Compartilhar via

Requisito de permissão para o Service Connector

  • Artigo

O Service Connector cria conexões entre os serviços do Azure usando um token em nome de. Criar uma conexão com um recurso específico do Azure requer suas permissões correspondentes.

Serviço de Aplicativo

Ação Descrição
Microsoft.Web/sites/config/write Atualizar definições de configuração do aplicativo Web
Microsoft.web/sites/config/delete Excluir configuração de aplicativos Web.
Microsoft.Web/sites/config/list/action Listar as configurações confidenciais de segurança do aplicativo Web, como credenciais de publicação, configurações do aplicativo e cadeias de conexão
Microsoft.Web/sites/config/Read Obter definições de configuração do aplicativo Web
Microsoft.Web/sites/write Criar um novo aplicativo Web ou atualizar um existente
Microsoft.Web/sites/read Obter as propriedades de um aplicativo Web

Webapp Slot

Ação Descrição
Microsoft.Web/sites/slots/Write Criar um novo slot do aplicativo Web ou atualizar um existente
Microsoft.Web/sites/slots/Read Obter as propriedades de um slot de implantação de aplicativo Web
Microsoft.Web/sites/slots/config/Read Obter definições de configuração do slot do aplicativo Web
Microsoft.Web/sites/slots/config/Write Atualizar definições de configuração do slot do aplicativo Web
microsoft.web/sites/slots/config/delete Excluir configuração de slots de aplicativos Web.
Microsoft.Web/sites/slots/config/list/Action Listar as configurações confidenciais de segurança do slot do aplicativo Web, como credenciais de publicação, configurações do aplicativo e cadeias de conexão

Aplicativo Azure Spring

Ação Descrição
Microsoft.AppPlatform/Spring/read Obter instâncias do serviço Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read Obter os aplicativos de uma instância específica do serviço Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/write Criar ou atualizar o aplicativo de uma instância específica do serviço Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/deployments/*/read Obter as implantações para um aplicativo específico
Microsoft.AppPlatform/Spring/apps/deployments/*/write Criar ou atualizar a implantação para um aplicativo específico
Microsoft.AppPlatform/Spring/apps/deployments/*/delete Excluir a implantação de um aplicativo específico

Aplicativos de Contêiner do Azure

Ação Descrição
Microsoft.App/containerApps/read Obter um aplicativo de contêiner
Microsoft.App/containerApps/write Criar ou atualizar um aplicativo de contêiner
Microsoft.App/containerApps/listsecrets/action Listar segredos de um aplicativo de contêiner
Microsoft.App/managedEnvironments/read Obtenha um ambiente gerenciado
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Obter um status de operação de longa execução do ambiente gerenciado
microsoft.app/locations/containerappoperationstatuses/read Obter um status de operação de longa execução de um aplicativo de contêiner
microsoft.app/locations/containerappoperationresults/read Obter um resultado de operação de longa execução de um aplicativo de contêiner
microsoft.app/locations/managedenvironmentoperationresults/read Obter um ambiente gerenciado Resultado da operação de longa execução

Dapr em aplicativos de contêiner do Azure

Ação Descrição
Microsoft.App/managedEnvironments/daprComponents/read Ler componente Dapr de ambiente gerenciado
Microsoft.App/managedEnvironments/daprComponents/write Criar ou atualizar o componente Dapr de ambiente gerenciado
Microsoft.App/managedEnvironments/daprComponents/delete Excluir componente Dapr de ambiente gerenciado

Cache Redis do Azure

Ação Descrição
Microsoft.Cache/redis/read Exibir as configurações do Cache Redis e a configuração no portal de gerenciamento
Microsoft.Cache/redis/firewallRules/read Obter as regras de firewall de IP de um Cache Redis
Microsoft.Cache/redis/firewallRules/write Editar as regras de firewall de IP de um Cache Redis
Microsoft.Cache/redis/firewallRules/delete Excluir regras de firewall de IP de um Cache Redis
Microsoft.Cache/redis/listKeys/action Exibir o valor das chaves de acesso do Cache Redis no portal de gerenciamento

Cache do Azure para Redis Enterprise

Ação Descrição
Microsoft.Cache/redisEnterprise/read Ver as definições e as configurações do cache do Redis Enterprise no portal de gerenciamento
Microsoft.Cache/redisEnterprise/databases/read Ver as definições e as configurações do banco de dados em cache do Redis Enterprise no portal de gerenciamento
Microsoft.Cache/redisEnterprise/databases/listKeys/action Ver o valor das chaves de acesso do banco de dados Redis Enterprise no portal de gerenciamento

Banco de Dados do Azure para PostgreSQL

Banco de Dados do Azure para PostgreSQL

Ação Descrição
Microsoft.DBforPostgreSQL/servers/firewallRules/read Retornar a lista de regras de firewall para um servidor ou obter as propriedades para a regra de firewall especificada.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Criar uma regra de firewall com os parâmetros especificados ou atualizar uma regra existente.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Excluir uma regra de firewall existente.
Microsoft.DBForPostgreSQL/servers/read Retornar a lista de servidores ou obter as propriedades para o servidor especificado.
Microsoft.DBForPostgreSQL/servers/databases/read Retornar a lista de bancos de dados PostgreSQL ou obter as propriedades para o banco de dados especificado.
Microsoft.DBforPostgreSQL/servers/write Criar um servidor com os parâmetros especificados ou atualizar as propriedades ou marcas para o servidor especificado.

Banco de Dados do Azure para PostgreSQL (ponto de extremidade de serviço)

Ação Descrição
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Retornar a lista de regras de rede virtual ou obter as propriedades da regra de rede virtual especificada.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Criar uma regra da rede virtual com os parâmetros especificados ou atualizar as propriedades ou marcas para a regra da rede virtual especificada.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Excluir uma regra de rede virtual existente

Servidor Flexível do Banco de Dados do Azure para PostgreSQL

Ação Descrição
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Retornar a lista de regras de firewall para um servidor ou obter as propriedades para a regra de firewall especificada.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Criar uma regra de firewall com os parâmetros especificados ou atualizar uma regra existente.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Excluir uma regra de firewall existente.
Microsoft.DBForPostgreSQL/flexibleServers/read Retornar a lista de servidores ou obter as propriedades para o servidor especificado.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Retorna a lista de bancos de dados do servidor PostgreSQL ou obtém o banco de dados para o servidor especificado.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Retorna a lista de configurações do servidor PostgreSQL ou obtém as configurações para o servidor especificado.

Banco de Dados do Azure para MySQL

Ação Descrição
Microsoft.DBforMySQL/servers/firewallRules/read Retornar a lista de regras de firewall para um servidor ou obter as propriedades para a regra de firewall especificada.
Microsoft.DBforMySQL/servers/firewallRules/write Criar uma regra de firewall com os parâmetros especificados ou atualizar uma regra existente.
Microsoft.DBforMySQL/servers/firewallRules/delete Excluir uma regra de firewall existente.
Microsoft.DBforMySQL/servers/read Retornar a lista de servidores ou obter as propriedades para o servidor especificado.
Microsoft.DBforMySQL/servers/databases/read Retornar a lista de bancos de dados MySQL ou obter as propriedades para o banco de dados especificado.
Microsoft.DBforMySQL/servers/write Criar um servidor com os parâmetros especificados ou atualizar as propriedades ou marcas para o servidor especificado.

Banco de Dados do Azure para MySQL (ponto de extremidade de serviço)

Ação Descrição
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Retornar a lista de regras de rede virtual ou obter as propriedades da regra de rede virtual especificada.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Criar uma regra da rede virtual com os parâmetros especificados ou atualizar as propriedades ou marcas para a regra da rede virtual especificada.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Excluir uma regra de rede virtual existente

Banco de Dados do Azure para MySQL – Servidor flexível

Ação Descrição
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Retorna a lista de regras de firewall para um servidor ou obtém as propriedades para a regra de firewall especificada.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Cria uma regra de firewall com os parâmetros especificados ou atualiza uma regra existente.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Excluir uma regra de firewall existente.
Microsoft.DBforMySQL/flexibleServers/read Retorna a lista de servidores ou obtém as propriedades para o servidor especificado.
Microsoft.DBforMySQL/flexibleServers/databases/read Retorna a lista de bancos de dados de um servidor ou obtém as propriedades do banco de dados especificado.
Microsoft.DBforMySQL/flexibleServers/configurations/read Retorna a lista de configurações do servidor MySQL ou obtém as configurações para o servidor especificado.

Configuração de Aplicativo do Azure

Ação Descrição
Microsoft.AppConfiguration/configurationStores/ListKeys/action Lista as chaves de API para o repositório de configurações especificado.
Microsoft.AppConfiguration/configurationStores/read Obtém as propriedades do repositório de configurações especificado ou lista todos os repositórios de configurações no grupo de recursos especificado ou na assinatura.

Hubs de eventos do Azure

Ação Descrição
Microsoft.EventHub/namespaces/read Obter a lista de descrição do recurso de namespace
Microsoft.EventHub/namespaces/ipFilterRules/read Obter recurso de filtro IP
Microsoft.EventHub/namespaces/ipFilterRules/write Criar Recurso de Filtro IP
Microsoft.EventHub/namespaces/ipFilterRules/delete Excluir recurso de filtro IP
Microsoft.EventHub/namespaces/networkrulesets/read Obtém o Recurso NetworkRuleSet
Microsoft.EventHub/namespaces/networkrulesets/write Criar Recurso de Regra VNET
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action Obter a cadeia de conexão para o namespace

Barramento de Serviço do Azure

Ação Descrição
Microsoft.ServiceBus/namespaces/read Obter a lista de descrição do recurso de namespace
Microsoft.ServiceBus/namespaces/ipFilterRules/read Obter recurso de filtro IP
Microsoft.ServiceBus/namespaces/ipFilterRules/write Criar Recurso de Filtro IP
Microsoft.ServiceBus/namespaces/ipFilterRules/delete Excluir recurso de filtro IP
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action Obter a cadeia de conexão para o namespace
Microsoft.ServiceBus/namespaces/networkrulesets/read Obtém o Recurso NetworkRuleSet
Microsoft.ServiceBus/namespaces/networkrulesets/write Criar Recurso de Regra VNET

Armazenamento de Blobs do Azure

Ação Descrição
Microsoft.Storage/storageAccounts/read Retornar a lista de contas de armazenamento ou obter as propriedades da conta de armazenamento especificada.
Microsoft.Storage/storageAccounts/write Criar uma conta de armazenamento com os parâmetros especificados, atualizar as propriedades ou marcas ou adicionar um domínio personalizado à conta de armazenamento especificada.
Microsoft.Storage/storageAccounts/listkeys/action Retornar as chaves de acesso da conta de armazenamento especificada.

Serviço do Azure SignalR

Ação Descrição
Microsoft.SignalRService/SignalR/read Exibe as definições e as configurações do SignalR no portal de gerenciamento ou por meio da API
Microsoft.SignalRService/SignalR/write Modifica as definições e as configurações do SignalR no portal de gerenciamento ou por meio da API
Microsoft.SignalRService/locations/operationresults/signalr/read Consultar o resultado de uma operação assíncrona baseada em localização
Microsoft.SignalRService/locations/operationStatuses/signalr/read Consultar o status de uma operação assíncrona baseada em localização
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action Exibe o valor das chaves de acesso do SignalR no portal de gerenciamento ou por meio da API

Serviço do Azure Web PubSub

Ação Descrição
Microsoft.SignalRService/WebPubSub/read Exibe as definições e as configurações do WebPubSub no portal de gerenciamento ou por meio da API
Microsoft.SignalRService/WebPubSub/write Modifica as definições e as configurações do WebPubSub no portal de gerenciamento ou por meio da API
Microsoft.SignalRService/locations/operationresults/webpubsub/read Consultar o resultado de uma operação assíncrona baseada em localização
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Consultar o status de uma operação assíncrona baseada em localização
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read Exibe o valor das chaves de acesso do WebPubSub no portal de gerenciamento ou por meio da API
Microsoft.SignalRService/WebPubSub/listkeys/action Exibe o valor das chaves de acesso do WebPubSub no portal de gerenciamento ou por meio da API

Azure Cosmos DB

Ação Descrição
Microsoft.DocumentDB/databaseAccounts/read Ler uma conta de banco de dados.
Microsoft.DocumentDB/databaseAccounts/write Atualizar uma conta de banco de dados.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action Obter as cadeias de caracteres de conexão para uma conta de banco de dados
Microsoft.DocumentDB/databaseAccounts/listKeys/action Listar chaves de uma conta de banco de dados

Banco de Dados SQL do Azure

Ação Descrição
Microsoft.Sql/servers/firewallRules/read Retornar a lista de regras de firewall do servidor ou obter as propriedades da regra de firewall do servidor especificado.
Microsoft.Sql/servers/firewallRules/write Criar uma regra de firewall do servidor com os parâmetros especificados, atualizar as propriedades da regra especificada ou substituir todas as regras existentes pelas novas regras de firewall do servidor.
Microsoft.Sql/servers/firewallRules/delete Excluir uma regra de firewall de servidor existente.
Microsoft.Sql/servers/databases/read Retornar a lista de bancos de dados ou obter as propriedades para o banco de dados especificado.
Microsoft.Sql/servers/read Retornar a lista de servidores ou obter as propriedades para o servidor especificado.
Microsoft.Sql/servers/virtualNetworkRules/read Retornar a lista de regras de rede virtual ou obter as propriedades da regra de rede virtual especificada.
Microsoft.Sql/servers/virtualNetworkRules/write Criar uma regra da rede virtual com os parâmetros especificados ou atualizar as propriedades ou marcas para a regra da rede virtual especificada.
Microsoft.Sql/servers/virtualNetworkRules/delete Excluir uma regra de rede virtual existente

Cofre de Chave do Azure

Ação Descrição
Microsoft.KeyVault/vaults/write Cria um cofre de chaves ou atualiza as propriedades de um cofre de chaves. Determinadas propriedades podem exigir mais permissões.
Microsoft.KeyVault/vaults/read Exibir as propriedades de um cofre de chaves
Microsoft.KeyVault/vaults/secrets/write Cria um segredo ou atualiza o valor de um segredo existente.
Microsoft.KeyVault/vaults/accessPolicies/write Atualiza uma política de acesso existente por meio de mesclagem ou de substituição ou adiciona uma política de acesso a um cofre de chaves.

Azure Cosmos DB

Ação Descrição
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Ler uma definição de função SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Criar ou atualizar uma definição de função SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Excluir uma atribuição de função SQL

O Service Connector pode precisar conceder permissões à Identidade Gerenciada ou à Entidade de Serviço se uma conexão for criada com esses tipos de autenticação. A tabela a seguir lista os requisitos de permissão para criar uma conexão nesse cenário.

Ação Descrição
Microsoft.Authorization/roleAssignments/read Obter informações sobre uma atribuição de função.
Microsoft.Authorization/roleAssignments/write Criar uma atribuição de função no escopo especificado.
Microsoft.Authorization/roleAssignments/delete Exclua uma atribuição de função no escopo especificado.

Conexão de identidades gerenciadas atribuídas pelo usuário

O Service Connector pode precisar conceder permissões à Identidade Gerenciada atribuída pelo usuário se uma conexão for criada com ele como o tipo de autenticação. A tabela a seguir lista os requisitos de permissão para criar uma conexão nesse cenário.

Ação Descrição
Microsoft.ManagedIdentity/userAssignedIdentities/read Obter uma identidade atribuída ao usuário existente
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Ação RBAC para atribuir uma identidade atribuída ao usuário existente a um recurso
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Obter ou listar as credenciais de identidade federada
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Adicionar ou atualizar uma credencial de identidade federada
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Excluir uma credencial de identidade federada

O Service Connector pode precisar conceder permissões à sua identidade se uma conexão for criada com ponto de extremidade privado ou ponto de extremidade de serviço como a solução de rede. A tabela a seguir lista os requisitos de permissão para criar uma conexão nesse cenário.

Ação Descrição
Microsoft.Network/publicIPAddresses/read Obtém uma definição de endereço IP público.
Microsoft.Network/virtualNetworks/subnets/read Obter uma definição de sub-rede da rede virtual
Microsoft.Network/virtualNetworks/subnets/write Criar uma sub-rede de rede virtual ou atualizar uma sub-rede de rede virtual existente
Microsoft.Network/privateEndpoints/read Obtém um recurso de ponto de extremidade privado.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Adicionar recursos como conta de armazenamento ou banco de dados SQL a uma sub-rede. Não é possível alertá-lo.
Microsoft.Network/networkSecurityGroups/join/action Ingressar em um grupo de segurança de rede. Não é possível alertá-lo.
Microsoft.Network/serviceEndpointPolicies/join/action Adicionar uma política de ponto de extremidade de serviço. Não é possível alertá-lo.
Microsoft.Network/natGateways/join/action Une um Gateway da NAT
Microsoft.Network/networkIntentPolicies/join/action Ingressa em uma política de intenção de rede. Não é possível alertá-lo.
Microsoft.Network/networkSecurityGroups/join/action Ingressar em um grupo de segurança de rede. Não é possível alertá-lo.
Microsoft.Network/routeTables/join/action Une uma tabela de rotas. Não é possível alertá-lo.

Alta disponibilidade