보안에 대한 Azure 기본 제공 역할
이 문서에서는 보안 범주의 Azure 기본 제공 역할을 나열합니다.
앱 준수 자동화 관리자
보고서 개체 및 관련 기타 리소스 개체를 만들기, 읽기, 다운로드, 수정 및 삭제합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.AppComplianceAutomation/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | Blob 서비스 속성 배치의 결과를 반환합니다. |
| Microsoft.Storage/storageAccounts/fileservices/write | 파일 서비스 속성을 넣습니다. |
| Microsoft.Storage/storageAccounts/listKeys/action | 지정된 스토리지 계정에 대한 액세스 키를 반환합니다. |
| Microsoft.Storage/storageAccounts/write | 지정된 매개 변수를 사용하여 스토리지 계정을 만들거나, 속성 또는 태그를 업데이트하거나, 지정된 스토리지 계정의 사용자 지정 도메인을 추가합니다. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Blob Service에 대한 사용자 위임 키를 반환합니다. |
| Microsoft.Storage/storageAccounts/read | 스토리지 계정의 목록을 반환하거나 지정된 스토리지 계정의 속성을 가져옵니다. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | 컨테이너 목록을 반환합니다. |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Blob 컨테이너 배치의 결과를 반환합니다. |
| Microsoft.Storage/storageAccounts/blobServices/read | Blob 서비스 속성 또는 통계를 반환합니다. |
| Microsoft.PolicyInsights/policyStates/queryResults/action | 정책 상태에 대한 정보를 쿼리합니다. |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | 선택한 범위에 대한 새 준수 평가를 트리거합니다. |
| Microsoft.Resources/resources/read | 필터에 따라 리소스 목록을 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | 리소스 그룹에 대한 리소스를 가져옵니다. |
| Microsoft.Resources/subscriptions/resources/read | 구독의 리소스를 가져옵니다. |
| Microsoft.Resources/subscriptions/resourceGroups/delete | 리소스 그룹 및 모든 해당 리소스를 삭제합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/write | 리소스 그룹을 만들거나 업데이트합니다. |
| Microsoft.Resources/tags/read | 리소스의 모든 태그를 가져옵니다. |
| Microsoft.Resources/deployments/validate/action | 배포의 유효성을 검사합니다. |
| Microsoft.Security/automations/read | 범위에 대한 자동화를 가져옵니다. |
| Microsoft.Resources/deployments/write | 배포를 만들거나 업데이트합니다. |
| Microsoft.Security/automations/delete | 범위에 대한 자동화를 삭제합니다. |
| Microsoft.Security/automations/write | 범위에 대한 자동화를 만들거나 업데이트합니다. |
| Microsoft.Security/register/action | Azure Security Center에 대한 구독을 등록합니다. |
| Microsoft.Security/unregister/action | Azure Security Center에서 구독 등록 취소 |
| */read | 암호를 제외한 모든 유형의 리소스를 읽습니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
앱 준수 자동화 읽기 권한자
보고서 개체 및 관련 기타 리소스 개체를 읽고 다운로드합니다.
| 작업 | 설명 |
|---|---|
| */read | 암호를 제외한 모든 유형의 리소스를 읽습니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
증명 기여자
증명 공급자 인스턴스를 읽고 쓰거나 삭제할 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | 증명 서비스 상태를 가져옵니다. |
| Microsoft.Attestation/attestationProviders/attestation/write | 증명 서비스를 추가합니다. |
| Microsoft.Attestation/attestationProviders/attestation/delete | 증명 서비스를 제거합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
증명 판독기
증명 공급자 속성을 읽을 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | 증명 서비스 상태를 가져옵니다. |
| Microsoft.Attestation/attestationProviders/read | 증명 서비스 상태를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 관리자
인증서, 키, 비밀을 포함하여 Key Vault 및 해당 Key Vault에 있는 모든 개체에 대한 모든 데이터 평면 작업을 수행합니다. Key Vault 리소스를 관리하거나 역할 할당을 관리할 수 없습니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| Microsoft.KeyVault/checkNameAvailability/read | 키 자격 증명 모음 이름이 유효하고 사용되지 않는지 확인합니다. |
| Microsoft.KeyVault/deletedVaults/read | 일시 삭제된 키 자격 증명 모음의 속성 보기 |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault 리소스 공급자에서 사용 가능한 작업을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 인증서 사용자
인증서 콘텐츠를 참조하세요. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| 없음 | |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificates/read | 지정된 키 자격 증명 모음에 있는 인증서를 나열하거나 인증서에 대한 정보를 가져옵니다. |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | 비밀의 값을 가져옵니다. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | 비밀의 값이 아닌 비밀의 속성을 나열하거나 봅니다. |
| Microsoft.KeyVault/vaults/keys/read | 지정된 자격 증명 모음의 키를 나열하거나 키의 속성 및 공개 자료를 읽습니다. 비대칭 키의 경우 이 작업은 공개 키를 노출하고 서명 암호화 및 확인과 같은 공개 키 알고리즘을 수행하는 기능을 포함합니다. 프라이빗 키 및 대칭 키는 노출되지 않습니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 인증서 책임자
권한 관리를 제외한 Key Vault의 인증서에 대한 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| Microsoft.KeyVault/checkNameAvailability/read | 키 자격 증명 모음 이름이 유효하고 사용되지 않는지 확인합니다. |
| Microsoft.KeyVault/deletedVaults/read | 일시 삭제된 키 자격 증명 모음의 속성 보기 |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault 리소스 공급자에서 사용 가능한 작업을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | 인증서 연락처 관리 |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 참가자
키 자격 증명 모음을 관리하지만 Azure RBAC에서 역할을 할당하는 것을 허용하지 않으며 비밀, 키 또는 인증서에 액세스하는 것을 허용하지 않습니다.
Important
액세스 정책 권한 모델을 사용하는 경우 키 자격 증명 모음 관리 평면에 대한 사용 권한을 포함하는 Microsoft.KeyVault/vaults/write 사용자 또는 기타 역할이 있는 사용자는 ContributorKey Vault ContributorKey Vault 액세스 정책을 설정하여 자신에게 데이터 평면 액세스 권한을 부여할 수 있습니다. 키 자격 증명 모음, 키, 비밀 및 인증서의 무단 액세스 및 관리를 방지하려면 액세스 정책 권한 모델에서 키 자격 증명 모음에 대한 기여자 역할 액세스를 제한해야 합니다. 이러한 위험을 완화하려면 권한 관리를 '소유자' 및 '사용자 액세스 관리자' 역할로 제한하는 RBAC(역할 기반 액세스 제어) 권한 모델을 사용하여 보안 작업과 관리 업무 간에 명확한 분리를 허용하는 것이 좋습니다. 자세한 내용은 Key Vault RBAC 가이드 및 Azure RBAC란?을 참조하세요.
| actions | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | 일시 삭제된 Key Vault를 제거합니다. |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 암호화 책임자
권한 관리를 제외한 Key Vault 키에 대한 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| Microsoft.KeyVault/checkNameAvailability/read | 키 자격 증명 모음 이름이 유효하고 사용되지 않는지 확인합니다. |
| Microsoft.KeyVault/deletedVaults/read | 일시 삭제된 키 자격 증명 모음의 속성 보기 |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault 리소스 공급자에서 사용 가능한 작업을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 암호화 서비스 암호화 사용자
키의 메타데이터를 읽고 래핑/래핑 해제 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | eventSubscription 만들기 또는 업데이트 |
| Microsoft.EventGrid/eventSubscriptions/read | eventSubscription 읽기 |
| Microsoft.EventGrid/eventSubscriptions/delete | eventSubscription을 삭제합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | 지정된 자격 증명 모음의 키를 나열하거나 키의 속성 및 공개 자료를 읽습니다. 비대칭 키의 경우 이 작업은 공개 키를 노출하고 서명 암호화 및 확인과 같은 공개 키 알고리즘을 수행하는 기능을 포함합니다. 프라이빗 키 및 대칭 키는 노출되지 않습니다. |
| Microsoft.KeyVault/vaults/keys/wrap/action | 키 자격 증명 모음 키를 사용하여 대칭 키를 래핑합니다. Key Vault 키가 비대칭이면 읽기 권한이 있는 보안 주체가 이 작업을 수행할 수 있습니다. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Key Vault 키를 사용하여 대칭 키의 래핑을 해제합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 암호화 서비스 릴리스 사용자
키를 놓습니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| 없음 | |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/release/action | 증명 토큰에서 KEK의 공개 부분을 사용하여 키를 해제합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 암호화 사용자
키를 사용하여 암호화 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| 없음 | |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | 지정된 자격 증명 모음의 키를 나열하거나 키의 속성 및 공개 자료를 읽습니다. 비대칭 키의 경우 이 작업은 공개 키를 노출하고 서명 암호화 및 확인과 같은 공개 키 알고리즘을 수행하는 기능을 포함합니다. 프라이빗 키 및 대칭 키는 노출되지 않습니다. |
| Microsoft.KeyVault/vaults/keys/update/action | 지정된 키와 연결된 지정된 특성을 업데이트합니다. |
| Microsoft.KeyVault/vaults/keys/backup/action | 키의 백업 파일을 만듭니다. 이 파일은 동일한 구독의 Key Vault에서 키를 복원하는 데 사용할 수 있습니다. 제한이 적용될 수 있습니다. |
| Microsoft.KeyVault/vaults/keys/encrypt/action | 키를 사용하여 일반 텍스트를 암호화합니다. 키가 비대칭이면 읽기 권한이 있는 보안 주체가 이 작업을 수행할 수 있습니다. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | 키로 암호 텍스트를 해독합니다. |
| Microsoft.KeyVault/vaults/keys/wrap/action | 키 자격 증명 모음 키를 사용하여 대칭 키를 래핑합니다. Key Vault 키가 비대칭이면 읽기 권한이 있는 보안 주체가 이 작업을 수행할 수 있습니다. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Key Vault 키를 사용하여 대칭 키의 래핑을 해제합니다. |
| Microsoft.KeyVault/vaults/keys/sign/action | 키를 사용하여 메시지 다이제스트(해시)에 서명합니다. |
| Microsoft.KeyVault/vaults/keys/verify/action | 키를 사용하여 메시지 다이제스트(해시)의 서명을 확인합니다. 키가 비대칭이면 읽기 권한이 있는 보안 주체가 이 작업을 수행할 수 있습니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 데이터 액세스 관리자
Key Vault 관리자, Key Vault 인증서 책임자, Key Vault 암호화 책임자, Key Vault 암호화 서비스 암호화 사용자, Key Vault 암호화 사용자, Key Vault 읽기 권한자, Key Vault 비밀 책임자 또는 Key Vault 비밀 사용자 역할에 대한 역할 할당을 추가하거나 제거하여 Azure Key Vault에 대한 액세스를 관리합니다. 역할 할당을 제한하는 ABAC 조건을 포함합니다.
| actions | 설명 |
|---|---|
| Microsoft.Authorization/roleAssignments/write | 지정된 범위에서 역할 할당을 만듭니다. |
| Microsoft.Authorization/roleAssignments/delete | 지정된 범위에서 역할 할당을 삭제합니다. |
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Management/managementGroups/read | 인증된 사용자의 관리 그룹을 나열합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 | |
| Condition | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | 다음 역할에 대한 역할 할당을 추가하거나 제거합니다. Key Vault 관리자 Key Vault 인증서 책임자 Key Vault 암호화 책임자 Key Vault 암호화 서비스 암호화 사용자 Key Vault 암호화 사용자 Key Vault 읽기 권한자 Key Vault 비밀 책임자 Key Vault 비밀 사용자 |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 읽기 권한자
Key Vault 및 해당 인증서, 키, 비밀의 메타데이터를 읽습니다. 비밀 콘텐츠 또는 키 자료와 같은 중요한 값을 읽을 수 없습니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| Microsoft.KeyVault/checkNameAvailability/read | 키 자격 증명 모음 이름이 유효하고 사용되지 않는지 확인합니다. |
| Microsoft.KeyVault/deletedVaults/read | 일시 삭제된 키 자격 증명 모음의 속성 보기 |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault 리소스 공급자에서 사용 가능한 작업을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | 비밀의 값이 아닌 비밀의 속성을 나열하거나 봅니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 비밀 책임자
권한 관리를 제외한 Key Vault의 비밀에 대한 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| Microsoft.KeyVault/checkNameAvailability/read | 키 자격 증명 모음 이름이 유효하고 사용되지 않는지 확인합니다. |
| Microsoft.KeyVault/deletedVaults/read | 일시 삭제된 키 자격 증명 모음의 속성 보기 |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault 리소스 공급자에서 사용 가능한 작업을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/* | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault 비밀 사용자
비밀 내용을 읽습니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다.
| 작업 | 설명 |
|---|---|
| 없음 | |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | 비밀의 값을 가져옵니다. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | 비밀의 값이 아닌 비밀의 속성을 나열하거나 봅니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
관리되는 HSM 기여자
관리형 HSM 풀을 관리할 수 있지만 액세스할 수는 없습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.KeyVault/managedHSMs/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | 삭제된 관리형 hsm의 속성 보기 |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | 삭제된 관리형 hsm의 속성 보기 |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | 일시 삭제된 관리형 hsm 제거 |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | 장기 실행 작업의 결과 확인 |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Automation 기여자
Microsoft Sentinel Automation 기여자
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Logic/workflows/triggers/read | 트리거를 읽습니다. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | 트리거에 대한 콜백 URL을 가져옵니다. |
| Microsoft.Logic/workflows/runs/read | 워크플로 실행을 읽습니다. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Web Apps Hostruntime 워크플로 트리거를 나열합니다. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Web Apps Hostruntime 워크플로 트리거 Uri를 가져옵니다. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Web Apps Hostruntime 워크플로 실행을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel 기여자
Microsoft Sentinel 기여자
| 작업 | 설명 |
|---|---|
| Microsoft.SecurityInsights/* | |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | 새 엔진을 사용하여 검색합니다. |
| Microsoft.OperationalInsights/workspaces/*/read | 로그 분석 데이터를 봅니다. |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | |
| Microsoft.OperationsManagement/solutions/read | 기존 OMS 솔루션 가져오기 |
| Microsoft.OperationalInsights/workspaces/query/read | 작업 영역의 데이터에서 쿼리를 실행 |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | 작업 영역에서 데이터 원본을 가져옵니다. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/* | |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel 플레이북 운영자
Microsoft Sentinel 플레이북 운영자
| 작업 | 설명 |
|---|---|
| Microsoft.Logic/workflows/read | 워크플로를 읽습니다. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | 트리거에 대한 콜백 URL을 가져옵니다. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Web Apps Hostruntime 워크플로 트리거 Uri를 가져옵니다. |
| Microsoft.Web/sites/read | 웹앱의 속성을 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel 읽기 권한자
Microsoft Sentinel 읽기 권한자
| 작업 | 설명 |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | 사용자 권한 부여 및 라이선스를 확인합니다. |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | 위협 인텔리전스 지표를 쿼리합니다. |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | 위협 인텔리전스 지표를 쿼리합니다. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | 새 엔진을 사용하여 검색합니다. |
| Microsoft.OperationalInsights/workspaces/*/read | 로그 분석 데이터를 봅니다. |
| Microsoft.OperationalInsights/workspaces/LinkedServices/read | 지정된 작업 영역에서 연결된 서비스를 가져옵니다. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | 저장된 검색 쿼리를 가져옵니다. |
| Microsoft.OperationsManagement/solutions/read | 기존 OMS 솔루션 가져오기 |
| Microsoft.OperationalInsights/workspaces/query/read | 작업 영역의 데이터에서 쿼리를 실행 |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | 작업 영역에서 데이터 원본을 가져옵니다. |
| Microsoft.Insights/workbooks/read | 통합 문서 읽기 |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Resources/templateSpecs/*/read | 템플릿 사양 및 템플릿 사양 버전을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel 응답자
Microsoft Sentinel 응답자
| 작업 | 설명 |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | 사용자 권한 부여 및 라이선스를 확인합니다. |
| Microsoft.SecurityInsights/automationRules/* | |
| Microsoft.SecurityInsights/cases/* | |
| Microsoft.SecurityInsights/incidents/* | |
| Microsoft.SecurityInsights/entities/runPlaybook/action | 엔터티에서 플레이북 실행 |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | 위협 인텔리전스 지표에 태그를 추가합니다. |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | 위협 인텔리전스 지표를 쿼리합니다. |
| Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | 대량 태그 위협 인텔리전스 |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | 위협 인텔리전스 지표에 태그를 추가합니다. |
| Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | 위협 인텔리전스 지표의 태그를 바꿉니다. |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | 위협 인텔리전스 지표를 쿼리합니다. |
| Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | 작업 실행 취소 |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | 새 엔진을 사용하여 검색합니다. |
| Microsoft.OperationalInsights/workspaces/*/read | 로그 분석 데이터를 봅니다. |
| Microsoft.OperationalInsights/workspaces/dataSources/read | 작업 영역에서 데이터 원본을 가져옵니다. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | 저장된 검색 쿼리를 가져옵니다. |
| Microsoft.OperationsManagement/solutions/read | 기존 OMS 솔루션 가져오기 |
| Microsoft.OperationalInsights/workspaces/query/read | 작업 영역의 데이터에서 쿼리를 실행 |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | 작업 영역에서 데이터 원본을 가져옵니다. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/read | 통합 문서 읽기 |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| NotActions | |
| Microsoft.SecurityInsights/cases/*/Delete | |
| Microsoft.SecurityInsights/incidents/*/Delete | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
보안 관리자
클라우드용 Microsoft Defender에 대한 사용 권한을 보고 업데이트합니다. 보안 읽기 권한자 역할과 동일한 권한이며, 보안 정책을 업데이트하고 경고 및 권장 사항을 해제할 수도 있습니다.
Microsoft Defender for IoT의 경우 OT 및 엔터프라이즈 IoT 모니터링에 대한 Azure 사용자 역할을 참조 하세요.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Authorization/policyAssignments/* | 정책 할당 만들기 및 관리 |
| Microsoft.Authorization/policyDefinitions/* | 정책 정의 만들기 및 관리 |
| Microsoft.Authorization/policyExemptions/* | 정책 예외 만들기 및 관리 |
| Microsoft.Authorization/policySetDefinitions/* | 정책 집합 만들기 및 관리 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Management/managementGroups/read | 인증된 사용자의 관리 그룹을 나열합니다. |
| Microsoft.operationalInsights/workspaces/*/read | 로그 분석 데이터를 봅니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Security/* | 보안 구성 요소 및 정책 만들기 및 관리 |
| Microsoft.IoTSecurity/* | |
| Microsoft.IoTFirmwareDefense/* | |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
보안 평가 기여자
클라우드용 Microsoft Defender에 평가를 푸시할 수 있습니다.
| actions | 설명 |
|---|---|
| Microsoft.Security/assessments/write | 구독에서 보안 평가 만들기 또는 업데이트 |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
보안 관리자(레거시)
레거시 역할입니다. 그 대신 보안 관리자를 사용하세요.
| actions | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.ClassicCompute/*/read | 클래식 가상 머신에 대한 구성 정보 읽기 |
| Microsoft.ClassicCompute/virtualMachines/*/write | 클래식 가상 머신에 대한 쓰기 구성 |
| Microsoft.ClassicNetwork/*/read | 클래식 네트워크에 대한 구성 정보 읽기 |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.ResourceHealth/availabilityStatuses/read | 지정된 범위의 모든 리소스에 대한 가용성 상태를 가져옵니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Security/* | 보안 구성 요소 및 정책 만들기 및 관리 |
| Microsoft.Support/* | 지원 티켓을 만들거나 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
보안 읽기 권한자
클라우드용 Microsoft Defender에 대한 사용 권한을 봅니다. 권장 사항, 경고, 보안 정책 및 보안 상태를 볼 수 있지만 변경할 수는 없습니다.
Microsoft Defender for IoT의 경우 OT 및 엔터프라이즈 IoT 모니터링에 대한 Azure 사용자 역할을 참조 하세요.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당 읽기 |
| Microsoft.Insights/alertRules/read | 클래식 메트릭 경고 읽기 |
| Microsoft.operationalInsights/workspaces/*/read | 로그 분석 데이터를 봅니다. |
| Microsoft.Resources/deployments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Security/*/read | 보안 구성 요소 및 정책 읽기 |
| Microsoft.IoTSecurity/*/read | |
| Microsoft.Support/*/read | |
| Microsoft.Security/iotDefenderSettings/packageDownloads/action | 다운로드 가능한 IoT Defender 패키지 정보를 가져옵니다. |
| Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | 구독 할당량 데이터가 있는 관리자 활성화 파일 다운로드 |
| Microsoft.Security/iotSensors/downloadResetPassword/action | IoT 센서에 대한 암호 재설정 파일 다운로드 |
| Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | 다운로드 가능한 IoT Defender 패키지 정보를 가져옵니다. |
| Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | 관리자 활성화 파일 다운로드 |
| Microsoft.Management/managementGroups/read | 인증된 사용자의 관리 그룹을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}