Wymaganie dotyczące uprawnień dla łącznika usługi

Łącznik usługi tworzy połączenia między usługami platformy Azure przy użyciu tokenu w imieniu. Utworzenie połączenia z określonym zasobem platformy Azure wymaga odpowiednich uprawnień.

App Service

Akcja	opis
Microsoft.Web/sites/config/write	Aktualizowanie ustawień konfiguracji aplikacji internetowej
Microsoft.web/sites/config/delete	Usuń konfigurację usługi Web Apps.
Microsoft.Web/sites/config/list/action	Wyświetlanie listy ustawień poufnych zabezpieczeń aplikacji internetowej, takich jak poświadczenia publikowania, ustawienia aplikacji i parametry połączenia
Microsoft.Web/sites/config/Read	Pobieranie ustawień konfiguracji aplikacji internetowej
Microsoft.Web/sites/write	Tworzenie nowej aplikacji internetowej lub aktualizowanie istniejącej aplikacji
Microsoft.Web/sites/read	Pobieranie właściwości aplikacji internetowej

Miejsce aplikacji internetowej

Akcja	opis
Microsoft.Web/sites/slots/Write	Tworzenie nowego miejsca aplikacji internetowej lub aktualizowanie istniejącego miejsca
Microsoft.Web/sites/slots/Read	Pobieranie właściwości miejsca wdrożenia aplikacji internetowej
Microsoft.Web/sites/slots/config/Read	Pobieranie ustawień konfiguracji miejsca aplikacji internetowej
Microsoft.Web/sites/slots/config/Write	Aktualizowanie ustawień konfiguracji miejsca aplikacji internetowej
microsoft.web/sites/slots/config/delete	Usuń konfigurację miejsc usługi Web Apps.
Microsoft.Web/sites/slots/config/list/Action	Wyświetlanie listy ustawień poufnych zabezpieczeń miejsca aplikacji internetowej, takich jak poświadczenia publikowania, ustawienia aplikacji i parametry połączenia

Azure Spring App

Akcja	opis
Microsoft.AppPlatform/Spring/read	Pobieranie wystąpień usługi Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read	Pobieranie aplikacji dla określonego wystąpienia usługi Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/write	Tworzenie lub aktualizowanie aplikacji dla określonego wystąpienia usługi Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/deployments/*/read	Pobieranie wdrożeń dla określonej aplikacji
Microsoft.AppPlatform/Spring/apps/deployments/*/write	Tworzenie lub aktualizowanie wdrożenia dla określonej aplikacji
Microsoft.AppPlatform/Spring/apps/deployments/*/delete	Usuwanie wdrożenia dla określonej aplikacji

Azure Container Apps

Akcja	opis
Microsoft.App/containerApps/read	Pobieranie aplikacji kontenera
Microsoft.App/containerApps/write	Tworzenie lub aktualizowanie aplikacji kontenera
Microsoft.App/containerApps/listsecrets/action	Wyświetlanie listy wpisów tajnych aplikacji kontenera
Microsoft.App/managedEnvironments/read	Uzyskiwanie środowiska zarządzanego
Microsoft.App/locations/managedEnvironmentOperationStatuses/read	Uzyskiwanie stanu długotrwałej operacji środowiska zarządzanego
microsoft.app/locations/containerappoperationstatuses/read	Uzyskiwanie stanu długotrwałej operacji aplikacji kontenera
microsoft.app/locations/containerappoperationresults/read	Uzyskiwanie wyniku długotrwałej operacji aplikacji kontenera
microsoft.app/locations/managedenvironmentoperationresults/read	Uzyskiwanie wyniku długotrwałego działania środowiska zarządzanego

Dapr w usłudze Azure Container Apps

Akcja	opis
Microsoft.App/managedEnvironments/daprComponents/read	Odczytywanie składnika Dapr środowiska zarządzanego
Microsoft.App/managedEnvironments/daprComponents/write	Tworzenie lub aktualizowanie składnika dapr środowiska zarządzanego
Microsoft.App/managedEnvironments/daprComponents/delete	Usuwanie składnika Dapr środowiska zarządzanego

Azure Cache for Redis

Akcja	opis
Microsoft.Cache/redis/read	Wyświetlanie ustawień i konfiguracji usługi Redis Cache w portalu zarządzania
Microsoft.Cache/redis/firewallRules/read	Pobieranie reguł zapory adresów IP pamięci podręcznej Redis Cache
Microsoft.Cache/redis/firewallRules/write	Edytowanie reguł zapory adresów IP pamięci podręcznej Redis Cache
Microsoft.Cache/redis/firewallRules/delete	Usuwanie reguł zapory adresów IP pamięci podręcznej Redis Cache
Microsoft.Cache/redis/listKeys/action	Wyświetlanie wartości kluczy dostępu usługi Redis Cache w portalu zarządzania

Azure Cache for Redis Enterprise

Akcja	opis
Microsoft.Cache/redisEnterprise/read	Wyświetlanie ustawień i konfiguracji pamięci podręcznej Redis Enterprise Cache w portalu zarządzania
Microsoft.Cache/redisEnterprise/databases/read	Wyświetlanie ustawień i konfiguracji bazy danych redis Enterprise Cache w portalu zarządzania
Microsoft.Cache/redisEnterprise/databases/listKeys/action	Wyświetlanie wartości kluczy dostępu bazy danych Redis Enterprise w portalu zarządzania

Azure Database for PostgreSQL

Azure Database for PostgreSQL

Akcja	opis
Microsoft.DBforPostgreSQL/servers/firewallRules/read	Zwróć listę reguł zapory dla serwera lub pobierze właściwości określonej reguły zapory.
Microsoft.DBforPostgreSQL/servers/firewallRules/write	Tworzy regułę zapory z określonymi parametrami lub aktualizuje istniejącą regułę.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete	Usuwa istniejącą regułę zapory.
Microsoft.DBForPostgreSQL/servers/read	Zwróć listę serwerów lub pobiera właściwości określonego serwera.
Microsoft.DBForPostgreSQL/servers/databases/read	Zwróć listę baz danych PostgreSQL lub pobierze właściwości dla określonej bazy danych.
Microsoft.DBforPostgreSQL/servers/write	Tworzy serwer z określonymi parametrami lub aktualizuje właściwości lub tagi dla określonego serwera.

Azure Database for PostgreSQL (punkt końcowy usługi)

Akcja	opis
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read	Zwraca listę reguł sieci wirtualnej lub pobiera właściwości określonej reguły sieci wirtualnej.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write	Tworzy regułę sieci wirtualnej z określonymi parametrami lub zaktualizuje właściwości lub tagi dla określonej reguły sieci wirtualnej.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete	Usuwa istniejącą regułę sieci wirtualnej

Serwery — Azure Database for PostgreSQL — serwer elastyczny

Akcja	opis
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read	Zwróć listę reguł zapory dla serwera lub pobierze właściwości określonej reguły zapory.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write	Tworzy regułę zapory z określonymi parametrami lub aktualizuje istniejącą regułę.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete	Usuwa istniejącą regułę zapory.
Microsoft.DBForPostgreSQL/flexibleServers/read	Zwróć listę serwerów lub pobiera właściwości określonego serwera.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read	Zwraca listę baz danych serwera PostgreSQL lub pobiera bazę danych dla określonego serwera.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read	Zwraca listę konfiguracji serwera PostgreSQL lub pobiera konfiguracje dla określonego serwera.

Azure Database for MySQL

Akcja	opis
Microsoft.DBforMySQL/servers/firewallRules/read	Zwróć listę reguł zapory dla serwera lub pobierze właściwości określonej reguły zapory.
Microsoft.DBforMySQL/servers/firewallRules/write	Tworzy regułę zapory z określonymi parametrami lub aktualizuje istniejącą regułę.
Microsoft.DBforMySQL/servers/firewallRules/delete	Usuwa istniejącą regułę zapory.
Microsoft.DBforMySQL/servers/read	Zwróć listę serwerów lub pobiera właściwości określonego serwera.
Microsoft.DBforMySQL/servers/databases/read	Zwróć listę baz danych MySQL lub pobierz właściwości dla określonej bazy danych.
Microsoft.DBforMySQL/servers/write	Tworzy serwer z określonymi parametrami lub aktualizuje właściwości lub tagi dla określonego serwera.

Azure Database for MySQL (punkt końcowy usługi)

Akcja	opis
Microsoft.DBforMySQL/servers/virtualNetworkRules/read	Zwraca listę reguł sieci wirtualnej lub pobiera właściwości określonej reguły sieci wirtualnej.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write	Tworzy regułę sieci wirtualnej z określonymi parametrami lub zaktualizuje właściwości lub tagi dla określonej reguły sieci wirtualnej.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete	Usuwa istniejącą regułę sieci wirtualnej

Azure Database for MySQL — serwer elastyczny

Akcja	opis
Microsoft.DBforMySQL/flexibleServers/firewallRules/read	Zwraca listę reguł zapory dla serwera lub pobiera właściwości określonej reguły zapory.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write	Tworzy regułę zapory z określonymi parametrami lub aktualizuje istniejącą regułę.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete	Usuwa istniejącą regułę zapory.
Microsoft.DBforMySQL/flexibleServers/read	Zwraca listę serwerów lub pobiera właściwości określonego serwera.
Microsoft.DBforMySQL/flexibleServers/databases/read	Zwraca listę baz danych dla serwera lub pobiera właściwości określonej bazy danych.
Microsoft.DBforMySQL/flexibleServers/configurations/read	Zwraca listę konfiguracji serwera MySQL lub pobiera konfiguracje dla określonego serwera.

Azure App Configuration

Akcja	opis
Microsoft.AppConfiguration/configurationStores/ListKeys/action	Wyświetla listę kluczy interfejsu API dla określonego magazynu konfiguracji.
Microsoft.AppConfiguration/configurationStores/read	Pobiera właściwości określonego magazynu konfiguracji lub wyświetla listę wszystkich magazynów konfiguracji w ramach określonej grupy zasobów lub subskrypcji.

Azure Event Hubs

Akcja	opis
Microsoft.EventHub/namespaces/read	Pobieranie listy opisów zasobów przestrzeni nazw
Microsoft.EventHub/namespaces/ipFilterRules/read	Pobieranie zasobu filtru adresów IP
Microsoft.EventHub/namespaces/ipFilterRules/write	Tworzenie zasobu filtru adresów IP
Microsoft.EventHub/namespaces/ipFilterRules/delete	Usuwanie zasobu filtru adresów IP
Microsoft.EventHub/namespaces/networkrulesets/read	Pobiera zasób NetworkRuleSet
Microsoft.EventHub/namespaces/networkrulesets/write	Tworzenie zasobu reguły sieci wirtualnej
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action	Pobieranie parametrów połączenia z przestrzenią nazw

Azure Service Bus

Akcja	opis
Microsoft.ServiceBus/namespaces/read	Pobieranie listy opisów zasobów przestrzeni nazw
Microsoft.ServiceBus/namespaces/ipFilterRules/read	Pobieranie zasobu filtru adresów IP
Microsoft.ServiceBus/namespaces/ipFilterRules/write	Tworzenie zasobu filtru adresów IP
Microsoft.ServiceBus/namespaces/ipFilterRules/delete	Usuwanie zasobu filtru adresów IP
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action	Pobieranie parametrów połączenia z przestrzenią nazw
Microsoft.ServiceBus/namespaces/networkrulesets/read	Pobiera zasób NetworkRuleSet
Microsoft.ServiceBus/namespaces/networkrulesets/write	Tworzenie zasobu reguły sieci wirtualnej

Azure Blob Storage

Akcja	opis
Microsoft.Storage/storageAccounts/read	Zwraca listę kont magazynu lub pobiera właściwości dla określonego konta magazynu.
Microsoft.Storage/storageAccounts/write	Tworzy konto magazynu z określonymi parametrami lub aktualizuje właściwości lub tagi albo dodaje domenę niestandardową dla określonego konta magazynu.
Microsoft.Storage/storageAccounts/listkeys/action	Zwraca klucze dostępu dla określonego konta magazynu.

Azure SignalR Service

Akcja	opis
Microsoft.SignalRService/SignalR/read	Wyświetlanie ustawień i konfiguracji usługi SignalR w portalu zarządzania lub za pośrednictwem interfejsu API
Microsoft.SignalRService/SignalR/write	Modyfikowanie ustawień i konfiguracji usługi SignalR w portalu zarządzania lub za pomocą interfejsu API
Microsoft.SignalRService/locations/operationresults/signalr/read	Wykonywanie zapytań względem wyniku operacji asynchronicznej opartej na lokalizacji
Microsoft.SignalRService/locations/operationStatuses/signalr/read	Wykonywanie zapytań o stan operacji asynchronicznej opartej na lokalizacji
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action	Wyświetlanie wartości kluczy dostępu usługi SignalR w portalu zarządzania lub za pośrednictwem interfejsu API

Usługa Azure Web PubSub

Akcja	opis
Microsoft.SignalRService/WebPubSub/read	Wyświetlanie ustawień i konfiguracji webPubSub w portalu zarządzania lub za pośrednictwem interfejsu API
Microsoft.SignalRService/WebPubSub/write	Modyfikowanie ustawień i konfiguracji webPubSub w portalu zarządzania lub za pomocą interfejsu API
Microsoft.SignalRService/locations/operationresults/webpubsub/read	Wykonywanie zapytań względem wyniku operacji asynchronicznej opartej na lokalizacji
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read	Wykonywanie zapytań o stan operacji asynchronicznej opartej na lokalizacji
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read	Wyświetlanie wartości kluczy dostępu WebPubSub w portalu zarządzania lub za pośrednictwem interfejsu API
Microsoft.SignalRService/WebPubSub/listkeys/action	Wyświetlanie wartości kluczy dostępu WebPubSub w portalu zarządzania lub za pośrednictwem interfejsu API

Azure Cosmos DB

Ostrzeżenie

Firma Microsoft zaleca korzystanie z najbezpieczniejszego dostępnego przepływu uwierzytelniania. Przepływ uwierzytelniania opisany w tej procedurze wymaga bardzo wysokiego poziomu zaufania w aplikacji i niesie ze sobą ryzyko, które nie występują w innych przepływach. Tego przepływu należy używać tylko wtedy, gdy inne bezpieczniejsze przepływy, takie jak tożsamości zarządzane, nie są opłacalne.

Akcja	opis
Microsoft.DocumentDB/databaseAccounts/read	Odczytuje konto bazy danych.
Microsoft.DocumentDB/databaseAccounts/write	Aktualizowanie kont bazy danych.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action	Pobieranie parametry połączenia dla konta bazy danych
Microsoft.DocumentDB/databaseAccounts/listKeys/action	Wyświetlanie listy kluczy konta bazy danych

Azure SQL Database

Akcja	opis
Microsoft.Sql/servers/firewallRules/read	Zwróć listę reguł zapory serwera lub pobiera właściwości dla określonej reguły zapory serwera.
Microsoft.Sql/servers/firewallRules/write	Tworzy regułę zapory serwera z określonymi parametrami, zaktualizuj właściwości określonej reguły lub zastąp wszystkie istniejące reguły nowymi regułami zapory serwera.
Microsoft.Sql/servers/firewallRules/delete	Usuwa istniejącą regułę zapory serwera.
Microsoft.Sql/servers/databases/read	Zwraca listę baz danych lub pobiera właściwości dla określonej bazy danych.
Microsoft.Sql/servers/read	Zwróć listę serwerów lub pobiera właściwości określonego serwera.
Microsoft.Sql/servers/virtualNetworkRules/read	Zwraca listę reguł sieci wirtualnej lub pobiera właściwości określonej reguły sieci wirtualnej.
Microsoft.Sql/servers/virtualNetworkRules/write	Tworzy regułę sieci wirtualnej z określonymi parametrami lub zaktualizuje właściwości lub tagi dla określonej reguły sieci wirtualnej.
Microsoft.Sql/servers/virtualNetworkRules/delete	Usuwa istniejącą regułę sieci wirtualnej

Azure Key Vault

Akcja	opis
Microsoft.KeyVault/vaults/write	Tworzy nowy magazyn kluczy lub aktualizuje właściwości istniejącego magazynu kluczy. Niektóre właściwości mogą wymagać większej liczby uprawnień.
Microsoft.KeyVault/vaults/read	Wyświetlanie właściwości magazynu kluczy
Microsoft.KeyVault/vaults/secrets/write	Tworzy nowy wpis tajny lub aktualizuje wartość istniejącego wpisu tajnego.
Microsoft.KeyVault/vaults/accessPolicies/write	Aktualizuje istniejące zasady dostępu przez scalenie lub zastąpienie lub dodanie nowych zasad dostępu do magazynu kluczy.

Azure Cosmos DB

Akcja	opis
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read	Odczytywanie definicji roli SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write	Tworzenie lub aktualizowanie definicji roli SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete	Usuwanie przypisania roli SQL

Tożsamość zarządzana/połączenie powiązane z jednostką usługi

Łącznik usługi może wymagać udzielenia uprawnień tożsamości zarządzanej lub jednostki usługi, jeśli zostanie utworzone połączenie z tymi jako typami uwierzytelniania. W poniższej tabeli wymieniono wymagania dotyczące uprawnień do tworzenia połączenia w tym scenariuszu.

Akcja	opis
Microsoft.Authorization/roleAssignments/read	Uzyskaj informacje o przypisaniu roli.
Microsoft.Authorization/roleAssignments/write	Utwórz przypisanie roli w określonym zakresie.
Microsoft.Authorization/roleAssignments/delete	Usuń przypisanie roli w określonym zakresie.

Połączenie tożsamości zarządzanych przypisanych przez użytkownika

Łącznik usługi może wymagać udzielenia uprawnień tożsamości zarządzanej przypisanej przez użytkownika, jeśli zostanie utworzone połączenie z nim jako typ uwierzytelniania. W poniższej tabeli wymieniono wymagania dotyczące uprawnień do tworzenia połączenia w tym scenariuszu.

Akcja	opis
Microsoft.ManagedIdentity/userAssignedIdentities/read	Pobiera istniejącą tożsamość przypisaną przez użytkownika
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action	Akcja RBAC umożliwiająca przypisanie istniejącej tożsamości przypisanej przez użytkownika do zasobu
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read	Pobieranie lub wyświetlanie listy poświadczeń tożsamości federacyjnej
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write	Dodawanie lub aktualizowanie poświadczeń tożsamości federacyjnej
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete	Usuwanie poświadczeń tożsamości federacyjnej

Uprawnienie związane z prywatnym punktem końcowym/punktem końcowym usługi

Łącznik usługi może wymagać udzielenia uprawnień tożsamości, jeśli połączenie zostało utworzone za pomocą prywatnego punktu końcowego lub punktu końcowego usługi jako rozwiązania sieciowego. W poniższej tabeli wymieniono wymagania dotyczące uprawnień do tworzenia połączenia w tym scenariuszu.

Akcja	opis
Microsoft.Network/publicIPAddresses/read	Pobiera definicję publicznego adresu IP.
Microsoft.Network/virtualNetworks/subnets/read	Pobiera definicję podsieci sieci wirtualnej
Microsoft.Network/virtualNetworks/subnets/write	Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej
Microsoft.Network/privateEndpoints/read	Pobiera zasób prywatnego punktu końcowego.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action	Dołącza do podsieci zasób, taki jak konto magazynu lub baza danych SQL. Nie można otrzymywać alertów.
Microsoft.Network/networkSecurityGroups/join/action	Dołącza do sieciowej grupy zabezpieczeń. Nie można otrzymywać alertów.
Microsoft.Network/serviceEndpointPolicies/join/action	Dołącza do zasad punktu końcowego usługi. Nie można otrzymywać alertów.
Microsoft.Network/natGateways/join/action	Dołącza do bramy translatora adresów sieciowych
Microsoft.Network/networkIntentPolicies/join/action	Dołącza do zasad intencji sieci. Nie można otrzymywać alertów.
Microsoft.Network/networkSecurityGroups/join/action	Dołącza do sieciowej grupy zabezpieczeń. Nie można otrzymywać alertów.
Microsoft.Network/routeTables/join/action	Łączy tabelę tras. Nie można otrzymywać alertów.

Wysoka dostępność