Funções internas do Azure para Segurança
Este artigo lista as funções internas do Azure na categoria Segurança.
Administrador de Automação de Conformidade de Aplicativos
Permite criar, ler, baixar, modificar e excluir relatórios e outros objetos de recursos relacionados.
| Ações | Descrição |
|---|---|
| Microsoft.AppComplianceAutomation/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | Retornar o resultado da inserção de propriedades do serviço blob |
| Microsoft.Storage/storageAccounts/fileservices/write | Colocar as propriedades do serviço de arquivo |
| Microsoft.Storage/storageAccounts/listKeys/action | Retornar as chaves de acesso da conta de armazenamento especificada. |
| Microsoft.Storage/storageAccounts/write | Criar uma conta de armazenamento com os parâmetros especificados, atualizar as propriedades ou marcas ou adicionar um domínio personalizado à conta de armazenamento especificada. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Retorna uma chave de delegação de usuário para o serviço Blob |
| Microsoft.Storage/storageAccounts/read | Retornar a lista de contas de armazenamento ou obter as propriedades da conta de armazenamento especificada. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Retorna a lista de contêineres |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Retorna o resultado do contêiner de put blob |
| Microsoft.Storage/storageAccounts/blobServices/read | Retornar propriedades ou estatísticas do serviço blob |
| Microsoft.PolicyInsights/policyStates/queryResults/action | Consulta informações sobre estados de política. |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | Dispara uma nova avaliação de conformidade para o escopo selecionado. |
| Microsoft.Resources/resources/read | Obter a lista de recursos com base em filtros. |
| Microsoft.Resources/subscriptions/read | Obter a lista de assinaturas. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | Obter os recursos do grupo de recursos. |
| Microsoft.Resources/subscriptions/resources/read | Obter os recursos de uma assinatura. |
| Microsoft.Resources/subscriptions/resourceGroups/delete | Excluir um grupo de recursos e todos os seus recursos. |
| Microsoft.Resources/subscriptions/resourceGroups/write | Criar ou atualizar um grupo de recursos. |
| Microsoft.Resources/tags/read | Obtém todas as marcas em um recurso. |
| Microsoft.Resources/deployments/validate/action | Validar uma implantação. |
| Microsoft.Security/automations/read | Obtém as automações para o escopo |
| Microsoft.Resources/deployments/write | Criar ou atualizar uma implantação. |
| Microsoft.Security/automações/excluir | Exclui a automação para o escopo |
| Microsoft.Security/automations/write | Cria ou atualiza a automação para o escopo |
| Microsoft.Security/register/action | Registrar a assinatura da Central de Segurança do Azure |
| Microsoft.Security/unregister/action | Cancelar a assinatura da Central de Segurança do Azure |
| */leitura | Ler recursos de todos os tipos, exceto segredos. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de Automação de Conformidade de Aplicativos
Permite ler e baixar relatórios e outros objetos de recursos relacionados.
| Ações | Descrição |
|---|---|
| */leitura | Ler recursos de todos os tipos, exceto segredos. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do Atestado
Pode ler, gravar ou excluir a instância do provedor de atestado.
| Ações | Descrição |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | Obtém o status do serviço de atestado. |
| Microsoft.Attestation/attestationProviders/attestation/write | Adiciona serviço de atestado. |
| Microsoft.Attestation/attestationProviders/attestation/delete | Remove o serviço de atestado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor do Atestado
Pode ler as propriedades do provedor de atestado.
| Ações | Descrição |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | Obtém o status do serviço de atestado. |
| Microsoft.Attestation/attestationProviders/read | Obtém o status do serviço de atestado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador do Key Vault
Executa todas as operações do plano de dados em um cofre de chaves e em todos os objetos nele, incluindo certificados, chaves e segredos. Não pode gerenciar os recursos do Key Vault nem gerenciar atribuições de função. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário de certificado do Key Vault
Permite ler conteúdos de certificados. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/cofres/certificados/leitura | Liste certificados em um cofre de chaves especificado ou obtenha informações sobre um certificado. |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Obtém o valor de um segredo. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não o seu valor. |
| Microsoft.KeyVault/vaults/keys/read | Listar chaves no cofre especificado ou ler propriedades e materiais públicos de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. Chaves privadas e chaves simétricas nunca são expostas. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Responsável pelos certificados do Key Vault
Execute qualquer ação nos certificados de um Key Vault, exceto gerenciar permissões. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | Gerenciar o Contato do Certificado |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do Key Vault
Gerencie os cofres de chaves; no entanto, você não pode atribuir funções no Azure RBAC e acessar segredos, chaves ou certificados.
Importante
Ao usar o modelo de permissão Política de Acesso, um usuário com o Contributor, Key Vault Contributorou qualquer outra função que inclua Microsoft.KeyVault/vaults/write permissões para o plano de gerenciamento do Key Vault pode conceder a si mesmo acesso ao plano de dados definindo uma política de acesso do Key Vault. Para impedir o acesso e o gerenciamento não autorizados de seus cofres de chaves, chaves, segredos e certificados, é essencial limitar o acesso da função Colaborador aos cofres de chaves no modelo de permissão Política de Acesso. Para mitigar esse risco, recomendamos que você use o modelo de permissão RBAC (Controle de Acesso Baseado em Função), que restringe o gerenciamento de permissões às funções 'Proprietário' e 'Administrador de Acesso do Usuário', permitindo uma separação clara entre operações de segurança e tarefas administrativas. Consulte o Guia do RBAC do Key Vault e O que é o RBAC do Azure? para obter mais informações.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | Limpar um cofre de chaves com exclusão reversível |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Responsável pela criptografia do Key Vault
Executa qualquer ação nas chaves de um Key Vault, exceto gerenciar permissões. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário de criptografia do serviço de criptografia do Key Vault
Lê metadados de chaves e executa operações de quebra de linha/cancelamento de quebra de linha. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | Criar ou atualizar um eventSubscription |
| Microsoft.EventGrid/eventSubscriptions/read | Ler um eventSubscription |
| Microsoft.EventGrid/eventSubscriptions/delete | Excluir uma eventSubscription |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | Listar chaves no cofre especificado ou ler propriedades e materiais públicos de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. Chaves privadas e chaves simétricas nunca são expostas. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Encapsula uma chave simétrica com uma chave do Key Vault. Observe que, se a chave do Key Vault for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Desencapsula uma chave simétrica com uma chave do Key Vault. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário da versão do Serviço Key Vault Crypto
Autoriza a liberação de chaves. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/cofres/chaves/liberação/ação | Libera uma chave usando a parte pública de KEK do token de atestado. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário de criptografia do Key Vault
Executa operações criptográficas com chaves. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | Listar chaves no cofre especificado ou ler propriedades e materiais públicos de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. Chaves privadas e chaves simétricas nunca são expostas. |
| Microsoft.KeyVault/vaults/keys/update/action | Atualiza os atributos especificados associados à chave determinada. |
| Microsoft.KeyVault/vaults/keys/backup/action | Cria o arquivo de backup de uma chave. O arquivo pode ser usado para restaurar a chave em um cofre de chaves da mesma assinatura. Pode haver restrições. |
| Microsoft.KeyVault/vaults/keys/encrypt/action | Criptografa texto sem formatação com uma chave. Observe que, se a chave for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | Descriptografa o texto cifrado com uma chave. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Encapsula uma chave simétrica com uma chave do Key Vault. Observe que, se a chave do Key Vault for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Desencapsula uma chave simétrica com uma chave do Key Vault. |
| Microsoft.KeyVault/vaults/keys/sign/action | Assina um resumo da mensagem (hash) com uma chave. |
| Microsoft.KeyVault/vaults/keys/verify/action | Verifica a assinatura de um resumo de mensagem (hash) com uma chave. Observe que, se a chave for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Acesso a Dados do Key Vault
Gerencie o acesso ao Azure Key Vault ao adicionar ou remover atribuições de função para o Administrador do Key Vault, o Diretor de Certificados do Key Vault, o Usuário de Criptografia do Serviço Criptográfico do Key Vault, o Usuário de Criptografia do Key Vault, o Leitor do Key Vault, o Key Vault Secrets Officer ou as funções de usuário de segredos do Key Vault. Inclui uma condição ABAC para restringir atribuições de função.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Criar uma atribuição de função no escopo especificado. |
| Microsoft.Authorization/roleAssignments/delete | Exclua uma atribuição de função no escopo especificado. |
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Resources/subscriptions/read | Obter a lista de assinaturas. |
| Microsoft.Management/managementGroups/read | Listar grupos de gerenciamento para o usuário autenticado. |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Condição | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OU (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:[Microsoft.Authorization/roleAssignments:RoleDefinitionId] GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65b f6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) E ((! ( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Adicione ou remova atribuições de função para as seguintes funções: Administrador do Key Vault Responsável pelos Certificados do Key Vault Responsável pela Criptografia do Key Vault Usuário do serviço de criptografia do Key Vault Usuário de Criptografia do Key Vault Leitor do Key Vault Responsável pelos Segredos do Key Vault Usuário de Segredos do Key Vault |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor do Key Vault
Lê metadados de Key Vaults de seus certificados, chaves e segredos. Não é possível ler valores confidenciais, como conteúdo secreto ou material de chave. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não o seu valor. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Responsável pelos segredos do Key Vault
Executa qualquer ação nos segredos de um Key Vault, exceto gerenciar permissões. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário de segredos do Key Vault
Lê conteúdo secreto. Trabalha apenas para Key Vaults que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Obtém o valor de um segredo. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não o seu valor. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do HSM Gerenciado
Permite gerenciar os pools do HSM gerenciado, mas não o acesso a eles.
| Ações | Descrição |
|---|---|
| Microsoft.KeyVault/managedHSMs/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | Exibir as propriedades de um HSM gerenciado excluído |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | Exibir as propriedades de um HSM gerenciado excluído |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Limpar um HSM gerenciado excluído de modo reversível |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | Verificar o resultado de uma operação de longo prazo |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador de automação do Microsoft Sentinel
Colaborador de automação do Microsoft Sentinel
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Logic/workflows/triggers/read | Ler o gatilho. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Obter a URL de retorno de chamada do gatilho. |
| Microsoft.Logic/workflows/runs/read | Ler a execução do fluxo de trabalho. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Lista os gatilhos de fluxo de trabalho de Hostruntime de aplicativos Web. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obtém o URI dos gatilhos de fluxo de trabalho de Hostruntime de aplicativos Web. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Lista as execuções de fluxo de trabalho de Hostruntime de aplicativos Web. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do Microsoft Sentinel
Colaborador do Microsoft Sentinel
| Ações | Descrição |
|---|---|
| Microsoft.SecurityInsights/* | |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Pesquisar usando o novo mecanismo. |
| Microsoft.OperationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | |
| Microsoft.OperationsManagement/solutions/read | Obtenha a solução de OMS existente |
| Microsoft.OperationalInsights/workspaces/query/read | Executar consultas dos dados no workspace |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um workspace. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/* | |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operador de Guia Estratégico do Microsoft Sentinel
Operador de Guia Estratégico do Microsoft Sentinel
| Ações | Descrição |
|---|---|
| Microsoft.Logic/workflows/read | Ler o fluxo de trabalho. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Obter a URL de retorno de chamada do gatilho. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obtém o URI dos gatilhos de fluxo de trabalho de Hostruntime de aplicativos Web. |
| Microsoft.Web/sites/read | Obter as propriedades de um aplicativo Web |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor do Microsoft Sentinel
Leitor do Microsoft Sentinel
| Ações | Descrição |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Verificar a autorização e a licença do usuário |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Consultar indicadores de inteligência contra ameaças |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Consultar indicadores de inteligência contra ameaças |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Pesquisar usando o novo mecanismo. |
| Microsoft.OperationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft.OperationalInsights/workspaces/LinkedServices/read | Obter serviços vinculados em um determinado workspace. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Obtém uma consulta de pesquisa salva. |
| Microsoft.OperationsManagement/solutions/read | Obtenha a solução de OMS existente |
| Microsoft.OperationalInsights/workspaces/query/read | Executar consultas dos dados no workspace |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um workspace. |
| Microsoft.Insights/workbooks/read | Ler uma pasta de trabalho |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Resources/templateSpecs/*/read | Obter ou listar especificações de modelo e versões de especificação de modelo |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Respondente do Microsoft Sentinel
Respondente do Microsoft Sentinel
| Ações | Descrição |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Verificar a autorização e a licença do usuário |
| Microsoft.SecurityInsights/automationRules/* | |
| Microsoft.SecurityInsights/cases/* | |
| Microsoft.SecurityInsights/incidents/* | |
| Microsoft.SecurityInsights/entities/runPlaybook/action | Executar playbook na entidade |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Acrescentar marcas ao indicador de inteligência contra ameaças |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Consultar indicadores de inteligência contra ameaças |
| Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | Inteligência contra ameaças com marcas em massa |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Acrescentar marcas ao indicador de inteligência contra ameaças |
| Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | Substituir marcas do indicador de inteligência contra ameaças |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Consultar indicadores de inteligência contra ameaças |
| Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | Desfaz uma ação |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Pesquisar usando o novo mecanismo. |
| Microsoft.OperationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um workspace. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Obtém uma consulta de pesquisa salva. |
| Microsoft.OperationsManagement/solutions/read | Obtenha a solução de OMS existente |
| Microsoft.OperationalInsights/workspaces/query/read | Executar consultas dos dados no workspace |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um workspace. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/read | Ler uma pasta de trabalho |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| Microsoft.SecurityInsights/cases/*/Delete | |
| Microsoft.SecurityInsights/incidents/*/Delete | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Segurança
Exibir e atualizar permissões para o Microsoft Defender para Nuvem. Mesmas permissões que a função de leitor de segurança e também podem atualizar a política de segurança e ignorar alertas e recomendações.
Para o Microsoft Defender para IoT, confira Funções de usuário do Azure para monitoramento de OT e Enterprise IoT.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Authorization/policyAssignments/* | Criar e gerenciar atribuições de política |
| Microsoft.Authorization/policyDefinitions/* | Criar e gerenciar definições de política |
| Microsoft.Authorization/policyExemptions/* | Criar e gerenciar exceções da política |
| Microsoft.Authorization/policySetDefinitions/* | Criar e gerenciar conjuntos de política |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Management/managementGroups/read | Listar grupos de gerenciamento para o usuário autenticado. |
| Microsoft.operationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Security/* | Criar e gerenciar políticas e componentes de segurança |
| Microsoft.IoTSecurity/* | |
| Microsoft.IoTFirmwareDefense/* | |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador de Avaliação de Segurança
Permite enviar avaliações por push para o Microsoft Defender para Nuvem
| Ações | Descrição |
|---|---|
| Microsoft.Security/assessments/write | Criar ou atualizar avaliações de segurança em sua assinatura |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Gerenciador de Segurança (Herdado)
Esta é uma função herdada. Em vez disso, use o Administrador de Segurança.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.ClassicCompute/*/read | Ler informações de configuração de máquinas virtuais clássicas |
| Microsoft.ClassicCompute/virtualMachines/*/write | Escrever configurações para máquinas virtuais clássicas |
| Microsoft.ClassicNetwork/*/read | Ler informações de configuração sobre a rede clássica |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.ResourceHealth/availabilityStatuses/read | Obter os status de disponibilidade para todos os recursos no escopo especificado |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Security/* | Criar e gerenciar políticas e componentes de segurança |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de segurança
Veja as permissões para o Microsoft Defender para Nuvem. Pode exibir recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
Para o Microsoft Defender para IoT, confira Funções de usuário do Azure para monitoramento de OT e Enterprise IoT.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de função |
| Microsoft.Insights/alertRules/read | Ler alerta de métrica clássico |
| Microsoft.operationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft.Resources/deployments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft.Security/*/read | Ler componentes de segurança e políticas |
| Microsoft.IoTSecurity/*/read | |
| Microsoft.Support/*/read | |
| Microsoft.Security/iotDefenderSettings/packageDownloads/action | Obtém informações para download de pacotes do IoT Defender |
| Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | Baixar o arquivo de ativação do gerenciador contendo dados de cota de assinatura |
| Microsoft.Security/iotSensors/downloadResetPassword/action | Baixa redefinição do arquivo de senha para sensores de IoT |
| Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | Obtém informações para download de pacotes do IoT Defender |
| Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | Baixar um arquivo de ativação do gerenciador |
| Microsoft.Management/managementGroups/read | Listar grupos de gerenciamento para o usuário autenticado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}