Partilhar via


Funções internas do Azure para Privileged

Este artigo lista as funções internas do Azure na categoria Privilegiado.

Contribuinte

Concede acesso total para gerenciar todos os recursos, mas não permite que você atribua funções no RBAC do Azure, gerencie atribuições no Azure Blueprints ou compartilhe galerias de imagens.

Mais informações

Ações Description
* Criar e gerir recursos de todos os tipos
NotActions
Microsoft.Authorization/*/Delete Excluir funções, atribuições de política, definições de política e definições de conjunto de políticas
Microsoft.Authorization/*/Write Criar funções, atribuições de funções, atribuições de políticas, definições de políticas e definições de conjuntos de políticas
Microsoft.Authorization/elevateAccess/Action Concede ao chamador o acesso de Administrador de Acesso de Utilizador no âmbito do inquilino
Microsoft.Blueprint/blueprintAtribuições/gravação Criar ou atualizar quaisquer atribuições de blueprint
Microsoft.Blueprint/blueprintAtribuições/excluir Excluir quaisquer atribuições de blueprint
Microsoft.Compute/galleries/share/action Partilha uma Galeria com âmbitos diferentes
Microsoft.Purview/consents/write Crie ou atualize um recurso de consentimento.
Microsoft.Purview/consents/delete Exclua o recurso de consentimento.
Microsoft.Resources/deploymentStacks/manageDenySetting/action Gerencie a propriedade denySettings de uma pilha de implantação.
DataActions
nenhum
NotDataActions
nenhum
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [
        "Microsoft.Authorization/*/Delete",
        "Microsoft.Authorization/*/Write",
        "Microsoft.Authorization/elevateAccess/Action",
        "Microsoft.Blueprint/blueprintAssignments/write",
        "Microsoft.Blueprint/blueprintAssignments/delete",
        "Microsoft.Compute/galleries/share/action",
        "Microsoft.Purview/consents/write",
        "Microsoft.Purview/consents/delete",
        "Microsoft.Resources/deploymentStacks/manageDenySetting/action"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Proprietário

Concede acesso total para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure.

Mais informações

Ações Description
* Criar e gerir recursos de todos os tipos
NotActions
nenhum
DataActions
nenhum
NotDataActions
nenhum
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administrador de Reservas

Permite ler e gerir todas as reservas num inquilino

Mais informações

Ações Description
Microsoft.Capacity/*/read
Microsoft.Capacity/*/action
Microsoft.Capacity/*/write
Microsoft.Authorization/roleAssignments/read Obtenha informações sobre uma atribuição de função.
Microsoft.Authorization/roleDefinitions/read Obtenha informações sobre uma definição de função.
Microsoft.Authorization/roleAssignments/write Crie uma atribuição de função no escopo especificado.
Microsoft.Authorization/roleAssignments/delete Exclua uma atribuição de função no escopo especificado.
NotActions
nenhum
DataActions
nenhum
NotDataActions
nenhum
{
  "assignableScopes": [
    "/providers/Microsoft.Capacity"
  ],
  "description": "Lets one read and manage all the reservations in a tenant",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
  "name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Capacity/*/read",
        "Microsoft.Capacity/*/action",
        "Microsoft.Capacity/*/write",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleDefinitions/read",
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Reservations Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administrador de controle de acesso baseado em função

Gerencie o acesso aos recursos do Azure atribuindo funções usando o Azure RBAC. Essa função não permite que você gerencie o acesso usando outras maneiras, como a Política do Azure.

Ações Description
Microsoft.Authorization/roleAssignments/write Crie uma atribuição de função no escopo especificado.
Microsoft.Authorization/roleAssignments/delete Exclua uma atribuição de função no escopo especificado.
*/read Ler recursos de todos os tipos, exceto segredos.
Microsoft.Suporte/* Criar e atualizar um ticket de suporte
NotActions
nenhum
DataActions
nenhum
NotDataActions
nenhum
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
  "name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Role Based Access Control Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Administrador de Acesso dos Utilizadores

Permite gerenciar o acesso do usuário aos recursos do Azure.

Mais informações

Ações Descrição
*/read Ler recursos de todos os tipos, exceto segredos.
Microsoft.Authorization/* Autorização de gestão
Microsoft.Suporte/* Criar e atualizar um ticket de suporte
NotActions
nenhum
DataActions
nenhum
NotDataActions
nenhum
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage user access to Azure resources.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.Authorization/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "User Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Próximos passos