Wbudowane role platformy Azure dla zabezpieczeń
W tym artykule wymieniono wbudowane role platformy Azure w kategorii Zabezpieczenia.
Administrator automatyzacji zgodności aplikacji
Tworzenie, odczytywanie, pobieranie, modyfikowanie i usuwanie obiektów raportów oraz powiązanych innych obiektów zasobów.
| Akcje | opis |
|---|---|
| Microsoft.AppComplianceAutomation/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | Zwraca wynik umieszczania właściwości usługi blob |
| Microsoft.Storage/storageAccounts/fileservices/write | Umieszczanie właściwości usługi plików |
| Microsoft.Storage/storageAccounts/listKeys/action | Zwraca klucze dostępu dla określonego konta magazynu. |
| Microsoft.Storage/storageAccounts/write | Tworzy konto magazynu z określonymi parametrami lub aktualizuje właściwości lub tagi albo dodaje domenę niestandardową dla określonego konta magazynu. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Zwraca klucz delegowania użytkownika dla usługi obiektów blob |
| Microsoft.Storage/storageAccounts/read | Zwraca listę kont magazynu lub pobiera właściwości dla określonego konta magazynu. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Zwraca listę kontenerów |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Zwraca wynik umieszczania kontenera obiektów blob |
| Microsoft.Storage/storageAccounts/blobServices/read | Zwraca właściwości lub statystyki usługi blob |
| Microsoft.PolicyInsights/policyStates/queryResults/action | Wykonywanie zapytań o stany zasad. |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | Wyzwala nową ocenę zgodności dla wybranego zakresu. |
| Microsoft.Resources/resources/read | Pobierz listę zasobów na podstawie filtrów. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | Pobiera zasoby dla grupy zasobów. |
| Microsoft.Resources/subscriptions/resources/read | Pobiera zasoby subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/delete | Usuwa grupę zasobów i wszystkie jej zasoby. |
| Microsoft.Resources/subscriptions/resourceGroups/write | Tworzy lub aktualizuje grupę zasobów. |
| Microsoft.Resources/tags/read | Pobiera wszystkie tagi w zasobie. |
| Microsoft.Resources/deployments/validate/action | Weryfikuje wdrożenie. |
| Microsoft.Security/automations/read | Pobiera automatyzacje dla zakresu |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Security/automations/delete | Usuwa automatyzację dla zakresu |
| Microsoft.Security/automations/write | Tworzy lub aktualizuje automatyzację dla zakresu |
| Microsoft.Security/register/action | Rejestruje subskrypcję usługi Azure Security Center |
| Microsoft.Security/unregister/action | Wyrejestrowuje subskrypcję z usługi Azure Security Center |
| */read | Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik automatyzacji zgodności aplikacji
Odczytywanie, pobieranie obiektów raportów i powiązanych innych obiektów zasobów.
| Akcje | Opis |
|---|---|
| */read | Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor zaświadczania
Może odczytywać zapis lub usuwać wystąpienie dostawcy zaświadczania
| Akcje | opis |
|---|---|
| Microsoft.Attestation/attestationProviders/zaświadczenie/odczyt | Pobiera stan usługi zaświadczania. |
| Microsoft.Attestation/attestationProviders/zaświadczenie/zapis | Dodaje usługę zaświadczania. |
| Microsoft.Attestation/attestationProviders/zaświadczenie/usuwanie | Usuwa usługę zaświadczania. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik zaświadczania
Może odczytywać właściwości dostawcy zaświadczania
| Akcje | opis |
|---|---|
| Microsoft.Attestation/attestationProviders/zaświadczenie/odczyt | Pobiera stan usługi zaświadczania. |
| Microsoft.Attestation/attestationProviders/read | Pobiera stan usługi zaświadczania. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Administrator
Wykonaj wszystkie operacje płaszczyzny danych w magazynie kluczy i wszystkich obiektów, w tym certyfikatów, kluczy i wpisów tajnych. Nie można zarządzać zasobami magazynu kluczy ani zarządzać przypisaniami ról. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| Microsoft.KeyVault/checkNameAvailability/read | Sprawdza, czy nazwa magazynu kluczy jest prawidłowa i nie jest używana |
| Microsoft.KeyVault/deletedVaults/read | Wyświetlanie właściwości magazynów kluczy usuniętych nietrwale |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Wyświetla listę operacji dostępnych u dostawcy zasobów Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Użytkownik certyfikatu usługi Key Vault
Odczytywanie zawartości certyfikatu. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | Opis |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificates/read | Wyświetlanie listy certyfikatów w określonym magazynie kluczy lub uzyskiwanie informacji o certyfikacie. |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Pobiera wartość wpisu tajnego. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Wyświetl lub wyświetl właściwości wpisu tajnego, ale nie jego wartość. |
| Microsoft.KeyVault/vaults/keys/read | Wyświetl listę kluczy w określonym magazynie lub odczyt właściwości i publiczny materiał klucza. W przypadku kluczy asymetrycznych ta operacja uwidacznia klucz publiczny i umożliwia wykonywanie algorytmów kluczy publicznych, takich jak szyfrowanie i weryfikowanie podpisu. Klucze prywatne i klucze symetryczne nigdy nie są ujawniane. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Oficer certyfikatów usługi Key Vault
Wykonaj dowolną akcję na certyfikatach magazynu kluczy, z wyjątkiem uprawnień zarządzania. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| Microsoft.KeyVault/checkNameAvailability/read | Sprawdza, czy nazwa magazynu kluczy jest prawidłowa i nie jest używana |
| Microsoft.KeyVault/deletedVaults/read | Wyświetlanie właściwości magazynów kluczy usuniętych nietrwale |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Wyświetla listę operacji dostępnych u dostawcy zasobów Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | Zarządzanie kontaktem z certyfikatem |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor usługi Key Vault
Zarządzanie magazynami kluczy, ale nie zezwala na przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure i nie zezwala na dostęp do wpisów tajnych, kluczy ani certyfikatów.
Ważne
W przypadku korzystania z modelu uprawnień zasad dostępu użytkownik z Contributorrolą , Key Vault Contributorlub dowolną inną rolą obejmującą Microsoft.KeyVault/vaults/write uprawnienia do płaszczyzny zarządzania magazynu kluczy może udzielić sobie dostępu do płaszczyzny danych, ustawiając zasady dostępu usługi Key Vault. Aby zapobiec nieautoryzowanemu dostępowi i zarządzaniu magazynami kluczy, kluczami, wpisami tajnymi i certyfikatami, należy ograniczyć dostęp roli Współautor do magazynów kluczy w modelu uprawnień zasad dostępu. Aby ograniczyć to ryzyko, zalecamy użycie modelu uprawnień Kontrola dostępu oparta na rolach (RBAC), który ogranicza zarządzanie uprawnieniami do ról "Właściciel" i "Administrator dostępu użytkowników", co pozwala na wyraźne rozdzielenie operacji zabezpieczeń i obowiązków administracyjnych. Aby uzyskać więcej informacji, zobacz Przewodnik RBAC usługi Key Vault i Co to jest kontrola dostępu oparta na rolach platformy Azure?
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | Przeczyszczanie nietrwałego magazynu kluczy |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto Officer
Wykonaj dowolną akcję na kluczach magazynu kluczy, z wyjątkiem zarządzania uprawnieniami. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| Microsoft.KeyVault/checkNameAvailability/read | Sprawdza, czy nazwa magazynu kluczy jest prawidłowa i nie jest używana |
| Microsoft.KeyVault/deletedVaults/read | Wyświetlanie właściwości magazynów kluczy usuniętych nietrwale |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Wyświetla listę operacji dostępnych u dostawcy zasobów Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Użytkownik szyfrowania usługi kryptograficznej usługi Key Vault
Odczytywanie metadanych kluczy i wykonywanie operacji zawijania/odpakowywanie. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | opis |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | Tworzenie lub aktualizowanie zdarzeniaSubskrypcja |
| Microsoft.EventGrid/eventSubscriptions/read | Odczytywanie zdarzeniaSubskrypcji |
| Microsoft.EventGrid/eventSubscriptions/delete | Usuwanie zdarzeniaSubskrypcji |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | Wyświetl listę kluczy w określonym magazynie lub odczyt właściwości i publiczny materiał klucza. W przypadku kluczy asymetrycznych ta operacja uwidacznia klucz publiczny i umożliwia wykonywanie algorytmów kluczy publicznych, takich jak szyfrowanie i weryfikowanie podpisu. Klucze prywatne i klucze symetryczne nigdy nie są ujawniane. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Opakowuje klucz symetryczny przy użyciu klucza usługi Key Vault. Należy pamiętać, że jeśli klucz usługi Key Vault jest asymetryczny, ta operacja może być wykonywana przez podmioty zabezpieczeń z dostępem do odczytu. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Odpakowuje klucz symetryczny przy użyciu klucza usługi Key Vault. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Użytkownik wydania usługi kryptograficznej usługi Key Vault
Zwolnij klucze. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | Opis |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/release/action | Zwolnij klucz przy użyciu publicznej części klucza KEK z tokenu zaświadczania. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Użytkownik kryptograficzny usługi Key Vault
Wykonywanie operacji kryptograficznych przy użyciu kluczy. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | Opis |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | Wyświetl listę kluczy w określonym magazynie lub odczyt właściwości i publiczny materiał klucza. W przypadku kluczy asymetrycznych ta operacja uwidacznia klucz publiczny i umożliwia wykonywanie algorytmów kluczy publicznych, takich jak szyfrowanie i weryfikowanie podpisu. Klucze prywatne i klucze symetryczne nigdy nie są ujawniane. |
| Microsoft.KeyVault/vaults/keys/update/action | Aktualizuje określone atrybuty skojarzone z danym kluczem. |
| Microsoft.KeyVault/vaults/keys/backup/action | Tworzy plik kopii zapasowej klucza. Plik może służyć do przywracania klucza w usłudze Key Vault tej samej subskrypcji. Mogą obowiązywać ograniczenia. |
| Microsoft.KeyVault/vaults/keys/encrypt/action | Szyfruje zwykły tekst przy użyciu klucza. Należy pamiętać, że jeśli klucz jest asymetryczny, ta operacja może być wykonywana przez podmioty zabezpieczeń z dostępem do odczytu. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | Odszyfrowuje tekst szyfrujący za pomocą klucza. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Opakowuje klucz symetryczny przy użyciu klucza usługi Key Vault. Należy pamiętać, że jeśli klucz usługi Key Vault jest asymetryczny, ta operacja może być wykonywana przez podmioty zabezpieczeń z dostępem do odczytu. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Odpakowuje klucz symetryczny przy użyciu klucza usługi Key Vault. |
| Microsoft.KeyVault/vaults/keys/sign/action | Podpisuje skrót komunikatu przy użyciu klucza. |
| Microsoft.KeyVault/vaults/keys/verify/action | Weryfikuje podpis skrótu (skrótu) komunikatu przy użyciu klucza. Należy pamiętać, że jeśli klucz jest asymetryczny, ta operacja może być wykonywana przez podmioty zabezpieczeń z dostępem do odczytu. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator dostępu do danych usługi Key Vault
Zarządzanie dostępem do usługi Azure Key Vault przez dodawanie lub usuwanie przypisań ról dla administratora usługi Key Vault, oficera certyfikatów usługi Key Vault, oficera kryptograficznego usługi Key Vault, użytkownika szyfrowania usługi Kryptograficznej usługi Key Vault, użytkownika kryptograficznego usługi Key Vault, czytelnika usługi Key Vault, oficera wpisów tajnych usługi Key Vault lub ról użytkownika wpisów tajnych usługi Key Vault. Obejmuje warunek ABAC do ograniczenia przypisań ról.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Utwórz przypisanie roli w określonym zakresie. |
| Microsoft.Authorization/roleAssignments/delete | Usuń przypisanie roli w określonym zakresie. |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Management/managementGroups/read | Wyświetlanie listy grup zarządzania dla uwierzytelnioowanego użytkownika. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Warunek | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b6e6})) | Dodaj lub usuń przypisania ról dla następujących ról: Key Vault Administrator Oficer certyfikatów usługi Key Vault Key Vault Crypto Officer Użytkownik szyfrowania usługi kryptograficznej usługi Key Vault Użytkownik kryptograficzny usługi Key Vault Czytelnik usługi Key Vault Oficer wpisów tajnych usługi Key Vault Użytkownik wpisów tajnych usługi Key Vault |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik usługi Key Vault
Odczytywanie metadanych magazynów kluczy i jego certyfikatów, kluczy i wpisów tajnych. Nie można odczytać poufnych wartości, takich jak zawartość wpisu tajnego lub materiał klucza. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| Microsoft.KeyVault/checkNameAvailability/read | Sprawdza, czy nazwa magazynu kluczy jest prawidłowa i nie jest używana |
| Microsoft.KeyVault/deletedVaults/read | Wyświetlanie właściwości magazynów kluczy usuniętych nietrwale |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Wyświetla listę operacji dostępnych u dostawcy zasobów Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Wyświetl lub wyświetl właściwości wpisu tajnego, ale nie jego wartość. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Oficer wpisów tajnych usługi Key Vault
Wykonaj dowolną akcję wpisów tajnych magazynu kluczy, z wyjątkiem zarządzania uprawnieniami. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| Microsoft.KeyVault/checkNameAvailability/read | Sprawdza, czy nazwa magazynu kluczy jest prawidłowa i nie jest używana |
| Microsoft.KeyVault/deletedVaults/read | Wyświetlanie właściwości magazynów kluczy usuniętych nietrwale |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Wyświetla listę operacji dostępnych u dostawcy zasobów Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Użytkownik wpisów tajnych usługi Key Vault
Odczytywanie zawartości wpisu tajnego. Działa tylko w przypadku magazynów kluczy korzystających z modelu uprawnień "Kontrola dostępu oparta na rolach na platformie Azure".
| Akcje | Opis |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Pobiera wartość wpisu tajnego. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Wyświetl lub wyświetl właściwości wpisu tajnego, ale nie jego wartość. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor zarządzanego modułu HSM
Umożliwia zarządzanie zarządzanymi pulami modułów HSM, ale nie dostępem do nich.
| Akcje | opis |
|---|---|
| Microsoft.KeyVault/managedHSMs/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | Wyświetlanie właściwości usuniętego zarządzanego modułu hsm |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | Wyświetlanie właściwości usuniętego zarządzanego modułu hsm |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Przeczyszczanie nietrwałego zarządzanego modułu HSM |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | Sprawdzanie wyniku długotrwałej operacji |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor automatyzacji usługi Microsoft Sentinel
Współautor automatyzacji usługi Microsoft Sentinel
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Logic/workflows/triggers/read | Odczytuje wyzwalacz. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Pobiera adres URL wywołania zwrotnego dla wyzwalacza. |
| Microsoft.Logic/workflows/runs/read | Odczytuje przebieg przepływu pracy. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Wyświetl listę wyzwalaczy przepływu pracy Hostruntime aplikacji internetowych. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Pobierz identyfikator URI wyzwalacza przepływu pracy hostruntime aplikacji internetowych. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Wyświetl listę uruchomień przepływu pracy hostruntime aplikacji internetowych. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor usługi Microsoft Sentinel
Współautor usługi Microsoft Sentinel
| Akcje | opis |
|---|---|
| Microsoft.SecurityInsights/* | |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Wyszukiwanie przy użyciu nowego aparatu. |
| Microsoft.OperationalInsights/workspaces/*/read | Wyświetlanie danych usługi Log Analytics |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | |
| Microsoft.OperationsManagement/solutions/read | Uzyskiwanie istniejącego rozwiązania pakietu OMS |
| Microsoft.OperationalInsights/workspaces/query/read | Uruchamianie zapytań względem danych w obszarze roboczym |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Pobierz źródło danych w obszarze roboczym. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/* | |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator podręcznika usługi Microsoft Sentinel
Operator podręcznika usługi Microsoft Sentinel
| Akcje | opis |
|---|---|
| Microsoft.Logic/workflows/read | Odczytuje przepływ pracy. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Pobiera adres URL wywołania zwrotnego dla wyzwalacza. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Pobierz identyfikator URI wyzwalacza przepływu pracy hostruntime aplikacji internetowych. |
| Microsoft.Web/sites/read | Pobieranie właściwości aplikacji internetowej |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik usługi Microsoft Sentinel
Czytelnik usługi Microsoft Sentinel
| Akcje | opis |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Sprawdzanie autoryzacji i licencji użytkownika |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Wskaźniki analizy zagrożeń zapytań |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Wskaźniki analizy zagrożeń zapytań |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Wyszukiwanie przy użyciu nowego aparatu. |
| Microsoft.OperationalInsights/workspaces/*/read | Wyświetlanie danych usługi Log Analytics |
| Microsoft.OperationalInsights/workspaces/LinkedServices/read | Pobierz połączone usługi w obszarze danego obszaru roboczego. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Pobiera zapisane zapytanie wyszukiwania. |
| Microsoft.OperationsManagement/solutions/read | Uzyskiwanie istniejącego rozwiązania pakietu OMS |
| Microsoft.OperationalInsights/workspaces/query/read | Uruchamianie zapytań względem danych w obszarze roboczym |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Pobierz źródło danych w obszarze roboczym. |
| Microsoft.Insights/workbooks/read | Odczytywanie skoroszytu |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Resources/templateSpecs/*/read | Pobieranie lub wyświetlanie specyfikacji szablonu i specyfikacji szablonu |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Obiekt odpowiadający usługi Microsoft Sentinel
Obiekt odpowiadający usługi Microsoft Sentinel
| Akcje | opis |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Sprawdzanie autoryzacji i licencji użytkownika |
| Microsoft.SecurityInsights/automationRules/* | |
| Microsoft.SecurityInsights/cases/* | |
| Microsoft.SecurityInsights/incidents/* | |
| Microsoft.SecurityInsights/entities/runPlaybook/action | Uruchamianie podręcznika w jednostce |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Dołączanie tagów do wskaźnika analizy zagrożeń |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Wskaźniki analizy zagrożeń zapytań |
| Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | Analiza zagrożeń tagów zbiorczych |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Dołączanie tagów do wskaźnika analizy zagrożeń |
| Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | Zastępowanie tagów wskaźnika analizy zagrożeń |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Wskaźniki analizy zagrożeń zapytań |
| Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | Cofa akcję |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Wyszukiwanie przy użyciu nowego aparatu. |
| Microsoft.OperationalInsights/workspaces/*/read | Wyświetlanie danych usługi Log Analytics |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Pobierz źródło danych w obszarze roboczym. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Pobiera zapisane zapytanie wyszukiwania. |
| Microsoft.OperationsManagement/solutions/read | Uzyskiwanie istniejącego rozwiązania pakietu OMS |
| Microsoft.OperationalInsights/workspaces/query/read | Uruchamianie zapytań względem danych w obszarze roboczym |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Pobierz źródło danych w obszarze roboczym. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/read | Odczytywanie skoroszytu |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| Microsoft.SecurityInsights/cases/*/Delete | |
| Microsoft.SecurityInsights/incidents/*/Delete | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator zabezpieczeń
Wyświetlanie i aktualizowanie uprawnień dla Microsoft Defender dla Chmury. Te same uprawnienia co rola Czytelnik zabezpieczeń, a także mogą aktualizować zasady zabezpieczeń i odrzucać alerty i zalecenia.
Aby uzyskać informacje na temat usługi Microsoft Defender dla IoT, zobacz Role użytkowników platformy Azure dla monitorowania ot i przedsiębiorstwa IoT.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Authorization/policyAssignments/* | Tworzenie przypisań zasad i zarządzanie nimi |
| Microsoft.Authorization/policyDefinitions/* | Tworzenie definicji zasad i zarządzanie nimi |
| Microsoft.Authorization/policyExemptions/* | Tworzenie wykluczeń zasad i zarządzanie nimi |
| Microsoft.Authorization/policySetDefinitions/* | Tworzenie zestawów zasad i zarządzanie nimi |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Management/managementGroups/read | Wyświetlanie listy grup zarządzania dla uwierzytelnioowanego użytkownika. |
| Microsoft.operationalInsights/workspaces/*/read | Wyświetlanie danych usługi Log Analytics |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Security/* | Tworzenie składników i zasad zabezpieczeń i zarządzanie nimi |
| Microsoft.IoTSecurity/* | |
| Microsoft.IoTFirmwareDefense/* | |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor oceny zabezpieczeń
Umożliwia wypychanie ocen do Microsoft Defender dla Chmury
| Akcje | opis |
|---|---|
| Microsoft.Security/assessments/write | Tworzenie lub aktualizowanie ocen zabezpieczeń w ramach subskrypcji |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Menedżer zabezpieczeń (starsza wersja)
Jest to starsza rola. Zamiast tego użyj administratora zabezpieczeń.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.ClassicCompute/*/read | Odczytywanie informacji o konfiguracji klasycznych maszyn wirtualnych |
| Microsoft.ClassicCompute/virtualMachines/*/write | Konfiguracja zapisu dla klasycznych maszyn wirtualnych |
| Microsoft.ClassicNetwork/*/read | Przeczytaj informacje o konfiguracji dotyczące sieci klasycznej |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.ResourceHealth/availabilityStatuses/read | Pobiera stany dostępności dla wszystkich zasobów w określonym zakresie |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Security/* | Tworzenie składników i zasad zabezpieczeń i zarządzanie nimi |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik zabezpieczeń
Wyświetlanie uprawnień dla Microsoft Defender dla Chmury. Może wyświetlać zalecenia, alerty, zasady zabezpieczeń i stany zabezpieczeń, ale nie może wprowadzać zmian.
Aby uzyskać informacje na temat usługi Microsoft Defender dla IoT, zobacz Role użytkowników platformy Azure dla monitorowania ot i przedsiębiorstwa IoT.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/read | Odczytywanie alertu dotyczącego metryki klasycznej |
| Microsoft.operationalInsights/workspaces/*/read | Wyświetlanie danych usługi Log Analytics |
| Microsoft.Resources/deployments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Security/*/read | Odczytywanie składników i zasad zabezpieczeń |
| Microsoft.IoTSecurity/*/read | |
| Microsoft.Support/*/read | |
| Microsoft.Security/iotDefenderSettings/packageDownloads/action | Pobiera informacje o pakietach usługi IoT Defender |
| Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | Pobieranie pliku aktywacji menedżera z danymi limitu przydziału subskrypcji |
| Microsoft.Security/iotSensors/downloadResetPassword/action | Pobieranie pliku resetowania hasła dla czujników IoT |
| Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | Pobiera informacje o pakietach usługi IoT Defender |
| Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | Plik aktywacji menedżera pobierania |
| Microsoft.Management/managementGroups/read | Wyświetlanie listy grup zarządzania dla uwierzytelnioowanego użytkownika. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}