Apps リソースを管理します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Storage/storageAccounts/listkeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/storageAccounts/read | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Web/connectionGateways/* | 接続ゲートウェイを作成および管理します。 |
| Microsoft.Web/connections/* | 接続を作成および管理します。 |
| Microsoft.Web/customApis/* | カスタム API を作成および管理します。 |
| Microsoft.Web/serverFarms/join/action | App Service プランに参加します。 |
| Microsoft.Web/serverFarms/read | App Service プランのプロパティを取得します。 |
| Microsoft.Web/sites/functions/listSecrets/action | 関数のシークレットを一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage logic app, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/87a39d53-fc1b-424a-814c-f7e04687dc9e",
"name": "87a39d53-fc1b-424a-814c-f7e04687dc9e",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicStorage/storageAccounts/listKeys/action",
"Microsoft.ClassicStorage/storageAccounts/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metricAlerts/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logdefinitions/*",
"Microsoft.Insights/metricDefinitions/*",
"Microsoft.Logic/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Support/*",
"Microsoft.Web/connectionGateways/*",
"Microsoft.Web/connections/*",
"Microsoft.Web/customApis/*",
"Microsoft.Web/serverFarms/join/action",
"Microsoft.Web/serverFarms/read",
"Microsoft.Web/sites/functions/listSecrets/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Logic App Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Logic App Operator
ロジック アプリの読み取り、有効化、無効化ができますが、編集または更新はできません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/*/read | Insights のアラート ルールを読み取ります |
| Microsoft.Insights/metricAlerts/*/read | |
| Microsoft.Insights/diagnosticSettings/*/read | Logic Apps の診断設定を取得します |
| Microsoft.Insights/metricDefinitions/*/read | Logic Apps の利用可能なメトリックを取得します。 |
| Microsoft.Logic/*/read | Logic Apps リソースを読み取ります。 |
| Microsoft.Logic/workflows/disable/action | ワークフローを無効にします。 |
| Microsoft.Logic/workflows/enable/action | ワークフローを有効にします。 |
| Microsoft.Logic/workflows/validate/action | ワークフローを検証します。 |
| Microsoft.Resources/deployments/operations/read | デプロイ操作を取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Web/connectionGateways/*/read | 接続ゲートウェイを読み取ります。 |
| Microsoft.Web/connections/*/read | 接続を読み取ります。 |
| Microsoft.Web/customApis/*/read | カスタム API を読み取ります。 |
| Microsoft.Web/serverFarms/read | App Service プランのプロパティを取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you read, enable and disable logic app.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/515c2055-d9d4-4321-b1b9-bd0c9a0f79fe",
"name": "515c2055-d9d4-4321-b1b9-bd0c9a0f79fe",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*/read",
"Microsoft.Insights/metricAlerts/*/read",
"Microsoft.Insights/diagnosticSettings/*/read",
"Microsoft.Insights/metricDefinitions/*/read",
"Microsoft.Logic/*/read",
"Microsoft.Logic/workflows/disable/action",
"Microsoft.Logic/workflows/enable/action",
"Microsoft.Logic/workflows/validate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Web/connectionGateways/*/read",
"Microsoft.Web/connections/*/read",
"Microsoft.Web/customApis/*/read",
"Microsoft.Web/serverFarms/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Logic App Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ID
ドメイン サービス共同作成者
Azure AD Domain Services と関連ネットワーク構成を管理できます 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/deployments/read | デプロイを取得または一覧表示します。 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/deployments/delete | デプロイを削除します。 |
| Microsoft.Resources/deployments/cancel/action | デプロイを取り消します。 |
| Microsoft.Resources/deployments/validate/action | デプロイを検証します。 |
| Microsoft.Resources/deployments/whatIf/action | テンプレートのデプロイの変更を予測します。 |
| Microsoft.Resources/deployments/exportTemplate/action | デプロイのテンプレートをエクスポートします |
| Microsoft.Resources/deployments/operations/read | デプロイ操作を取得または一覧表示します。 |
| Microsoft.Resources/deployments/operationstatuses/read | デプロイ操作の状態を取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Insights/AlertRules/Write | クラシック メトリック アラートを作成または更新します |
| Microsoft.Insights/AlertRules/Delete | クラシック メトリック アラートを削除します |
| Microsoft.Insights/AlertRules/Read | クラシック メトリック アラートを読み取ります |
| Microsoft.Insights/AlertRules/Activated/Action | クラシック メトリック アラートがアクティブ化されました |
| Microsoft.Insights/AlertRules/Resolved/Action | クラシック メトリック アラートが解決されました |
| Microsoft.Insights/AlertRules/Throttled/Action | クラシック メトリック アラート ルールが調整されました |
| Microsoft.Insights/AlertRules/Incidents/Read | クラシック メトリック アラートのインシデントを読み取ります |
| Microsoft.Insights/Logs/Read | すべてのログからデータを読み取ります。 |
| Microsoft.Insights/Metrics/Read | メトリックを読み取ります。 |
| Microsoft.Insights/DiagnosticSettings/* | 分析サーバーの診断の設定の作成、更新、または読み取りを行います |
| Microsoft.Insights/DiagnosticSettingsCategories/Read | 診断設定のカテゴリを読み取ります |
| Microsoft.AAD/register/action | ドメイン サービスを登録する |
| Microsoft.AAD/unregister/action | ドメイン サービスを登録解除します |
| Microsoft.AAD/domainServices/* | |
| Microsoft.Network/register/action | サブスクリプションを登録します。 |
| Microsoft.Network/unregister/action | サブスクリプションの登録を解除します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/virtualNetworks/write | 仮想ネットワークを作成するか、既存の仮想ネットワークを更新します。 |
| Microsoft.Network/virtualNetworks/delete | 仮想ネットワークを削除します。 |
| Microsoft.Network/virtualNetworks/peer/action | 仮想ネットワークを別の仮想ネットワークとピアリングします。 |
| Microsoft.Network/virtualNetworks/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/write | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します。 |
| Microsoft.Network/virtualNetworks/subnets/delete | 仮想ネットワーク サブネットを削除します。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | 仮想ネットワーク ピアリングの定義を取得します。 |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | 仮想ネットワーク ピアリングを作成するか、既存の仮想ネットワーク ピアリングを更新します。 |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | 仮想ネットワーク ピアリングを削除します。 |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read | 仮想ネットワークの診断設定を取得します。 |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read | PingMesh に使用可能なメトリックを取得します。 |
| Microsoft.Network/azureFirewalls/read | Azure Firewall を取得します |
| Microsoft.Network/ddosProtectionPlans/read | DDoS Protection プランを取得します。 |
| Microsoft.Network/ddosProtectionPlans/join/action | DDoS Protection プランを結合します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します。 |
| Microsoft.Network/loadBalancers/delete | ロード バランサーを削除します。 |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | ロード バランサーのバックエンド アドレス プールを接続します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | ロード バランサーのインバウンド NAT 規則を接続します。 警告不可能です。 |
| Microsoft.Network/natGateways/join/action | NAT Gateway を結合します |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/networkInterfaces/delete | ネットワーク インターフェイスを削除します。 |
| Microsoft.Network/networkInterfaces/join/action | 仮想マシンをネットワーク インターフェイスに接続します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | 既定のセキュリティ規則の定義を取得します。 |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得します。 |
| Microsoft.Network/networkSecurityGroups/write | ネットワーク セキュリティ グループを作成するか、既存のネットワーク セキュリティ グループを更新します。 |
| Microsoft.Network/networkSecurityGroups/delete | ネットワーク セキュリティ グループを削除します。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/securityRules/read | セキュリティ規則の定義を取得します。 |
| Microsoft.Network/networkSecurityGroups/securityRules/write | セキュリティ規則を作成するか、既存のセキュリティ規則を更新します。 |
| Microsoft.Network/networkSecurityGroups/securityRules/delete | セキュリティ規則を削除します。 |
| Microsoft.Network/routeTables/read | ルート テーブルの定義を取得します。 |
| Microsoft.Network/routeTables/write | ルート テーブルを作成するか、既存のルート テーブルを更新します。 |
| Microsoft.Network/routeTables/delete | ルート テーブルの定義を削除します。 |
| Microsoft.Network/routeTables/join/action | ルート テーブルを結合します。 警告不可能です。 |
| Microsoft.Network/routeTables/routes/read | ルート定義を取得します。 |
| Microsoft.Network/routeTables/routes/write | ルートを作成するか、既存のルートを更新します。 |
| Microsoft.Network/routeTables/routes/delete | ルート定義を削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can manage Azure AD Domain Services and related network configurations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/eeaeda52-9324-47f6-8069-5d5bade478b2",
"name": "eeaeda52-9324-47f6-8069-5d5bade478b2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/Read",
"Microsoft.Insights/DiagnosticSettings/*",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/register/action",
"Microsoft.AAD/unregister/action",
"Microsoft.AAD/domainServices/*",
"Microsoft.Network/register/action",
"Microsoft.Network/unregister/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/peer/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/ddosProtectionPlans/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/delete",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/networkSecurityGroups/securityRules/write",
"Microsoft.Network/networkSecurityGroups/securityRules/delete",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/write",
"Microsoft.Network/routeTables/delete",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/routeTables/routes/read",
"Microsoft.Network/routeTables/routes/write",
"Microsoft.Network/routeTables/routes/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ドメイン サービス閲覧者
Azure Active Directory Domain Services と関連ネットワーク構成を表示できます
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/deployments/read | デプロイを取得または一覧表示します。 |
| Microsoft.Resources/deployments/operations/read | デプロイ操作を取得または一覧表示します。 |
| Microsoft.Resources/deployments/operationstatuses/read | デプロイ操作の状態を取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Insights/AlertRules/Read | クラシック メトリック アラートを読み取ります |
| Microsoft.Insights/AlertRules/Incidents/Read | クラシック メトリック アラートのインシデントを読み取ります |
| Microsoft.Insights/Logs/Read | すべてのログからデータを読み取ります。 |
| Microsoft.Insights/Metrics/read | メトリックを読み取ります。 |
| Microsoft.Insights/DiagnosticSettings/read | リソースの診断設定を読み取ります |
| Microsoft.Insights/DiagnosticSettingsCategories/Read | 診断設定のカテゴリを読み取ります |
| Microsoft.AAD/domainServices/*/read | |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します。 |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | 仮想ネットワーク ピアリングの定義を取得します。 |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read | 仮想ネットワークの診断設定を取得します。 |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read | PingMesh に使用可能なメトリックを取得します。 |
| Microsoft.Network/azureFirewalls/read | Azure Firewall を取得します |
| Microsoft.Network/ddosProtectionPlans/read | DDoS Protection プランを取得します。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します。 |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/natGateways/read | Nat ゲートウェイの定義を取得する |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | 既定のセキュリティ規則の定義を取得します。 |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得します。 |
| Microsoft.Network/networkSecurityGroups/securityRules/read | セキュリティ規則の定義を取得します。 |
| Microsoft.Network/routeTables/read | ルート テーブルの定義を取得します。 |
| Microsoft.Network/routeTables/routes/read | ルート定義を取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can view Azure AD Domain Services and related network configurations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/361898ef-9ed1-48c2-849c-a832951106bb",
"name": "361898ef-9ed1-48c2-849c-a832951106bb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/read",
"Microsoft.Insights/DiagnosticSettings/read",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/domainServices/*/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/natGateways/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/routes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Managed Identity Contributor
ユーザー割り当て ID の作成、読み取り、更新、削除を行います。詳細
| アクション | 説明 |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | 既存のユーザー割り当て ID を取得します。 |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | 新しいユーザー割り当て ID を作成するか、既存のユーザー割り当て ID に関連付けられているタグを更新します。 |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | 既存のユーザー割り当て ID を削除します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete User Assigned Identity",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"name": "e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Managed Identity Operator
ユーザー割り当て ID の読み取りと割り当てを行います。詳細
| アクション | 説明 |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/read | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Read and Assign User Assigned Identity",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f1a07417-d97a-45cb-824c-7a7467783830",
"name": "f1a07417-d97a-45cb-824c-7a7467783830",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/*/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
セキュリティ
アプリ コンプライアンス オートメーション管理者
レポート オブジェクトおよび関連する他のリソース オブジェクトを作成、読み取り、ダウンロード、変更、および削除します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.AppComplianceAutomation/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | Blob service のプロパティの設定の結果を返します。 |
| Microsoft.Storage/storageAccounts/fileservices/write | ファイル サービスのプロパティを指定します |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/storageAccounts/write | 指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。 |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Blob service のユーザーの委任キーを返します |
| Microsoft.Storage/storageAccounts/read | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | コンテナーの一覧を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | BLOB コンテナーのプット結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/read | Blob service のプロパティまたは統計情報を返します。 |
| Microsoft.PolicyInsights/policyStates/queryResults/action | ポリシーの状態に関する情報のクエリを実行します。 |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | 選択したスコープの新たなコンプライアンス評価をトリガーします。 |
| Microsoft.Resources/resources/read | フィルターに基づいてリソースの一覧を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | リソース グループのリソースを取得します。 |
| Microsoft.Resources/subscriptions/resources/read | サブスクリプションのリソースを取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/delete | リソース グループとそのすべてのリソースを削除します。 |
| Microsoft.Resources/subscriptions/resourceGroups/write | リソース グループを作成または更新します。 |
| Microsoft.Resources/tags/read | リソースのすべてのタグを取得します。 |
| Microsoft.Resources/deployments/validate/action | デプロイを検証します。 |
| Microsoft.Security/automations/read | スコープの自動化を取得します |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Security/automations/delete | スコープの自動化を削除します |
| Microsoft.Security/automations/write | スコープの自動化を作成または更新します |
| Microsoft.Security/register/action | Azure Security Center にサブスクリプションを登録します。 |
| Microsoft.Security/unregister/action | Azure Security Center からサブスクリプションを登録解除します |
| */read | 機密データを除くあらゆる種類のリソースの読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
アプリ コンプライアンス オートメーション閲覧者
レポート オブジェクトおよび関連する他のリソース オブジェクトを読み取り、ダウンロードします。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.AppComplianceAutomation/*/read | |
| Microsoft.Storage/storageAccounts/read | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | コンテナーの一覧を返します |
| Microsoft.Storage/storageAccounts/blobServices/read | Blob service のプロパティまたは統計情報を返します。 |
| Microsoft.Resources/resources/read | フィルターに基づいてリソースの一覧を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resources/read | サブスクリプションのリソースを取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | リソース グループのリソースを取得します。 |
| Microsoft.Resources/tags/read | リソースのすべてのタグを取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/tags/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Attestation Contributor
構成証明プロバイダー インスタンスの読み取り、書き込み、または削除ができます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | |
| Microsoft.Attestation/attestationProviders/attestation/write | |
| Microsoft.Attestation/attestationProviders/attestation/delete | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Attestation Reader
構成証明プロバイダーのプロパティを読み取ることができます。詳細
| アクション | 説明 |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Administrator
キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、シークレットを含む) に対して、すべてのデータ プレーン操作を実行します。 キー コンテナー リソースの管理やロール割り当ての管理はできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.KeyVault/checkNameAvailability/read | Key Vault 名が有効であり、使用されていないことを確認します。 |
| Microsoft.KeyVault/deletedVaults/read | 論理的に削除された Key Vault のプロパティを表示します。 |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault リソース プロバイダーで使用できる操作を一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Certificates Officer
キーコンテナーの証明書に対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.KeyVault/checkNameAvailability/read | Key Vault 名が有効であり、使用されていないことを確認します。 |
| Microsoft.KeyVault/deletedVaults/read | 論理的に削除された Key Vault のプロパティを表示します。 |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault リソース プロバイダーで使用できる操作を一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | 証明書の連絡先を管理します |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Contributor
キー コンテナーを管理しますが、Azure RBAC でのロール割り当ては許可されず、シークレット、キー、証明書へのアクセスも許可されません。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | 論理的に削除された Key Vault を消去します。 |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto Officer
キーコンテナーのキーに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.KeyVault/checkNameAvailability/read | Key Vault 名が有効であり、使用されていないことを確認します。 |
| Microsoft.KeyVault/deletedVaults/read | 論理的に削除された Key Vault のプロパティを表示します。 |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault リソース プロバイダーで使用できる操作を一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto Service Encryption User
キーのメタデータを読み取り、wrap および unwrap 操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 詳細情報
| アクション | 説明 |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | eventSubscription を作成または更新します。 |
| Microsoft.EventGrid/eventSubscriptions/read | eventSubscription を削除します。 |
| Microsoft.EventGrid/eventSubscriptions/delete | eventSubscription を削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | 指定された資格情報コンテナー内のキーを一覧表示するか、キーのプロパティおよび公開マテリアルを読み取ります。 非対称キーの場合、この操作では公開キーを公開し、署名の暗号化や検証などの公開キー アルゴリズムを実行する機能が含まれます。 秘密キーと対称キーが公開されることはありません。 |
| Microsoft.KeyVault/vaults/keys/wrap/action | Key Vault キーで対称キーをラップします。 Key Vault キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。 |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Key Vault キーで対称キーをラップ解除します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto User
キーを使用した暗号化操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 詳細情報
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | 指定された資格情報コンテナー内のキーを一覧表示するか、キーのプロパティおよび公開マテリアルを読み取ります。 非対称キーの場合、この操作では公開キーを公開し、署名の暗号化や検証などの公開キー アルゴリズムを実行する機能が含まれます。 秘密キーと対称キーが公開されることはありません。 |
| Microsoft.KeyVault/vaults/keys/update/action | 特定のキーに関連付けられている、指定された属性を更新します。 |
| Microsoft.KeyVault/vaults/keys/backup/action | キーのバックアップ ファイルを作成します。 このファイルは、同じサブスクリプションの Key Vault でキーを復元するために使用できます。 制限が適用される場合があります。 |
| Microsoft.KeyVault/vaults/keys/encrypt/action | キーでプレーンテキストを暗号化します。 キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。 |
| Microsoft.KeyVault/vaults/keys/decrypt/action | キーで暗号化テキストの暗号化を解除します。 |
| Microsoft.KeyVault/vaults/keys/wrap/action | Key Vault キーで対称キーをラップします。 Key Vault キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。 |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Key Vault キーで対称キーをラップ解除します。 |
| Microsoft.KeyVault/vaults/keys/sign/action | キーでメッセージ ダイジェスト (ハッシュ) に署名します。 |
| Microsoft.KeyVault/vaults/keys/verify/action | キーでメッセージ ダイジェスト (ハッシュ) の署名を検証します。 キーが非対称の場合は、この操作を読み取りアクセス権を持つプリンシパルで実行できることに注意してください。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault データ アクセス管理者 (プレビュー)
Key Vault 管理者、Key Vault 証明書オフィサー、Key Vault Crypto オフィサー、Key Vault Crypto サービス暗号化ユーザー、Key Vault Crypto ユーザー、Key Vault 閲覧者、Key Vault シークレット オフィサー、または Key Vault シークレット ユーザー ロールのロールを追加または削除して、Azure Key Vault へのアクセスを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | 説明 |
|---|---|
| */read | 機密データを除くあらゆる種類のリソースの読み取り |
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Management/managementGroups/read | 認証済みユーザーの管理グループを一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| Condition | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | 以下のロールでロールの割り当てを追加または削除します: Key Vault Administrator Key Vault Certificates Officer Key Vault Crypto Officer Key Vault Crypto Service Encryption User Key Vault Crypto User Key Vault Reader Key Vault Secrets Officer Key Vault Secrets User |
{
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"properties": {
"roleName": "Key Vault Data Access Administrator (preview)",
"de