Встроенные роли Azure
Управление доступом на основе ролей (Azure RBAC) имеет несколько встроенных ролей Azure, которые можно назначить для пользователей, групп, субъектов-служб и управляемых удостоверений. Назначение ролей является способом управления доступом к ресурсам Azure. Если встроенные роли не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли Azure. Сведения о назначении ролей см. в разделе Действия по назначению роли Azure.
В этой статье перечислены встроенные роли Azure. Если вам нужен список ролей администратора Azure Active Directory (Azure AD), см. статью Встроенные роли Azure.
В таблице ниже содержится краткое описание каждой из встроенных ролей. Щелкните имя роли, чтобы просмотреть список Actions, NotActions, DataActions и NotDataActions для каждой роли. Сведения о том, что означают эти действия и как они применяются к плоскостям элементов управления и данных, см. в статье Общие сведения об определениях ролей Azure.
Все
| Встроенные роли | Описание | ID |
|---|---|---|
| Общие сведения | ||
| Участник | Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC), управлять назначениями в Azure Blueprints или предоставлять общий доступ к галереям изображений. | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Владелец | Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC. | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
| Читатель | Дает возможность просматривать все ресурсы, но не позволяет вносить изменения. | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Администратор доступа пользователей | Позволяет управлять доступом пользователей к ресурсам Azure. | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
| Среда выполнения приложений | ||
| Участник классической виртуальной машины | Позволяет управлять классическими виртуальными машинами, но не доступом к ним и не учетной записью виртуальной сети или хранения, к которой они подключены. | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| Оператор данных для Управляемые диски | Предоставляет разрешения на отправку данных на пустые управляемые диски, чтение или экспорт данных управляемых дисков (не подключенных к работающим виртуальным машинам) и моментальных снимков с помощью URI SAS и проверки подлинности Azure AD. | 959f8984-c045-4866-89c7-12bf9737be2e |
| Читатель резервной копии диска | Предоставляет резервному хранилищу разрешение для выполнения архивации диска. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| Оператор пула дисков | Предоставьте поставщику ресурсов StoragePool разрешение на управление дисками, добавленными в пул дисков. | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
| Оператор восстановления дисков | Предоставляет резервному хранилищу разрешение на выполнение восстановления диска. | b50d9833-a0cb-478e-945f-707fcc997c13 |
| Участник моментальных снимков дисков | Предоставляет резервному хранилищу разрешение на управление моментальными снимками дисков. | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
| Администратор виртуальной машины | Позволяет просматривать виртуальные машины на портале и входить в систему с правами администратора. | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
| Участник виртуальной машины | Создание виртуальных машин и управление ими, управление дисками, установка и запуск программного обеспечения, сброс пароля корневого пользователя виртуальной машины с помощью расширений виртуальной машины, а также управление учетными записями локальных пользователей с помощью расширений виртуальной машины. Эта роль не предоставляет доступ для управления виртуальной сетью или учетной записью хранения, к которой подключены виртуальные машины. Эта роль не позволяет назначать роли в Azure RBAC. | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Пользователь виртуальной машины | Позволяет просматривать виртуальные машины на портале и входить в систему с правами обычного пользователя. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| Вход администратора Windows Admin Center | Давайте управлять ОС ресурса с помощью Windows Admin Center в качестве администратора. | a6333a3e-0164-44c3-b281-7a577aff287f |
| Сеть | ||
| Участник конечных точек CDN | Может управлять конечными точками CDN, но не может предоставлять доступ другим пользователям. | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| Читатель конечной точки CDN | Может просматривать конечные точки CDN, но не может вносить изменения. | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| Участник профиля CDN | Может управлять профилями CDN и их конечными точками, но не может предоставлять доступ другим пользователям. | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
| Читатель данных профиля CDN | Может просматривать профили CDN и их конечные точки, но не может вносить изменения. | 8f96442b-4075-438f-813d-ad51ab4019af |
| Участник классической сети | Позволяет управлять классическими сетями, но не доступом к ним. | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| Участник зоны DNS | Позволяет управлять зонами DNS и наборами записей в Azure DNS, но не тем, кому они будут доступны. | befefa01-2a29-4197-83a8-272ff33ce314 |
| Участник сети | Позволяет управлять сетями, но не доступом к ним. | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| Участник частной зоны DNS | Позволяет управлять ресурсами частной зоны DNS, но не виртуальными сетями, с которыми они связаны. | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
| Участник диспетчера трафика | Позволяет управлять профилями диспетчера трафика, но не доступом к ним. | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
| Память | ||
| Участник Avere | Может создавать и контролировать кластер Avere vFXT. | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
| Оператор Avere | Используется кластером Avere vFXT для управления кластером | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
| Участник резервного копирования | Позволяет управлять службой архивации, но не разрешает создавать хранилища и предоставлять доступ другим пользователям | 5e467623-bb1f-42f4-a55d-6e525e11384b |
| Оператор резервного копирования | Позволяет управлять службами архивации, но не удалять архивные копии, создавать хранилища или предоставлять доступ другим пользователям | 00c29273-979b-4161-815c-10b084fb9324 |
| Читатель резервных копий | Может просматривать службы резервного копирования, но не может вносить изменения. | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
| Участник классической учетной записи хранения | Позволяет управлять классическими учетными записями хранения, но не предоставлять доступ к ним. | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| Роль службы оператора ключей классических учетных записей хранения | Операторы ключей классических учетных записей хранения могут перечислять и повторно создавать ключи в классических учетных записях хранения. | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| Участник Data Box | Позволяет управлять всеми данными службы Data Box, кроме предоставления доступа другим пользователям. | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| Читатель Data Box | Позволяет управлять службой Data Box, но не позволяет создавать заказы и менять их порядок, а также предоставлять доступ другим пользователям. | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| Разработчик Data Lake Analytics | Позволяет отправлять, отслеживать задания и управлять ими, но не позволяет создавать или удалять учетные записи Data Lake Analytics. | 47b7735b-770e-4598-a7da-8b91488b4c88 |
| Владелец эластичной сети SAN | Обеспечивает полный доступ ко всем ресурсам в Azure Elastic SAN, включая изменение политик безопасности сети для разблокировки доступа к пути данных. | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
| Модуль чтения эластичных san | Обеспечивает доступ на чтение пути управления к Azure Elastic SAN. | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
| Владелец группы томов эластичных san | Обеспечивает полный доступ к группе томов в Azure Elastic SAN, включая изменение политик безопасности сети для разблокировки доступа к пути к данным. | a8281131-f312-4f34-8d98-ae12be9f0d23 |
| Модуль чтения и доступ к данным | Позволяет просматривать все данные, но не позволит удалить или создать учетную запись хранения или содержащий ресурс. Он также предоставит доступ на чтение и запись для всех данных, содержащихся в учетной записи хранения через доступ к ключам учетной записи хранения. | c12c1c16-33a1-487b-954d-41c89c60f349 |
| Участник резервного копирования учетной записи хранения | Позволяет выполнять операции резервного копирования и восстановления с помощью Azure Backup в учетной записи хранения. | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
| Участник учетной записи хранения | Разрешает управление учетными записями хранения. Предоставляет доступ к ключу учетной записи, который можно использовать для доступа к данным посредством авторизации с использованием общего ключа. | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
| Роль службы оператора ключей учетных записей хранения | Разрешает перечисление и повторное создание ключей доступа к учетной записи хранения. | 81a9662b-bebf-436f-a333-f67b29880f12 |
| участник данных BLOB-объектов хранилища; | Чтение, запись и удаление контейнеров службы хранилища Azure и больших двоичных объектов. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| владелец данных BLOB-объектов хранилища; | Предоставляет полный доступ к контейнерам и данным BLOB-объектов службы хранилища Azure, включая назначение элемента управления доступом POSIX. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
| читатель данных больших двоичных объектов хранилища. | Чтение и перечисление контейнеров и больших двоичных объектов службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
| Представитель BLOB-объектов хранилища | Получение ключа делегирования пользователя, который затем можно использовать для создания подписи общего доступа для контейнера или большого двоичного объекта, подписанного с помощью учетных данных Azure AD. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя. | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
| Участник общей папки файловых данных хранилища SMB | Разрешает доступ на чтение, запись и удаление файлов/каталогов в общих папках Azure. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
| Участник общих папок данных SMB службы хранилища с повышенными правами | Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для изменения на файловых серверах Windows. | a7264617-510b-434b-a828-9731dc254ea7 |
| Читатель общей папки файловых данных хранилища SMB | Разрешает доступ на чтение файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для чтения на файловых серверах Windows. | aba4ae5f-2193-4029-9191-0cb91df5e314 |
| Участник для данных очереди хранилища | Чтение, запись и удаление очередей и сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| Обработчик сообщений данных в очереди хранилища | Просмотр, получение и удаление сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
| Отправитель сообщений данных в очередь хранилища | Добавление сообщений в очередь службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
| Читатель данных очереди хранилища | Чтение и перечисление очередей и сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. | 19e7f393-937e-4f77-808e-94535e297925 |
| Участник данных таблицы хранилища | Разрешает доступ на чтение, запись и удаление к таблицам и сущностям службы хранилища Azure | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
| Читатель данных таблицы хранилища | Разрешает доступ на чтение к таблицам и сущностям службы хранилища Azure | 76199698-9eea-4c19-bc75-cec21354c6b6 |
| Web | ||
| Разработчик данных Azure Maps | Предоставляет доступ для чтения, записи и удаления связанных данных карт в учетной записи Azure Maps. | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
| Читатель данных Azure Maps | Предоставляет доступ на чтение связанных данных карты в учетной записи Azure Maps. | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
| Участник сервера конфигурации Azure Spring Cloud | Разрешение доступа на чтение, запись и удаление к серверу конфигурации Azure Spring Cloud | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
| Читатель сервера конфигурации Azure Spring Cloud | Разрешение доступа на чтение к серверу конфигурации Azure Spring Cloud | d04c6db6-4947-4782-9e91-30a88feb7be7 |
| Читатель данных Azure Spring Cloud | Разрешает доступ на чтение данных Azure Spring Cloud. | b5537268-8956-4941-a8f0-646150406f0c |
| Участник реестра службы Azure Spring Cloud | Разрешение доступа на чтение, запись и удаление к реестру служб Azure Spring Cloud | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
| Читатель реестра служб Azure Spring Cloud | Разрешение доступа на чтение к реестру служб Azure Spring Cloud | cff1b556-2399-4e7e-856d-a8f754be7b65 |
| Администратор учетной записи Служб мультимедиа | Создание, чтение, изменение и удаление учетных записей Служб мультимедиа; доступ только на чтение в других ресурсах Служб мультимедиа. | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
| Администратор служб мультимедиа Live Events | Создание, чтение, изменение и удаление событий трансляции, ресурсов, фильтров активов и указателей потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа. | 532bc159-b25e-42c0-969e-a1d439f60d77 |
| Оператор мультимедиа Служб мультимедиа | Создание, чтение, изменение и удаление активов, фильтров активов, указателей потоковой передачи и заданий; доступ только на чтение в других ресурсах Служб мультимедиа. | e4395492-1534-4db2-bedf-88c14621589c |
| Администратор политик Служб мультимедиа | Создание, чтение, изменение и удаление фильтров учетных записей, политик потоковой передачи, политик ключей содержимого и преобразований; доступ только на чтение в других ресурсах Служб мультимедиа. Нельзя создавать задания, активы или ресурсы потоковой передачи. | c4bba371-dacd-4a26-b320-7250bca963ae |
| Администратор конечных точек потоковой передачи Служб мультимедиа | Создание, чтение, изменение и удаление конечных точек потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа. | 99dba123-b5fe-44d5-874c-ced7199a5804 |
| Участник данных индекса поиска | Предоставляет полный доступ к данным индекса службы "Когнитивный поиск Azure". | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
| Читатель данных индекса поиска | Предоставляет доступ на чтение к данным индекса службы "Когнитивный поиск Azure". | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
| Участник службы поиска | Позволяет управлять службами поиска, но не доступом к ним. | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
| Читатель AccessKey в SignalR | Чтение ключей доступа службы SignalR. | 04165923-9d83-45d5-8227-78b77b0a687e |
| Сервер приложений SignalR | Разрешает серверу приложений доступ к службе SignalR с использованием параметров аутентификации AAD. | 420fcaa2-552c-430f-98ca-3264be4806c7 |
| Владелец REST API SignalR | Полный доступ к интерфейсам REST API службы Azure SignalR. | fd53cd77-2268-407a-8f46-7e7863d0f521 |
| Читатель REST API SignalR | Доступ только для чтения к интерфейсам REST API службы Azure SignalR. | ddde6b66-c0df-4114-a159-3618637b3035 |
| Владелец службы SignalR | Полный доступ к интерфейсам REST API службы Azure SignalR. | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
| Участник SignalR/Web PubSub | Создание, чтение, изменение и удаление ресурсов службы SignalR. | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
| Участник веб-плана | Управление веб-планами для веб-сайтов. Не позволяет назначать роли в Azure RBAC. | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| Участник веб-сайта | Управление веб-сайтами, но не веб-планами. Не позволяет назначать роли в Azure RBAC. | de139f84-1756-47ae-9be6-808fbbe84772 |
| Контейнеры | ||
| AcrDelete | Удаление репозиториев, тегов или манифестов из реестра контейнеров. | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
| AcrImageSigner | Отправка или получение доверенных образов в реестре контейнеров с поддержкой доверия к содержимому. | 6cef56e8-d556-48e5-a04f-b8e64114680f |
| AcrPull | Извлечение артефактов из реестра контейнеров. | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
| AcrPush | Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров. | 8311e382-0749-4cb8-b61a-304f252e45ec |
| AcrQuarantineReader | Извлечение помещенных в карантин образов из реестра контейнеров. | cdda3590-29a3-44f6-95f2-9f980659eb04 |
| AcrQuarantineWriter | Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него. | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
| Azure Kubernetes Fleet Manager RBAC Администратор | Эта роль предоставляет доступ администратора. Предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
| Кластер Azure Kubernetes Fleet Manager Администратор кластера RBAC | Позволяет управлять всеми ресурсами в кластере диспетчера автопарка. | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
| Читатель RBAC Диспетчера флота Azure Kubernetes | Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
| Модуль записи RBAC диспетчера парка Azure Kubernetes | Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получать доступ к секретам в качестве любой учетной записи ServiceAccount в пространстве имен, поэтому ее можно использовать для получения уровней доступа к API любой учетной записи ServiceAccount в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
| Роль администратора кластера в Службе Azure Kubernetes | Список действий, выполненных с помощью учетных данных администратора кластера. | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
| Роль пользователя кластера в Службе Azure Kubernetes | Список действий, выполненных с помощью учетных данных пользователя кластера. | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
| Роль участника службы Azure Kubernetes | Предоставляет доступ на чтение и запись для кластеров службы Azure Kubernetes. | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
| Администратор RBAC для Службы Azure Kubernetes | Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
| Администратор кластера RBAC для Службы Azure Kubernetes | Позволяет управлять всеми ресурсами в кластере. | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
| Читатель RBAC для службы Azure Kubernetes | Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
| Модуль записи RBAC для службы Azure Kubernetes | Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
| Базы данных | ||
| Подключение SQL Server, подключенного к Azure | Предоставляет SQL Server доступ для чтения и записи к ресурсам Azure на серверах с поддержкой Arc. | e8113dce-c529-4d33-91fa-e9b972617508 |
| Роль читателя учетных записей Cosmos DB | Позволяет считывать данные учетных записей Azure Cosmos DB. Сведения об управлении учетными записями Azure Cosmos DB см. в разделе Участник учетной записи DocumentDB. | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| Оператор Cosmos DB | Позволяет управлять учетными записями Azure Cosmos DB, но не доступом к данным. Предотвращает доступ к ключам учетной записи и строкам подключения. | 230815da-be43-4aae-9cb4-875f7bd000aa |
| CosmosBackupOperator | Позволяет отправлять запрос на восстановление контейнера или базы данных Cosmos DB для учетной записи. | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
| CosmosRestoreOperator | Может выполнять действие восстановления для учетной записи базы данных Cosmos DB в режиме непрерывного резервного копирования. | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
| Участник учетной записи DocumentDB | Может управлять учетными записями Azure Cosmos DB Служба Azure Cosmos DB раньше называлась DocumentDB. | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| Участник кэша Redis | Позволяет управлять кэшем Redis, но не доступом к нему. | e0f68234-74aa-48ed-b826-c38b57376e17 |
| Участник базы данных SQL | Позволяет управлять базами данных SQL, но не доступом к ним. Кроме того, не позволяет управлять их политиками безопасности или родительскими серверами SQL Server. | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| Участник управляемого экземпляра SQL | Позволяет управлять управляемыми экземплярами SQL и требуемой конфигурацией сети, но не предоставлять к ним доступ. | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
| Диспетчер безопасности SQL | Позволяет управлять политиками безопасности серверов SQL Server и баз данных SQL, но не доступом к ним. | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| Участник SQL Server | Позволяет управлять серверами SQL Server и базами данных SQL, но не доступом к ним и их политиками безопасности. | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
| Analytics | ||
| Владелец данных Центров событий Azure | Разрешает полный доступ к ресурсам Центров событий Azure. | f526a384-b230-433a-b45c-95f59c4a2dec |
| Получатель данных Центров событий Azure | Разрешает полный доступ к ресурсам Центров событий Azure. | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Отправитель данных Центров событий Azure | Разрешает полный доступ к ресурсам Центров событий Azure. | 2b629674-e913-4c01-ae53-ef4638d8f975 |
| Участник фабрики данных | Создание фабрик данных и управление ими, а также их дочерними ресурсами. | 673868aa-7521-48a0-acc6-0f60742d39f5 |
| Средство очистки данных | Удаление личных данных из рабочей области Log Analytics. | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| Оператор кластера HDInsight | Позволяет считывать и изменять конфигурации кластера HDInsight. | 61ed4efc-fab3-44fd-b111-e24485cc132a |
| Участник доменных служб HDInsight | Позволяет читать, создавать, изменять и удалять операции, связанные с доменными службами, необходимыми для Корпоративного пакета безопасности HDInsight | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
| Участник Log Analytics | Участник Log Analytics может считывать все данные мониторинга и изменять параметры мониторинга. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, добавление решений и настройку диагностики Azure во всех ресурсах Azure. | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
| Читатель Log Analytics | Читатель Log Analytics может просматривать все данные мониторинга, выполнять по ним поиск и просматривать параметры мониторинга, в том числе конфигурацию системы диагностики Azure для всех ресурсов Azure. | 73c42c96-874c-492b-b04d-ab87d138a893 |
| Участник реестра схем (предварительная версия) | Чтение, запись и удаление групп и схем реестра схем. | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
| Читатель реестра схем (предварительная версия) | Чтение и перечисление групп и схем в реестре схем. | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
| Тестер запросов Stream Analytics | Позволяет выполнять тестирование запросов без предварительного создания задания Stream Analytics | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
| ИИ и машинное обучение | ||
| Специалист по обработке и анализу данных AzureML | Может выполнять все действия в рабочем пространстве Машинного обучения Azure, кроме создания и удаления вычислительных ресурсов и изменения самого рабочего пространства. | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
| Участник служб Cognitive Services | Позволяет создавать, читать, обновлять, удалять ключи служб Cognitive Services и управлять ими. | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
| Участник Пользовательского визуального распознавания Cognitive Services | Полный доступ к проектам, включая возможность создавать, редактировать или удалять проекты. | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
| Развертывание Пользовательского визуального распознавания Cognitive Services | Публикация, отмена публикации или экспорт моделей. Роль развертывания дает возможность просматривать проект, но не позволяет выполнять обновления. | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
| Разработчик тегов Пользовательского визуального распознавания Cognitive Services | Просмотр и изменение обучающих изображений, а также создание, добавление и удаление тегов изображений. Разработчики тегов могут просматривать проекты, но не могут изменять ничего, кроме обучающих изображений и тегов. | 88424f51-ebe7-446f-bc41-7fa16989e96c |
| Читатель Пользовательского визуального распознавания Cognitive Services | Действия с доступом только для чтения в проекте. Читатели не могут создавать или обновлять проекты. | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
| Средство обучения Пользовательского визуального распознавания Cognitive Services | Просмотр, изменение проектов и обучение моделей, включая возможность публикации, отмены публикации и экспорта моделей. Средства обучения не могут создать или удалять проекты. | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
| Модуль чтения данных Cognitive Services (предварительная версия) | Позволяет считывать данные Cognitive Services. | b59867f0-fa02-499b-be73-45a86b5b3e1c |
| Распознаватель лиц Cognitive Services | Позволяет выполнять обнаружение, проверку, идентификацию, группирование, а также поиск аналогичных операций в API Распознавания лиц. Эта роль не разрешает операции создания и удаления, что делает ее подходящей для конечных точек, которым требуются только возможности вывода в соответствии с рекомендациями "минимальных привилегий". | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
| Администратор Помощника по метрикам Cognitive Services | Полный доступ к проекту, включая конфигурацию уровня системы. | cb43c632-a144-4ec5-977c-e80c4affc34a |
| Редактор Cognitive Services QnA Maker | Позволяет создавать, изменять, импортировать и экспортировать базу знаний. Публикация или удаление базы знаний не поддерживается. | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
| Читатель Cognitive Services QnA Maker | Позволяет только читать и проверять базу знаний. | 466ccd10-b268-4a11-b098-b4849f024126 |
| Пользователь служб Cognitive Services | Позволяет создавать и читать список ключей служб Cognitive Services. | a97b65f3-24c7-4388-baec-2e87135dc908 |
| Интернет вещей | ||
| Администратор обновлений устройств | Предоставляет полный доступ к операциям управления и операциям с содержимым. | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
| Администратор содержимого обновлений устройств | Предоставляет полный доступ к операциям с содержимым. | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
| Читатель содержимого обновлений устройств | Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
| Администратор развертывания обновлений устройств | Предоставляет полный доступ к операциям управления. | e4237640-0e3d-4a46-8fda-70bc94856432 |
| Читатель развертывания обновлений устройств | Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения. | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
| Читатель обновлений устройств | Предоставляет доступ на чтение к операциям управления и операциям с содержимым, но не позволяет вносить изменения. | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
| Участник данных Центра Интернета вещей | Обеспечивает полный доступ к операциям плоскости данных Центра Интернета вещей. | 4fc6c259-987e-4a07-842e-c321cc9d413f |
| Читатель данных Центра Интернета вещей | Обеспечивает полный доступ на чтение свойств плоскости данных Центра Интернета вещей | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
| Участник реестра Центра Интернета вещей | Обеспечивает полный доступ к реестру устройств Центра Интернета вещей. | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
| Участник цифрового двойника Центра Интернета вещей | Разрешает доступ на чтение и запись ко всем двойникам устройств и модулей Центра Интернета вещей. | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
| Смешанная реальность | ||
| Администратор Удаленной отрисовки | Предоставляет пользователю возможности преобразования, управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
| Клиент Удаленной отрисовки | Предоставляет пользователю возможности управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. | d39065c4-c120-43c9-ab0a-63eed9795f0a |
| Участник учетной записи пространственных привязок | Позволяет управлять пространственными привязками в вашей учетной записи, но не удалять их. | 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827 |
| Владелец учетной записи пространственных привязок | Позволяет управлять пространственными привязками в вашей учетной записи, в том числе удалять их. | 70bbe301-9835-447d-afdd-19eb3167307c |
| Читатель учетной записи пространственных привязок | Позволяет найти и прочитать свойства пространственных привязок в вашей учетной записи. | 5d51204f-eb77-4b1c-b86a-2ec626c49413 |
| Интеграция | ||
| Участник службы управления API | Может управлять службой и интерфейсами API. | 312a565d-c81f-4fd8-895a-4e21e48d571c |
| Роль оператора службы управления API | Может управлять службой, но не интерфейсами API. | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| Роль читателя данных службы управления API | Доступ к службе и интерфейсам API в режиме "только для чтения". | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| Владелец данных Конфигурации приложений | Предоставляет полный доступ к данным Конфигурации приложений. | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
| Читатель данных Конфигурации приложений | Предоставляет доступ на чтение данных Конфигурации приложений. | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| Прослушиватель Azure Relay | Разрешает доступ на прослушивание к ресурсам Azure Relay. | 26e0b698-aa6d-4085-9386-aadae190014d |
| Владелец Azure Relay | Разрешает полный доступ к ресурсам Azure Relay. | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
| Отправитель Azure Relay | Разрешает доступ на отправку к ресурсам Azure Relay. | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
| Владелец данных служебной шины Azure | Разрешает полный доступ к ресурсам служебной шины Azure. | 090c5cfd-751d-490a-894a-3ce6f1109419 |
| Получатель данных Служебной шины Azure | Разрешает полный доступ к ресурсам служебной шины Azure. | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
| Отправитель данных Служебной шины Azure | Разрешает полный доступ к ресурсам служебной шины Azure. | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
| Владелец регистрации Azure Stack | Позволяет управлять регистрациями Azure Stack. | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |
| Участник EventGrid | Позволяет управлять операциями EventGrid. | 1e241071-0855-49ea-94dc-649edcd759de |
| Отправитель данных Сетки событий | Разрешает доступ на отправку к событиям сетки событий. | d5a91429-5739-47e2-a06b-3470a27159e7 |
| Участник EventGrid EventSubscription | Позволяет управлять операциями с подписками на события Сетки событий. | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
| Читатель EventGrid EventSubscription | Позволяет получить доступ на чтение к подпискам на события Сетки событий. | 2414bbcf-6497-4faf-8c65-045460748405 |
| Разработчик данных FHIR | Эта роль предоставляет пользователю или субъекту полный доступ к данным FHIR. | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
| Средство экспорта данных FHIR | Эта роль позволяет пользователю или субъекту читать и экспортировать данные FHIR. | 3db33094-8700-4567-8da5-1501d4e7e843 |
| Читатель данных FHIR | Эта роль позволяет пользователю или субъекту читать данные FHIR. | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
| Модуль записи данных FHIR | Эта роль позволяет пользователю или субъекту читать и записывать данные FHIR. | 3f88fce4-5892-4214-ae73-ba5294559913 |
| Участник среды службы интеграции | Позволяет вам управлять средами службы интеграции, но не доступом к ним. | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
| Разработчик среды службы интеграции | Позволяет разработчикам создавать и изменять рабочие процессы, учетные записи интеграции и подключения API в средах службы интеграции. | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
| Участник учетной записи интеллектуальных систем | Позволяет управлять учетными записями интеллектуальных систем, но не доступом к ним. | 03a6d094-3444-4b3d-88af-7477090a9e5e |
| Создатель приложений логики | Позволяет управлять приложениями логики, но не доступом к ним. | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
| Оператор приложений логики | Позволяет читать, включать и отключать приложения логики, но не изменять и не обновлять их. | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
| Удостоверение | ||
| Участник доменных служб | Может управлять Azure AD доменными службами и связанными конфигурациями сети | eeaeda52-9324-47f6-8069-5d5bade478b2 |
| Читатель доменных служб | Может просматривать Azure AD доменных служб и связанные конфигурации сети | 361898ef-9ed1-48c2-849c-a832951106bb |
| Участник управляемого удостоверения | Создание, чтение, обновление и удаление пользовательских удостоверений. | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
| Оператор управляемого удостоверения | Чтение и назначение пользовательских удостоверений. | f1a07417-d97a-45cb-824c-7a7467783830 |
| Безопасность | ||
| Участник аттестации | Может читать, записывать или удалять экземпляр поставщика аттестации. | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
| Читатель аттестации | Может считывать свойства поставщика аттестации. | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
| Администратор хранилища ключей | Выполняет все операции с плоскостью данных в хранилище ключей и всех его объектах, включая сертификаты, ключи и секреты. Не может управлять ресурсами хранилища ключей или назначениями ролей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Специалист по сертификатам хранилища ключей | Выполняет любые действия с сертификатами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Участник Key Vault | Предоставляет разрешения на управление хранилищами ключей, но не позволяет назначать роли в Azure RBAC или получать доступ к секретам, ключам или сертификатам. | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| Специалист по шифрованию хранилища ключей | Выполняет любые действия с ключами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Пользователь шифрования для службы шифрования хранилища ключей | Считывает метаданные ключей и выполняет операции упаковки и распаковки. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Пользователь шифрования хранилища ключей | Выполняет криптографические операции с помощью ключей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Читатель хранилища ключей | Считывает метаданные хранилищ ключей и их сертификатов, ключей и секретов. Не может считывать конфиденциальные значения, такие как содержимое секрета или материал ключа. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Специалист по секретам хранилища ключей | Выполняет любые действия с секретами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Пользователь секретов хранилища ключей | Считывает содержимое секретов. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 4633458b-17de-408a-b874-0445c86b69e6 |
| Участник управляемого устройства HSM | Позволяет управлять управляемыми модулями HSM, но не доступом к ним. | 18500a29-7fe2-46b2-a342-b16a415e101d |
| Участник службы автоматизации Microsoft Sentinel | Участник службы автоматизации Microsoft Sentinel | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
| Участник Microsoft Sentinel | Участник Microsoft Sentinel | ab8e14d6-4a74-4a29-9ba8-549422addade |
| Читатель Microsoft Sentinel | Читатель Microsoft Sentinel | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
| Респондент Microsoft Sentinel | Респондент Microsoft Sentinel | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
| Администратор безопасности | Просмотр и обновление разрешений для Microsoft Defender для облака. Имеет те же права, что и читатель сведений о безопасности, но также может изменять политику безопасности, отклонять рекомендации и оповещения. Microsoft Defender для Интернета вещей см. в статье Роли пользователей Azure для мониторинга OT и Корпоративного Интернета вещей. |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
| Участник оценки безопасности | Позволяет отправлять оценки в Microsoft Defender для облака | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
| Диспетчер безопасности (устаревший) | Это устаревшая роль. Используйте вместо нее роль администратора безопасности. | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
| Читатель сведений о безопасности | Просмотр разрешений для Microsoft Defender для облака. Может просматривать рекомендации, оповещения, политику и состояние безопасности, но не может вносить изменения. Microsoft Defender для Интернета вещей см. в статье Роли пользователей Azure для мониторинга OT и Корпоративного Интернета вещей. |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
| DevOps | ||
| Пользователь DevTest Labs | Позволяет подключать, запускать, перезапускать виртуальные машины и завершать их работу в Azure DevTest Labs. | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
| Помощник по лаборатории | Позволяет просматривать существующую лабораторию, выполнять действия на виртуальных машинах лаборатории и отправлять приглашения в лабораторию. | ce40b423-cede-4313-a93f-9b28290b72e1 |
| Участник лаборатории | Применяется на уровне лаборатории, позволяет управлять лабораторией. Применяется к группе ресурсов, позволяет создавать лаборатории и управлять ими. | 5daaa2af-1fe8-407c-9122-bba179798270 |
| Создатель лаборатории | Позволяет создавать лаборатории в учетных записях лабораторий Azure. | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
| Оператор лаборатории | Предоставляет ограниченные возможности для управления существующими лабораториями. | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
| Участник служб лабораторий | Позволяет полностью контролировать все сценарии Служб лабораторий в группе ресурсов. | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
| Читатель служб лабораторий | Позволяет просматривать, но не изменять все планы лаборатории и ресурсы лаборатории. | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
| Мониторинг | ||
| Участник компонента Application Insights | Может управлять компонентами Application Insights | ae349356-3a1b-4a5e-921d-050484c6347e |
| Отладчик моментальных снимков Application Insights | Пользователю предоставляется разрешение на просмотр и загрузку моментальных снимков отладки, собранных с помощью Application Insights Snapshot Debugger. Обратите внимание, что эти разрешения не включены в роли Владелец или Участник. При предоставлении пользователям роли Application Insights Snapshot Debugger необходимо предоставить роль непосредственно пользователю. Роль не распознается при добавлении в настраиваемую роль. | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
| Monitoring Contributor (Участник мониторинга) | Может читать все данные мониторинга и изменять параметры мониторинга. Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| Издатель метрик мониторинга | Включает публикацию метрик ресурсов Azure | 3913510d-42f4-4e42-8a64-420c390055eb |
| Monitoring Reader (Читатель данных мониторинга) | Может читать все данные мониторинга (метрики, журналы и т. д.). Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
| Участник для книг | Может сохранять общие книги. | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
| Читатель книг | Может читать книги. | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
| Управление и управление | ||
| Участник службы автоматизации | Управление служба автоматизации Azure ресурсами и другими ресурсами с помощью служба автоматизации Azure. | f353d9bd-d4a6-484e-a77a-8050b599b867 |
| Оператор задания автоматизации | Создание заданий и управление ими с помощью модулей Runbook службы автоматизации. | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
| Оператор службы автоматизации | Операторы автоматизации могут запускать, останавливать, приостанавливать и возобновлять задания. | d3881f73-407a-4167-8283-e981cbba0404 |
| Оператор Runbook автоматизации | Чтение свойств Runbook, позволяющее создавать задания Runbook. | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
| Роль пользователя кластера Kubernetes с поддержкой Azure Arc | Действие вывода учетных данных пользователей кластера. | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
| Администратор Kubernetes Azure Arc | Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
| Администратор кластера Kubernetes Azure Arc | Позволяет управлять всеми ресурсами в кластере. | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
| Зритель Kubernetes Azure Arc | Позволяет просматривать все ресурсы в кластере или пространстве имен, за исключением секретов. | 63f0a09d-1495-4db4-a681-037d84835eb4 |
| Писатель Kubernetes Azure Arc | Позволяет обновлять все объекты в кластере или пространстве имен, кроме ролей (кластера) и привязок ролей (кластера). | 5b999177-9696-4545-85c7-50de3797e5a1 |
| Подключение Azure Connected Machine | Может подключать компьютеры Azure Connected Machine. | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
| Администратор ресурсов Azure Connected Machine | Может считывать, записывать, удалять и повторно подключать компьютеры Azure Connected Machine. | cd570a14-e51a-42ad-bac8-bafd67325302 |
| Читатель счетов | Разрешает читать данные выставления счетов. | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| Участник схемы | Позволяет управлять определениями схем, но не назначать их. | 41077137-e803-4205-871c-5a86e6a753b4 |
| Оператор схемы | Может назначать существующие опубликованные схемы, но не создавать новые схемы. Обратите внимание, это нужно выполнять только с использованием управляемого удостоверения, назначаемого пользователем. | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
| Участник службы "Управление затратами" | Позволяет просматривать расходы и управлять конфигурацией затрат (например, бюджеты, экспорты) | 434105ed-43f6-45c7-a02f-909b2ba83430 |
| Читатель службы "Управление затратами" | Позволяет просматривать данные о расходах и конфигурации (например, бюджеты, экспорты) | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
| Администратор параметров иерархии | Позволяет пользователям изменять и удалять параметры иерархии. | 350f8d15-c687-4448-8ae1-157740a3936d |
| Кластер Kubernetes — подключение Azure Arc | Определение роли, дающее любому пользователю или службе право создавать ресурс connectedClusters. | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
| Участник расширения Kubernetes | Может создавать, обновлять, получать, перечислять и удалять расширения Kubernetes, а также получать асинхронные операции расширений | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
| Роль участника для управляемых приложений | Позволяет создавать ресурсы управляемых приложений. | 641177b8-a67a-45b9-a033-47bc880bb21e |
| Роль оператора управляемого приложения | Позволяет читать и выполнять действия с ресурсами управляемого приложения. | c7393b34-138c-406f-901b-d8cf2b17e6ae |
| Читатель Управляемых приложений | Позволяет считывать ресурсы в управляемом приложении и запрашивать доступ JIT. | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
| Роль для удаления назначения регистрации управляемых служб | Роль для удаления назначения регистрации управляемых служб позволяет пользователям удалять регистрации, назначенные их клиенту управляемых служб. | 91c1777a-f3dc-4fae-b103-61d183457e46 |
| Участник группы управления | Роль участника группы управления | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| Читатель группы управления | Роль читателя группы управления | ac63b705-f282-497d-ac71-919bf39d939d |
| Участник учетной записи New Relic APM | Позволяет управлять учетными записями и приложениями New Relic Application Performance Management, но не доступом к ним. | 5d28c62d-5b37-4476-8438-e587778df237 |
| Редактор данных анализа политик (предварительная версия) | Предоставляет доступ на чтение политик ресурсов и доступ на запись событий политики компонентов ресурсов. | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
| Оператор запросов квоты | Чтение и создание запросов квоты, получение сведений о состоянии запроса квоты и создание запросов в службу поддержки. | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
| Покупатель резервирований | Позволяет покупать резервирования. | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
| Участник политики ресурсов | Пользователи с правами на создание или изменение политики ресурсов, создание запросов в службу поддержки и чтение ресурсов и иерархии. | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| Участник Site Recovery | Позволяет управлять службой Site Recovery, за исключением создания хранилищ и назначения ролей. | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| Оператор Site Recovery | Позволяет выполнять отработку отказа и восстановление размещения, но не другие операции управления Site Recovery. | 494ae006-db33-4328-bf46-533a6560a3ca |
| Читатель Site Recovery | Позволяет просматривать состояние Site Recovery без выполнения других операций управления. | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| Support Request Contributor (Участник с правом создавать запросы на поддержку) | Позволяет создавать запросы в службу поддержки и управлять ими. | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| Участник по тегам | Позволяет вам управлять тегами в сущностях, не предоставляя доступ к самим сущностям. | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
| Участник спецификации шаблона | Предоставляет полный доступ к операциям спецификации шаблона в назначенной области. | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
| Средство чтения спецификации шаблона | Разрешает доступ на чтение к спецификациям шаблонов в назначенной области. | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
| Инфраструктура виртуальных рабочих столов | ||
| Участник группы приложений виртуализации рабочих столов | Участник группы приложений виртуализации рабочих столов. | 86240b0e-9422-4c43-887b-b61143f32ba8 |
| Читатель группы приложений виртуализации рабочих столов | Читатель группы приложений виртуализации рабочих столов. | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
| Виртуализация рабочего стола, Участник | Участник виртуализации рабочих столов. | 082f0a83-3be5-4ba1-904c-961cca79b387 |
| Участник пула узлов виртуализации рабочих столов | Участник пула узлов виртуализации рабочих столов. | e307426c-f9b6-4e81-87de-d99efb3c32bc |
| Читатель пула узлов виртуализации рабочих столов | Читатель пула узлов виртуализации рабочих столов. | ceadfde2-b300-400a-ab7b-6143895aa822 |
| Виртуализация рабочего стола, Читатель | Читатель виртуализации рабочих столов. | 49a72310-ab8d-41df-bbb0-79b649203868 |
| Оператор узла сеансов виртуализации рабочих столов | Оператор узла сеансов виртуализации рабочих столов. | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
| Пользователь виртуализации рабочих столов | Позволяет пользователю работать с приложениями в группе приложений. | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
| Оператор сеанса пользователей виртуализации рабочих столов | Оператор сеанса пользователей виртуализации рабочих столов. | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
| Участник рабочей области виртуализации рабочих столов | Участник рабочей области виртуализации рабочих столов. | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
| Читатель рабочей области виртуализации рабочих столов | Читатель рабочей области виртуализации рабочих столов. | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
| Другое | ||
| Владелец данных Azure Digital Twins | Роль с полным доступом для плоскости данных Digital Twins. | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Средство чтения данных Azure Digital Twins | Роль только для чтения свойств плоскости данных Digital Twins. | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
| Участник BizTalk | Позволяет управлять службами BizTalk, но не доступом к ним. | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
| Участник нагрузочного теста | Просмотр, создание, обновление, удаление и выполнение нагрузочных тестов. Просмотр и перечисление ресурсов нагрузочного теста, но не может вносить какие-либо изменения. | 749a398d-560b-491b-bb21-08924219302e |
| Владелец нагрузочного теста | Выполнение всех операций с ресурсами нагрузочного теста и нагрузочных тестов | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
| Средство чтения нагрузочных тестов | Просмотр и перечисление всех нагрузочных тестов и ресурсов нагрузочных тестов, но не удается внести изменения | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
| Участник коллекции заданий планировщика | Позволяет управлять коллекциями заданий планировщика, но не доступом к ним. | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
| Оператор центра служб | Роль оператора центра служб позволяет выполнять все операции чтения, записи и удаления, которые относятся к соединителям центра служб. | 82200a5b-e217-47a5-b665-6d8765ee745b |
Общие сведения
Участник
Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC), управлять назначениями в Azure Blueprints или предоставлять общий доступ к галереям изображений. Подробнее
| Действия | Описание |
|---|---|
| * | Создание ресурсов всех типов и управление ими |
| NotActions | |
| Microsoft.Authorization/*/Delete | Удаление ролей, назначение политик, определение политик и определение наборов политик |
| Microsoft.Authorization/*/Write | Создание ролей, назначение ролей, назначение политик, определение политик и определение наборов политик |
| Microsoft.Authorization/elevateAccess/Action | Предоставляет вызывающему доступ с правами администратора для области действия клиента. |
| Microsoft.Blueprint/blueprintAssignments/write | Создание или изменение любых назначений схемы |
| Microsoft.Blueprint/blueprintAssignments/delete | Удаление любых назначений схемы |
| Microsoft.Compute/galleries/share/action | Предоставляет общий доступ к коллекции для разных областей. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец
Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC. Подробнее
| Действия | Описание |
|---|---|
| * | Создание ресурсов всех типов и управление ими |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель
Дает возможность просматривать все ресурсы, но не позволяет вносить изменения. Подробнее
| Действия | Описание |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "View all resources, but does not allow you to make any changes.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
"name": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор доступа пользователей
Позволяет управлять доступом пользователей к ресурсам Azure. Подробнее
| Действия | Описание |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| Microsoft.Authorization/* | Управление авторизацией |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Службы вычислений
Участник классической виртуальной машины
Позволяет управлять классическими виртуальными машинами, но не доступом к ним и не учетной записью виртуальной сети или хранения, к которой они подключены.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ClassicCompute/domainNames/* | Создание доменных имен для классических вычислений и управление ими |
| Microsoft.ClassicCompute/virtualMachines/* | создание виртуальных машин и управление ими; |
| Microsoft.ClassicNetwork/networkSecurityGroups/join/action | |
| Microsoft.ClassicNetwork/reservedIps/link/action | Привязывает зарезервированный IP-адрес. |
| Microsoft.ClassicNetwork/reservedIps/read | Возвращает зарезервированные IP-адреса. |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | Подключает виртуальную сеть. |
| Microsoft.ClassicNetwork/virtualNetworks/read | Возвращает виртуальную сеть. |
| Microsoft.ClassicStorage/storageAccounts/disks/read | Возвращает диск в учетной записи хранения. |
| Microsoft.ClassicStorage/storageAccounts/images/read | Возвращает образ в учетной записи хранения. (Не рекомендуется. Используйте Microsoft.ClassicStorage/storageAccounts/vmImages) |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | Отображает ключи доступа для учетных записей хранения. |
| Microsoft.ClassicStorage/storageAccounts/read | Возвращает учетную запись хранения для заданной учетной записи. |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage classic virtual machines, but not access to them, and not the virtual network or storage account they're connected to.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d73bb868-a0df-4d4d-bd69-98a00b01fccb",
"name": "d73bb868-a0df-4d4d-bd69-98a00b01fccb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/domainNames/*",
"Microsoft.ClassicCompute/virtualMachines/*",
"Microsoft.ClassicNetwork/networkSecurityGroups/join/action",
"Microsoft.ClassicNetwork/reservedIps/link/action",
"Microsoft.ClassicNetwork/reservedIps/read",
"Microsoft.ClassicNetwork/virtualNetworks/join/action",
"Microsoft.ClassicNetwork/virtualNetworks/read",
"Microsoft.ClassicStorage/storageAccounts/disks/read",
"Microsoft.ClassicStorage/storageAccounts/images/read",
"Microsoft.ClassicStorage/storageAccounts/listKeys/action",
"Microsoft.ClassicStorage/storageAccounts/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Classic Virtual Machine Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор данных для Управляемые диски
Предоставляет разрешения на отправку данных на пустые управляемые диски, чтение или экспорт данных управляемых дисков (не подключенных к работающим виртуальным машинам) и моментальных снимков с помощью URI SAS и проверки подлинности Azure AD.
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Compute/disks/download/action | Выполнение операций чтения данных с URI SAS диска |
| Microsoft.Compute/disks/upload/action | Выполнение операций записи данных с URI SAS диска |
| Microsoft.Compute/snapshots/download/action | Выполнение операций чтения данных с URI SAS моментального снимка |
| Microsoft.Compute/snapshots/upload/action | Выполнение операций записи данных в URI SAS моментального снимка |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to upload data to empty managed disks, read, or export data of managed disks (not attached to running VMs) and snapshots using SAS URIs and Azure AD authentication.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/959f8984-c045-4866-89c7-12bf9737be2e",
"name": "959f8984-c045-4866-89c7-12bf9737be2e",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Compute/disks/download/action",
"Microsoft.Compute/disks/upload/action",
"Microsoft.Compute/snapshots/download/action",
"Microsoft.Compute/snapshots/upload/action"
],
"notDataActions": []
}
],
"roleName": "Data Operator for Managed Disks",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель резервной копии диска
Предоставляет резервному хранилищу разрешение для выполнения архивации диска. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Compute/disks/read | Возвращает свойства диска. |
| Microsoft.Compute/disks/beginGetAccess/action | Возвращает универсальный код ресурса (URI) SAS диска для доступа к большому двоичному объекту. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Provides permission to backup vault to perform disk backup.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3e5e47e6-65f7-47ef-90b5-e5dd4d455f24",
"name": "3e5e47e6-65f7-47ef-90b5-e5dd4d455f24",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/beginGetAccess/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Disk Backup Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор пула дисков
Предоставьте поставщику ресурсов StoragePool разрешение на управление дисками, добавленными в пул дисков.
| Действия | Описание |
|---|---|
| Microsoft.Compute/disks/write | Создает новый диск или обновляет существующий. |
| Microsoft.Compute/disks/read | Возвращает свойства диска. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Used by the StoragePool Resource Provider to manage Disks added to a Disk Pool.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/60fc6e62-5479-42d4-8bf4-67625fcc2840",
"name": "60fc6e62-5479-42d4-8bf4-67625fcc2840",
"permissions": [
{
"actions": [
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Disk Pool Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор восстановления дисков
Предоставляет резервному хранилищу разрешение на выполнение восстановления диска. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Compute/disks/write | Создает новый диск или обновляет существующий. |
| Microsoft.Compute/disks/read | Возвращает свойства диска. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Provides permission to backup vault to perform disk restore.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b50d9833-a0cb-478e-945f-707fcc997c13",
"name": "b50d9833-a0cb-478e-945f-707fcc997c13",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Disk Restore Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник моментальных снимков дисков
Предоставляет резервному хранилищу разрешение на управление моментальными снимками дисков. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Compute/snapshots/delete | Удаляет моментальный снимок. |
| Microsoft.Compute/snapshots/write | Создает новый моментальный снимок или обновляет существующий. |
| Microsoft.Compute/snapshots/read | Возвращает свойства моментального снимка. |
| Microsoft.Compute/snapshots/beginGetAccess/action | Получение универсального кода ресурса (URI) SAS моментального снимка для доступа к большому двоичному объекту. |
| Microsoft.Compute/snapshots/endGetAccess/action | Отмена универсального кода ресурса (URI) SAS моментального снимка. |
| Microsoft.Compute/disks/beginGetAccess/action | Возвращает универсальный код ресурса (URI) SAS диска для доступа к большому двоичному объекту. |
| Microsoft.Storage/storageAccounts/listkeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/write | Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/delete | Удаляет существующую учетную запись хранения. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Provides permission to backup vault to manage disk snapshots.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/7efff54f-a5b4-42b5-a1c5-5411624893ce",
"name": "7efff54f-a5b4-42b5-a1c5-5411624893ce",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/beginGetAccess/action",
"Microsoft.Compute/snapshots/endGetAccess/action",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Disk Snapshot Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор виртуальной машины
Позволяет просматривать виртуальные машины на портале и входить в систему с правами администратора. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Compute/virtualMachines/*/read | |
| Microsoft.HybridCompute/machines/*/read | |
| Microsoft.HybridConnectivity/endpoints/listCredentials/action | Вывод списка учетных данных доступа к конечной точке к ресурсу. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Compute/virtualMachines/login/action | Вход в систему на виртуальной машине в качестве обычного пользователя. |
| Microsoft.Compute/virtualMachines/loginAsAdmin/action | Вход в систему на виртуальной машине с правами администратора Windows или привилегированного пользователя Linux. |
| Microsoft.HybridCompute/machines/login/action | Вход в систему на машине Azure Arc в качестве обычного пользователя |
| Microsoft.HybridCompute/machines/loginAsAdmin/action | Вход в систему на машине Azure Arc с правами администратора Windows или привилегированного пользователя Linux |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "View Virtual Machines in the portal and login as administrator",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/1c0163c0-47e6-4577-8991-ea5c82e286e4",
"name": "1c0163c0-47e6-4577-8991-ea5c82e286e4",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Compute/virtualMachines/*/read",
"Microsoft.HybridCompute/machines/*/read",
"Microsoft.HybridConnectivity/endpoints/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Compute/virtualMachines/login/action",
"Microsoft.Compute/virtualMachines/loginAsAdmin/action",
"Microsoft.HybridCompute/machines/login/action",
"Microsoft.HybridCompute/machines/loginAsAdmin/action"
],
"notDataActions": []
}
],
"roleName": "Virtual Machine Administrator Login",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник виртуальной машины
Создание виртуальных машин и управление ими, управление дисками, установка и запуск программного обеспечения, сброс пароля корневого пользователя виртуальной машины с помощью расширений виртуальной машины, а также управление учетными записями локальных пользователей с помощью расширений виртуальной машины. Эта роль не предоставляет доступ для управления виртуальной сетью или учетной записью хранения, к которой подключены виртуальные машины. Эта роль не позволяет назначать роли в Azure RBAC. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Compute/availabilitySets/* | Создание групп доступности вычислений и управление ими |
| Microsoft.Compute/locations/* | Создание расположений вычислений и управление ими |
| Microsoft.Compute/virtualMachines/* | Позволяет выполнять любые действия с виртуальной машиной, включая создание, обновление, удаление, запуск, перезапуск и отключение виртуальной машиной. Выполнение скриптов на виртуальных машинах. |
| Microsoft.Compute/virtualMachineScaleSets/* | создание масштабируемых наборов виртуальных машин и управление ими. |
| Microsoft.Compute/cloudServices/* | |
| Microsoft.Compute/disks/write | Создает новый диск или обновляет существующий. |
| Microsoft.Compute/disks/read | Возвращает свойства диска. |
| Microsoft.Compute/disks/delete | Удаляет диск. |
| Microsoft.DevTestLab/schedules/* | |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Network/applicationGateways/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов шлюза приложений. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/inboundNatPools/join/action | Присоединяет пул входящих подключений NAT подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/probes/join/action | Разрешение использования зондов подсистемы балансировки нагрузки. Например, при наличии этого разрешения свойство healthProbe в масштабируемом наборе виртуальных машин может ссылаться на конкретный зонд. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/locations/* | Создание сетевых расположений и управление ими |
| Microsoft.Network/networkInterfaces/* | Создание сетевых интерфейсов и управление ими |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft.Network/publicIPAddresses/join/action | Присоединяет общедоступный IP-адрес. Не предусматривает отправку оповещений. |
| Microsoft.Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.RecoveryServices/locations/* | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write | Создание цели защиты для резервной копии. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/*/read | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read | Возвращает сведения об объекте для защищенного элемента. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write | Создает элемент, защищенный службой архивации. |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read | Возвращает все политики защиты. |
| Microsoft.RecoveryServices/Vaults/backupPolicies/write | Создает политику защиты. |
| Microsoft.RecoveryServices/Vaults/read | Операция получения хранилища возвращает объект, представляющий ресурс Azure типа "хранилище". |
| Microsoft.RecoveryServices/Vaults/usages/read | Возвращает данные об использовании хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/write | Создает операцию создания хранилища, которая создает ресурс Azure типа "хранилище". |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.SerialConsole/serialPorts/connect/action | Подключение к последовательному порту |
| Microsoft.SqlVirtualMachine/* | |
| Microsoft.Storage/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage virtual machines, but not access to them, and not the virtual network or storage account they're connected to.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/9980e02c-c2be-4d73-94e8-173b1dc7cf3c",
"name": "9980e02c-c2be-4d73-94e8-173b1dc7cf3c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/locations/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Compute/virtualMachineScaleSets/*",
"Microsoft.Compute/cloudServices/*",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.DevTestLab/schedules/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/applicationGateways/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/loadBalancers/probes/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/locations/*",
"Microsoft.Network/networkInterfaces/*",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.RecoveryServices/locations/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/*/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write",
"Microsoft.RecoveryServices/Vaults/backupPolicies/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/write",
"Microsoft.RecoveryServices/Vaults/read",
"Microsoft.RecoveryServices/Vaults/usages/read",
"Microsoft.RecoveryServices/Vaults/write",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.SerialConsole/serialPorts/connect/action",
"Microsoft.SqlVirtualMachine/*",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Virtual Machine Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь виртуальной машины
Позволяет просматривать виртуальные машины на портале и входить в систему с правами обычного пользователя. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Compute/virtualMachines/*/read | |
| Microsoft.HybridCompute/machines/*/read | |
| Microsoft.HybridConnectivity/endpoints/listCredentials/action | Перечислить учетные данные доступа к конечной точке к ресурсу. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Compute/virtualMachines/login/action | Вход в систему на виртуальной машине в качестве обычного пользователя. |
| Microsoft.HybridCompute/machines/login/action | Вход в систему на машине Azure Arc в качестве обычного пользователя |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "View Virtual Machines in the portal and login as a regular user.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fb879df8-f326-4884-b1cf-06f3ad86be52",
"name": "fb879df8-f326-4884-b1cf-06f3ad86be52",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Compute/virtualMachines/*/read",
"Microsoft.HybridCompute/machines/*/read",
"Microsoft.HybridConnectivity/endpoints/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Compute/virtualMachines/login/action",
"Microsoft.HybridCompute/machines/login/action"
],
"notDataActions": []
}
],
"roleName": "Virtual Machine User Login",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Вход администратора Windows Admin Center
Давайте управлять ОС ресурса с помощью Windows Admin Center в качестве администратора. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.HybridCompute/machines/*/read | |
| Microsoft.HybridCompute/machines/extensions/* | |
| Microsoft.HybridCompute/machines/upgradeExtensions/action | Обновляет расширения на компьютерах Azure Arc |
| Microsoft.HybridCompute/operations/read | Чтение всех операций для Azure Arc для серверов |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | Возвращает определение правила безопасности по умолчанию. |
| Microsoft.Network/networkWatchers/securityGroupView/action | Отображает настроенные и действующие правила группы безопасности сети для виртуальной машины. |
| Microsoft.Network/networkSecurityGroups/securityRules/read | Возвращает определение правила безопасности. |
| Microsoft.Network/networkSecurityGroups/securityRules/write | Создает новое правило безопасности или обновляет существующее. |
| Microsoft.HybridConnectivity/endpoints/write | Создайте или обновите конечную точку для целевого ресурса. |
| Microsoft.HybridConnectivity/endpoints/read | Получение или список конечных точек для целевого ресурса. |
| Microsoft.HybridConnectivity/endpoints/listManagedProxyDetails/action | Вывод сведений об управляемом прокси-сервере для ресурса. |
| Microsoft.Compute/virtualMachines/read | Возвращает свойства виртуальной машины. |
| Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/read | Получает сводки операции оценки последних исправлений |
| Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches/read | Получает список исправлений, оцененных во время последней операции оценки исправлений. |
| Microsoft.Compute/virtualMachines/patchInstallationResults/read | Получает сводку по операции установки последних исправлений |
| Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read | Получает список исправлений, попытка установить которые была выполнена во время последней операции установки исправлений. |
| Microsoft.Compute/virtualMachines/extensions/read | Возвращает свойства расширения виртуальной машины. |
| Microsoft.Compute/virtualMachines/instanceView/read | Возвращает состояние выполнения виртуальной машины и ее ресурсов. |
| Microsoft.Compute/virtualMachines/runCommands/read | Получение свойств команды выполнения виртуальной машины |
| Microsoft.Compute/virtualMachines/vmSizes/read | Выводит список доступных размеров для обновления виртуальной машины. |
| Microsoft.Compute/locations/publishers/artifacttypes/types/read | Получение свойств типа расширения виртуальной машины. |
| Microsoft.Compute/locations/publishers/artifacttypes/types/versions/read | Получение свойств версии расширения виртуальной машины. |
| Microsoft.Compute/diskAccesses/read | Возвращает свойства ресурса DiskAccess |
| Microsoft.Compute/galleries/images/read | Получает свойства образа коллекции. |
| Microsoft.Compute/images/read | Возвращает свойства образа. |
| Microsoft.AzureStackHCI/Clusters/Read | Возвращает кластеры. |
| Microsoft.AzureStackHCI/Clusters/ArcSettings/Read | Возвращает ресурс arc кластера HCI. |
| Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Read | Возвращает ресурс расширения кластера HCI. |
| Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Write | Создание или обновление ресурса расширения кластера HCI |
| Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Delete | Удаление ресурсов расширения кластера HCI |
| Microsoft.AzureStackHCI/Operations/Read | Получает операции |
| Microsoft.ConnectedVMwarevSphere/VirtualMachines/Read | Чтение виртуальных машин |
| Microsoft.ConnectedVMwarevSphere/VirtualMachines/Extensions/Write | Запись ресурса расширения |
| Microsoft.ConnectedVMwarevSphere/VirtualMachines/Extensions/Read | Возвращает ресурс расширения. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.HybridCompute/machines/WACLoginAsAdmin/action | Позволяет управлять ОС ресурса с помощью Windows Admin Center в качестве администратора. |
| Microsoft.Compute/virtualMachines/WACloginAsAdmin/action | Позволяет управлять ОС ресурса с помощью Windows Admin Center в качестве администратора. |
| Microsoft.AzureStackHCI/Clusters/WACloginAsAdmin/Action | Управление ОС ресурса HCI с помощью Windows Admin Center в качестве администратора |
| Microsoft.ConnectedVMwarevSphere/virtualmachines/WACloginAsAdmin/action | Позволяет управлять ОС ресурса с помощью Windows Admin Center в качестве администратора. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Let's you manage the OS of your resource via Windows Admin Center as an administrator.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a6333a3e-0164-44c3-b281-7a577aff287f",
"name": "a6333a3e-0164-44c3-b281-7a577aff287f",
"permissions": [
{
"actions": [
"Microsoft.HybridCompute/machines/*/read",
"Microsoft.HybridCompute/machines/extensions/*",
"Microsoft.HybridCompute/machines/upgradeExtensions/action",
"Microsoft.HybridCompute/operations/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkWatchers/securityGroupView/action",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/networkSecurityGroups/securityRules/write",
"Microsoft.HybridConnectivity/endpoints/write",
"Microsoft.HybridConnectivity/endpoints/read",
"Microsoft.HybridConnectivity/endpoints/listManagedProxyDetails/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/read",
"Microsoft.Compute/virtualMachines/patchAssessmentResults/latest/softwarePatches/read",
"Microsoft.Compute/virtualMachines/patchInstallationResults/read",
"Microsoft.Compute/virtualMachines/patchInstallationResults/softwarePatches/read",
"Microsoft.Compute/virtualMachines/extensions/read",
"Microsoft.Compute/virtualMachines/instanceView/read",
"Microsoft.Compute/virtualMachines/runCommands/read",
"Microsoft.Compute/virtualMachines/vmSizes/read",
"Microsoft.Compute/locations/publishers/artifacttypes/types/read",
"Microsoft.Compute/locations/publishers/artifacttypes/types/versions/read",
"Microsoft.Compute/diskAccesses/read",
"Microsoft.Compute/galleries/images/read",
"Microsoft.Compute/images/read",
"Microsoft.AzureStackHCI/Clusters/Read",
"Microsoft.AzureStackHCI/Clusters/ArcSettings/Read",
"Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Read",
"Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Write",
"Microsoft.AzureStackHCI/Clusters/ArcSettings/Extensions/Delete",
"Microsoft.AzureStackHCI/Operations/Read",
"Microsoft.ConnectedVMwarevSphere/VirtualMachines/Read",
"Microsoft.ConnectedVMwarevSphere/VirtualMachines/Extensions/Write",
"Microsoft.ConnectedVMwarevSphere/VirtualMachines/Extensions/Read"
],
"notActions": [],
"dataActions": [
"Microsoft.HybridCompute/machines/WACLoginAsAdmin/action",
"Microsoft.Compute/virtualMachines/WACloginAsAdmin/action",
"Microsoft.AzureStackHCI/Clusters/WACloginAsAdmin/Action",
"Microsoft.ConnectedVMwarevSphere/virtualmachines/WACloginAsAdmin/action"
],
"notDataActions": []
}
],
"roleName": "Windows Admin Center Administrator Login",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Сеть
Участник конечных точек CDN
Может управлять конечными точками CDN, но не может предоставлять доступ другим пользователям.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/endpoints/* | |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can manage CDN endpoints, but can't grant access to other users.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/426e0c7f-0c7e-4658-b36f-ff54d6c29b45",
"name": "426e0c7f-0c7e-4658-b36f-ff54d6c29b45",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cdn/edgenodes/read",
"Microsoft.Cdn/operationresults/*",
"Microsoft.Cdn/profiles/endpoints/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CDN Endpoint Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель конечной точки CDN
Может просматривать конечные точки CDN, но не может вносить изменения.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/endpoints/*/read | |
| Microsoft.Cdn/profiles/afdendpoints/validateCustomDomain/action | |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can view CDN endpoints, but can't make changes.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/871e35f6-b5c1-49cc-a043-bde969a0f2cd",
"name": "871e35f6-b5c1-49cc-a043-bde969a0f2cd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cdn/edgenodes/read",
"Microsoft.Cdn/operationresults/*",
"Microsoft.Cdn/profiles/endpoints/*/read",
"Microsoft.Cdn/profiles/afdendpoints/validateCustomDomain/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CDN Endpoint Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник профиля CDN
Может управлять профилями CDN и их конечными точками, но не может предоставлять доступ другим пользователям. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/* | |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can manage CDN profiles and their endpoints, but can't grant access to other users.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ec156ff8-a8d1-4d15-830c-5b80698ca432",
"name": "ec156ff8-a8d1-4d15-830c-5b80698ca432",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cdn/edgenodes/read",
"Microsoft.Cdn/operationresults/*",
"Microsoft.Cdn/profiles/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CDN Profile Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных профиля CDN
Может просматривать профили CDN и их конечные точки, но не может вносить изменения.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/*/read | |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can view CDN profiles and their endpoints, but can't make changes.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8f96442b-4075-438f-813d-ad51ab4019af",
"name": "8f96442b-4075-438f-813d-ad51ab4019af",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cdn/edgenodes/read",
"Microsoft.Cdn/operationresults/*",
"Microsoft.Cdn/profiles/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CDN Profile Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник классической сети
Позволяет управлять классическими сетями, но не доступом к ним. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ClassicNetwork/* | Создание классических сетей и управление ими |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage classic networks, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b34d265f-36f7-4a0d-a4d4-e158ca92e90f",
"name": "b34d265f-36f7-4a0d-a4d4-e158ca92e90f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicNetwork/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Classic Network Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник зоны DNS
Позволяет управлять зонами DNS и наборами записей в Azure DNS, но не тем, кому они будут доступны. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Network/dnsZones/* | Создание зон и записей DNS и управление ими. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage DNS zones and record sets in Azure DNS, but does not let you control who has access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/befefa01-2a29-4197-83a8-272ff33ce314",
"name": "befefa01-2a29-4197-83a8-272ff33ce314",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/dnsZones/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "DNS Zone Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник сети
Позволяет управлять сетями, но не доступом к ним.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Network/* | Создание сетей и управление ими |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage networks, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4d97b98b-1d4f-4787-a291-c67834d212e7",
"name": "4d97b98b-1d4f-4787-a291-c67834d212e7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Network Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник частной зоны DNS
Позволяет управлять ресурсами частной зоны DNS, но не виртуальными сетями, с которыми они связаны. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Network/privateDnsZones/* | |
| Microsoft.Network/privateDnsOperationResults/* | |
| Microsoft.Network/privateDnsOperationStatuses/* | |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage private DNS zone resources, but not the virtual networks they are linked to.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b12aa53e-6015-4669-85d0-8515ebb3ae7f",
"name": "b12aa53e-6015-4669-85d0-8515ebb3ae7f",
"permissions": [
{
"actions": [
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Network/privateDnsZones/*",
"Microsoft.Network/privateDnsOperationResults/*",
"Microsoft.Network/privateDnsOperationStatuses/*",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Private DNS Zone Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник диспетчера трафика
Позволяет управлять профилями диспетчера трафика, но не доступом к ним.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Network/trafficManagerProfiles/* | |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Traffic Manager profiles, but does not let you control who has access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a4b10055-b0c7-44c2-b00f-c7b5b3550cf7",
"name": "a4b10055-b0c7-44c2-b00f-c7b5b3550cf7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/trafficManagerProfiles/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Traffic Manager Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Память
Участник Avere
Может создавать и контролировать кластер Avere vFXT. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Compute/*/read | |
| Microsoft.Compute/availabilitySets/* | |
| Microsoft.Compute/proximityPlacementGroups/* | |
| Microsoft.Compute/virtualMachines/* | |
| Microsoft.Compute/disks/* | |
| Microsoft.Network/*/read | |
| Microsoft.Network/networkInterfaces/* | |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Storage/*/read | |
| Microsoft.Storage/storageAccounts/* | Создание учетных записей хранения и управление ими |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | Возвращает ресурсы группы ресурсов. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | Возвращение результата, полученного при удалении большого двоичного объекта. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | Возвращение большого двоичного объекта или списка таких объектов. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | Возвращение результата, полученного при записи большого двоичного объекта. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can create and manage an Avere vFXT cluster.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4f8fab4f-1852-4a58-a46a-8eaf358af14a",
"name": "4f8fab4f-1852-4a58-a46a-8eaf358af14a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Compute/*/read",
"Microsoft.Compute/availabilitySets/*",
"Microsoft.Compute/proximityPlacementGroups/*",
"Microsoft.Compute/virtualMachines/*",
"Microsoft.Compute/disks/*",
"Microsoft.Network/*/read",
"Microsoft.Network/networkInterfaces/*",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/deployments/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/*/read",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
],
"roleName": "Avere Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор Avere
Используется кластером Avere vFXT для управления кластером. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Compute/virtualMachines/read | Возвращает свойства виртуальной машины. |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Storage/storageAccounts/blobServices/containers/delete | Возвращение результата удаления контейнера. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Возвращает список контейнеров. |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Возвращает результат размещения контейнера больших двоичных объектов. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | Возвращение результата, полученного при удалении большого двоичного объекта. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | Возвращение большого двоичного объекта или списка таких объектов. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | Возвращение результата, полученного при записи большого двоичного объекта. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Used by the Avere vFXT cluster to manage the cluster",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c025889f-8102-4ebf-b32c-fc0c6f0c6bd9",
"name": "c025889f-8102-4ebf-b32c-fc0c6f0c6bd9",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
],
"notDataActions": []
}
],
"roleName": "Avere Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник резервного копирования
Позволяет управлять службой архивации, но не разрешает создавать хранилища и предоставлять доступ другим пользователям. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.RecoveryServices/locations/* | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/* | Управление результатами операций управления резервным копированием |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/* | Создание контейнеров резервных копий внутри структуры резервного копирования хранилища служб восстановления и управление этими контейнерами |
| Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action | Обновляет список контейнеров. |
| Microsoft.RecoveryServices/Vaults/backupJobs/* | Создание заданий резервного копирования и управление ими |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action | Экспортирует задания. |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/* | Создание результатов операций управления резервным копированием и управление ими |
| Microsoft.RecoveryServices/Vaults/backupPolicies/* | Создание политик резервного копирования и управление ими |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/* | Создание элементов, для которых можно создавать резервные копии, и управление ими |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/* | Создание элементов, включаемых в резервную копию, и управление ими |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/* | Создание контейнеров с элементами, включаемыми в резервную копию, и управление такими контейнерами |
| Microsoft.RecoveryServices/Vaults/backupSecurityPIN/* | |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read | Возвращает сводки по защищенным элементам и защищенным серверам для служб восстановления. |
| Microsoft.RecoveryServices/Vaults/certificates/* | Создание сертификатов, связанных с резервной копией в хранилище служб восстановления, и управление ими |
| Microsoft.RecoveryServices/Vaults/extendedInformation/* | Создание расширенных сведений, связанных с хранилищем, и управление ими |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | Возвращает оповещения для хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* | |
| Microsoft.RecoveryServices/Vaults/read | Операция получения хранилища возвращает объект, представляющий ресурс Azure типа "хранилище". |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/* | Создание зарегистрированных удостоверений и управление ими |
| Microsoft.RecoveryServices/Vaults/usages/* | Создание хранилища служб восстановления и управление его использованием |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft.RecoveryServices/Vaults/backupstorageconfig/* | |
| Microsoft.RecoveryServices/Vaults/backupconfig/* | |
| Microsoft.RecoveryServices/Vaults/backupValidateOperation/action | Проверка операций для защищенного элемента |
| Microsoft.RecoveryServices/Vaults/write | Создает операцию создания хранилища, которая создает ресурс Azure типа "хранилище". |
| Microsoft.RecoveryServices/Vaults/backupOperations/read | Возвращает состояние операции архивации для хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/backupEngines/read | Возвращение всех серверов управления архивацией, зарегистрированных в хранилище. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/* | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read | Получение всех защищаемых контейнеров. |
| Microsoft.RecoveryServices/locations/backupStatus/action | Проверка состояния архивации хранилищ служб восстановления. |
| Microsoft.RecoveryServices/locations/backupPreValidateProtection/action | |
| Microsoft.RecoveryServices/locations/backupValidateFeatures/action | Проверка компонентов. |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/write | Разрешение оповещения. |
| Microsoft.RecoveryServices/operations/read | Получение списка операций для поставщика ресурсов. |
| Microsoft.RecoveryServices/locations/operationStatus/read | Возвращает состояние операции для данной операции |
| Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read | Вывод списка всех целей защиты для резервного копирования. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.DataProtection/locations/getBackupStatus/action | Проверка состояния архивации хранилищ служб восстановления. |
| Microsoft.DataProtection/backupVaults/backupInstances/write | Создает экземпляр резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/delete | Удаляет экземпляр резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/read | Возвращает все экземпляры резервных копий |
| Microsoft.DataProtection/backupVaults/backupInstances/read | Возвращает все экземпляры резервных копий |
| Microsoft.DataProtection/backupVaults/deletedBackupInstances/read | Вывод списка обратимо удаленных экземпляров резервного копирования в хранилище резервных копий. |
| Microsoft.DataProtection/backupVaults/deletedBackupInstances/undelete/action | Отмена удаления обратимо удаленного экземпляра резервной копии. Экземпляр резервного копирования переходит из softDeleted в состояние ProtectionStopped. |
| Microsoft.DataProtection/backupVaults/backupInstances/backup/action | Выполняет резервное копирование экземпляра резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action | Проверяет восстановление экземпляра резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/restore/action | Активирует восстановление экземпляра резервной копии |
| Microsoft.DataProtection/backupVaults/backupPolicies/write | Создает политику резервного копирования |
| Microsoft.DataProtection/backupVaults/backupPolicies/delete | Удаляет политику резервного копирования |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | Возвращает все политики резервного копирования |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | Возвращает все политики резервного копирования |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | Возвращает все точки восстановления |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | Возвращает все точки восстановления |
| Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action | Выполняет поиск диапазонов времени с возможностью восстановления |
| Microsoft.DataProtection/backupVaults/write | Операция создания резервного хранилища создает ресурс Azure типа "Хранилище резервных копий" |
| Microsoft.DataProtection/backupVaults/read | Получает список хранилищ резервных копий в группе ресурсов |
| Microsoft.DataProtection/backupVaults/operationResults/read | Возвращает результат операции PATCH для хранилища резервных копий |
| Microsoft.DataProtection/backupVaults/operationStatus/read | Возвращает сведения о состоянии операции резервного копирования для хранилища резервных копий |
| Microsoft.DataProtection/locations/checkNameAvailability/action | Проверяет, доступно ли запрошенное имя хранилища резервных копий |
| Microsoft.DataProtection/backupVaults/read | Получает список хранилищ резервных копий в группе ресурсов |
| Microsoft.DataProtection/backupVaults/read | Получает список хранилищ резервных копий в группе ресурсов |
| Microsoft.DataProtection/locations/operationStatus/read | Возвращает сведения о состоянии операции резервного копирования для хранилища резервных копий |
| Microsoft.DataProtection/locations/operationResults/read | Возвращает результат операции резервного копирования для хранилища резервных копий |
| Microsoft.DataProtection/backupVaults/validateForBackup/action | Проверяет резервное копирование экземпляра резервной копии |
| Microsoft.DataProtection/operations/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage backup service,but can't create vaults and give access to others",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5e467623-bb1f-42f4-a55d-6e525e11384b",
"name": "5e467623-bb1f-42f4-a55d-6e525e11384b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.RecoveryServices/locations/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action",
"Microsoft.RecoveryServices/Vaults/backupJobs/*",
"Microsoft.RecoveryServices/Vaults/backupJobsExport/action",
"Microsoft.RecoveryServices/Vaults/backupOperationResults/*",
"Microsoft.RecoveryServices/Vaults/backupPolicies/*",
"Microsoft.RecoveryServices/Vaults/backupProtectableItems/*",
"Microsoft.RecoveryServices/Vaults/backupProtectedItems/*",
"Microsoft.RecoveryServices/Vaults/backupProtectionContainers/*",
"Microsoft.RecoveryServices/Vaults/backupSecurityPIN/*",
"Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read",
"Microsoft.RecoveryServices/Vaults/certificates/*",
"Microsoft.RecoveryServices/Vaults/extendedInformation/*",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/read",
"Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*",
"Microsoft.RecoveryServices/Vaults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/*",
"Microsoft.RecoveryServices/Vaults/usages/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.RecoveryServices/Vaults/backupstorageconfig/*",
"Microsoft.RecoveryServices/Vaults/backupconfig/*",
"Microsoft.RecoveryServices/Vaults/backupValidateOperation/action",
"Microsoft.RecoveryServices/Vaults/write",
"Microsoft.RecoveryServices/Vaults/backupOperations/read",
"Microsoft.RecoveryServices/Vaults/backupEngines/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/*",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read",
"Microsoft.RecoveryServices/locations/backupStatus/action",
"Microsoft.RecoveryServices/locations/backupPreValidateProtection/action",
"Microsoft.RecoveryServices/locations/backupValidateFeatures/action",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/write",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.RecoveryServices/locations/operationStatus/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read",
"Microsoft.Support/*",
"Microsoft.DataProtection/locations/getBackupStatus/action",
"Microsoft.DataProtection/backupVaults/backupInstances/write",
"Microsoft.DataProtection/backupVaults/backupInstances/delete",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/deletedBackupInstances/read",
"Microsoft.DataProtection/backupVaults/deletedBackupInstances/undelete/action",
"Microsoft.DataProtection/backupVaults/backupInstances/backup/action",
"Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action",
"Microsoft.DataProtection/backupVaults/backupInstances/restore/action",
"Microsoft.DataProtection/backupVaults/backupPolicies/write",
"Microsoft.DataProtection/backupVaults/backupPolicies/delete",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action",
"Microsoft.DataProtection/backupVaults/write",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/operationResults/read",
"Microsoft.DataProtection/backupVaults/operationStatus/read",
"Microsoft.DataProtection/locations/checkNameAvailability/action",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/locations/operationStatus/read",
"Microsoft.DataProtection/locations/operationResults/read",
"Microsoft.DataProtection/backupVaults/validateForBackup/action",
"Microsoft.DataProtection/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Backup Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор резервного копирования
Позволяет управлять службами архивации, но не удалять архивные копии, создавать хранилища или предоставлять доступ другим пользователям. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read | Возвращает состояние операции. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read | Возвращает результат операции, выполненной с контейнером защиты. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/backup/action | Архивирует защищенный элемент. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read | Возвращает результат операции, выполненной с защищенными элементами. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read | Возвращает состояние операции, выполненной с защищенными элементами. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read | Возвращает сведения об объекте для защищенного элемента. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/provisionInstantItemRecovery/action | Подготавливает мгновенное восстановление для защищенного элемента. |
| Microsoft.RecoveryServices/vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/accessToken/action | Получает AccessToken для восстановления между регионами. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read | Возвращает точки восстановления для защищенных элементов. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/restore/action | Восстанавливает точки восстановления для защищенных элементов. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/revokeInstantItemRecovery/action | Отменяет мгновенное восстановление для защищенного элемента. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write | Создает элемент, защищенный службой архивации. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read | Возвращает все зарегистрированные контейнеры. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action | Обновляет список контейнеров. |
| Microsoft.RecoveryServices/Vaults/backupJobs/* | Создание заданий резервного копирования и управление ими |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action | Экспортирует задания. |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/* | Создание результатов операций управления резервным копированием и управление ими |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read | Возвращает результаты операции политики. |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read | Возвращает все политики защиты. |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/* | Создание элементов, для которых можно создавать резервные копии, и управление ими |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/read | Возвращает список всех защищенных элементов. |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read | Возвращает все контейнеры, принадлежащие подписке. |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read | Возвращает сводки по защищенным элементам и защищенным серверам для служб восстановления. |
| Microsoft.RecoveryServices/Vaults/certificates/write | Операция обновления сертификата ресурса обновляет сертификат учетных данных для ресурса или хранилища. |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read | Операция получения расширенных сведений о хранилище возвращает расширенные сведения об объекте, представляющие ресурс Azure типа "хранилище". |
| Microsoft.RecoveryServices/Vaults/extendedInformation/write | Операция получения расширенных сведений о хранилище возвращает расширенные сведения об объекте, представляющие ресурс Azure типа "хранилище". |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | Возвращает оповещения для хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* | |
| Microsoft.RecoveryServices/Vaults/read | Операция получения хранилища возвращает объект, представляющий ресурс Azure типа "хранилище". |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read | Операцию получения результатов операции можно использовать, чтобы получить состояние и результат асинхронно отправленной операции. |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read | Операцию получения контейнеров можно использовать для получения контейнеров, зарегистрированных для ресурса. |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/write | Операцию регистрации контейнера в службе можно использовать для регистрации контейнера в службе восстановления. |
| Microsoft.RecoveryServices/Vaults/usages/read | Возвращает данные об использовании хранилища служб восстановления. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft.RecoveryServices/Vaults/backupstorageconfig/* | |
| Microsoft.RecoveryServices/Vaults/backupValidateOperation/action | Проверка операций для защищенного элемента |
| Microsoft.RecoveryServices/Vaults/backupTriggerValidateOperation/action | Проверка операций для защищенного элемента |
| Microsoft.RecoveryServices/Vaults/backupValidateOperationResults/read | Проверка операций для защищенного элемента |
| Microsoft.RecoveryServices/Vaults/backupValidateOperationsStatuses/read | Проверка операций для защищенного элемента |
| Microsoft.RecoveryServices/Vaults/backupOperations/read | Возвращает состояние операции архивации для хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read | Возвращает состояние операции политики. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/write | Создание зарегистрированного контейнера. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/inquire/action | Запрос рабочих нагрузок в контейнере. |
| Microsoft.RecoveryServices/Vaults/backupEngines/read | Возвращение всех серверов управления архивацией, зарегистрированных в хранилище. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write | Создание цели защиты для резервной копии. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read | Получение цели защиты для резервного копирования. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read | Получение всех защищаемых контейнеров. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read | Получение всех элементов в контейнере. |
| Microsoft.RecoveryServices/locations/backupStatus/action | Проверка состояния архивации хранилищ служб восстановления. |
| Microsoft.RecoveryServices/locations/backupPreValidateProtection/action | |
| Microsoft.RecoveryServices/locations/backupValidateFeatures/action | Проверка компонентов. |
| Microsoft.RecoveryServices/locations/backupAadProperties/read | Получает свойства AAD для проверки подлинности в третичном регионе для восстановления между регионами. |
| Microsoft.RecoveryServices/locations/backupCrrJobs/action | Получает список заданий восстановления между регионами в дополнительном регионе для хранилища Служб восстановления. |
| Microsoft.RecoveryServices/locations/backupCrrJob/action | Получает сведения о задании восстановления между регионами в дополнительном регионе для хранилища Служб восстановления. |
| Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action | Активация восстановления между регионами. |
| Microsoft.RecoveryServices/locations/backupCrrOperationResults/read | Возвращает результат операции восстановления между регионами для хранилища Служб восстановления. |
| Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read | Возвращает состояние операции восстановления между регионами для хранилища Служб восстановления. |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/write | Разрешение оповещения. |
| Microsoft.RecoveryServices/operations/read | Получение списка операций для поставщика ресурсов. |
| Microsoft.RecoveryServices/locations/operationStatus/read | Возвращает состояние операции для данной операции |
| Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read | Вывод списка всех целей защиты для резервного копирования. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.DataProtection/backupVaults/backupInstances/read | Возвращает все экземпляры резервных копий |
| Microsoft.DataProtection/backupVaults/backupInstances/read | Возвращает все экземпляры резервных копий |
| Microsoft.DataProtection/backupVaults/deletedBackupInstances/read | Вывод списка обратимо удаленных экземпляров резервных копий в хранилище резервных копий. |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | Возвращает все политики резервного копирования |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | Возвращает все политики резервного копирования |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | Возвращает все точки восстановления |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | Возвращает все точки восстановления |
| Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action | Выполняет поиск диапазонов времени с возможностью восстановления |
| Microsoft.DataProtection/backupVaults/read | Получает список хранилищ резервных копий в группе ресурсов |
| Microsoft.DataProtection/backupVaults/operationResults/read | Возвращает результат операции PATCH для хранилища резервных копий |
| Microsoft.DataProtection/backupVaults/operationStatus/read | Возвращает сведения о состоянии операции резервного копирования для хранилища резервных копий |
| Microsoft.DataProtection/backupVaults/read | Получает список хранилищ резервных копий в группе ресурсов |
| Microsoft.DataProtection/backupVaults/read | Получает список хранилищ резервных копий в группе ресурсов |
| Microsoft.DataProtection/locations/operationStatus/read | Возвращает сведения о состоянии операции резервного копирования для хранилища резервных копий |
| Microsoft.DataProtection/locations/operationResults/read | Возвращает результат операции резервного копирования для хранилища резервных копий |
| Microsoft.DataProtection/operations/read | |
| Microsoft.DataProtection/backupVaults/validateForBackup/action | Проверяет резервное копирование экземпляра резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/backup/action | Выполняет резервное копирование экземпляра резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action | Проверяет восстановление экземпляра резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/restore/action | Активирует восстановление экземпляра резервной копии |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage backup services, except removal of backup, vault creation and giving access to others",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/00c29273-979b-4161-815c-10b084fb9324",
"name": "00c29273-979b-4161-815c-10b084fb9324",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/backup/action",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/provisionInstantItemRecovery/action",
"Microsoft.RecoveryServices/vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/accessToken/action",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/restore/action",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/revokeInstantItemRecovery/action",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action",
"Microsoft.RecoveryServices/Vaults/backupJobs/*",
"Microsoft.RecoveryServices/Vaults/backupJobsExport/action",
"Microsoft.RecoveryServices/Vaults/backupOperationResults/*",
"Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/read",
"Microsoft.RecoveryServices/Vaults/backupProtectableItems/*",
"Microsoft.RecoveryServices/Vaults/backupProtectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read",
"Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read",
"Microsoft.RecoveryServices/Vaults/certificates/write",
"Microsoft.RecoveryServices/Vaults/extendedInformation/read",
"Microsoft.RecoveryServices/Vaults/extendedInformation/write",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/read",
"Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*",
"Microsoft.RecoveryServices/Vaults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/write",
"Microsoft.RecoveryServices/Vaults/usages/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.RecoveryServices/Vaults/backupstorageconfig/*",
"Microsoft.RecoveryServices/Vaults/backupValidateOperation/action",
"Microsoft.RecoveryServices/Vaults/backupTriggerValidateOperation/action",
"Microsoft.RecoveryServices/Vaults/backupValidateOperationResults/read",
"Microsoft.RecoveryServices/Vaults/backupValidateOperationsStatuses/read",
"Microsoft.RecoveryServices/Vaults/backupOperations/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/write",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/inquire/action",
"Microsoft.RecoveryServices/Vaults/backupEngines/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read",
"Microsoft.RecoveryServices/locations/backupStatus/action",
"Microsoft.RecoveryServices/locations/backupPreValidateProtection/action",
"Microsoft.RecoveryServices/locations/backupValidateFeatures/action",
"Microsoft.RecoveryServices/locations/backupAadProperties/read",
"Microsoft.RecoveryServices/locations/backupCrrJobs/action",
"Microsoft.RecoveryServices/locations/backupCrrJob/action",
"Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action",
"Microsoft.RecoveryServices/locations/backupCrrOperationResults/read",
"Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/write",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.RecoveryServices/locations/operationStatus/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read",
"Microsoft.Support/*",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/deletedBackupInstances/read",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/operationResults/read",
"Microsoft.DataProtection/backupVaults/operationStatus/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/locations/operationStatus/read",
"Microsoft.DataProtection/locations/operationResults/read",
"Microsoft.DataProtection/operations/read",
"Microsoft.DataProtection/backupVaults/validateForBackup/action",
"Microsoft.DataProtection/backupVaults/backupInstances/backup/action",
"Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action",
"Microsoft.DataProtection/backupVaults/backupInstances/restore/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Backup Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель резервных копий
Может просматривать службы резервного копирования, но не может вносить изменения. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.RecoveryServices/locations/allocatedStamp/read | GetAllocatedStamp является внутренней операцией, используемой службой. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read | Возвращает состояние операции. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read | Возвращает результат операции, выполненной с контейнером защиты. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read | Возвращает результат операции, выполненной с защищенными элементами. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read | Возвращает состояние операции, выполненной с защищенными элементами. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read | Возвращает сведения об объекте для защищенного элемента. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read | Возвращает точки восстановления для защищенных элементов. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read | Возвращает все зарегистрированные контейнеры. |
| Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read | Возвращает результат операции задания. |
| Microsoft.RecoveryServices/Vaults/backupJobs/read | Возвращает все объекты заданий. |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action | Экспортирует задания. |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/read | Возвращает результат операции архивации для хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read | Возвращает результаты операции политики. |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read | Возвращает все политики защиты. |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/read | Возвращает список всех защищенных элементов. |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read | Возвращает все контейнеры, принадлежащие подписке. |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read | Возвращает сводки по защищенным элементам и защищенным серверам для служб восстановления. |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read | Операция получения расширенных сведений о хранилище возвращает расширенные сведения об объекте, представляющие ресурс Azure типа "хранилище". |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | Возвращает оповещения для хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/read | Операция получения хранилища возвращает объект, представляющий ресурс Azure типа "хранилище". |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read | Операцию получения результатов операции можно использовать, чтобы получить состояние и результат асинхронно отправленной операции. |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read | Операцию получения контейнеров можно использовать для получения контейнеров, зарегистрированных для ресурса. |
| Microsoft.RecoveryServices/Vaults/backupstorageconfig/read | Возвращает конфигурацию службы хранилища для хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/backupconfig/read | Возвращает конфигурацию хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/backupOperations/read | Возвращает состояние операции архивации для хранилища служб восстановления. |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read | Возвращает состояние операции политики. |
| Microsoft.RecoveryServices/Vaults/backupEngines/read | Возвращение всех серверов управления архивацией, зарегистрированных в хранилище. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read | Получение цели защиты для резервного копирования. |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read | Получение всех элементов в контейнере. |
| Microsoft.RecoveryServices/locations/backupStatus/action | Проверка состояния архивации хранилищ служб восстановления. |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* | |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/write | Разрешение оповещения. |
| Microsoft.RecoveryServices/operations/read | Получение списка операций для поставщика ресурсов. |
| Microsoft.RecoveryServices/locations/operationStatus/read | Возвращает состояние операции для данной операции |
| Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read | Вывод списка всех целей защиты для резервного копирования. |
| Microsoft.RecoveryServices/Vaults/usages/read | Возвращает данные об использовании хранилища служб восстановления. |
| Microsoft.RecoveryServices/locations/backupValidateFeatures/action | Проверка компонентов. |
| Microsoft.RecoveryServices/locations/backupCrrJobs/action | Получает список заданий восстановления между регионами в дополнительном регионе для хранилища Служб восстановления. |
| Microsoft.RecoveryServices/locations/backupCrrJob/action | Получает сведения о задании восстановления между регионами в дополнительном регионе для хранилища Служб восстановления. |
| Microsoft.RecoveryServices/locations/backupCrrOperationResults/read | Возвращает результат операции восстановления между регионами для хранилища Служб восстановления. |
| Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read | Возвращает состояние операции восстановления между регионами для хранилища Служб восстановления. |
| Microsoft.DataProtection/locations/getBackupStatus/action | Проверка состояния архивации хранилищ служб восстановления. |
| Microsoft.DataProtection/backupVaults/backupInstances/write | Создает экземпляр резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/read | Возвращает все экземпляры резервных копий |
| Microsoft.DataProtection/backupVaults/deletedBackupInstances/read | Вывод списка обратимо удаленных экземпляров резервных копий в хранилище резервных копий. |
| Microsoft.DataProtection/backupVaults/backupInstances/backup/action | Выполняет резервное копирование экземпляра резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action | Проверяет восстановление экземпляра резервной копии |
| Microsoft.DataProtection/backupVaults/backupInstances/restore/action | Активирует восстановление экземпляра резервной копии |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | Возвращает все политики резервного копирования |
| Microsoft.DataProtection/backupVaults/backupPolicies/read | Возвращает все политики резервного копирования |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | Возвращает все точки восстановления |
| Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read | Возвращает все точки восстановления |
| Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action | Выполняет поиск диапазонов времени с возможностью восстановления |
| Microsoft.DataProtection/backupVaults/read | Получает список хранилищ резервных копий в группе ресурсов |
| Microsoft.DataProtection/backupVaults/operationResults/read | Возвращает результат операции PATCH для хранилища резервных копий |
| Microsoft.DataProtection/backupVaults/operationStatus/read | Возвращает сведения о состоянии операции резервного копирования для хранилища резервных копий |
| Microsoft.DataProtection/backupVaults/read | Получает список хранилищ резервных копий в группе ресурсов |
| Microsoft.DataProtection/backupVaults/read | Получает список хранилищ резервных копий в группе ресурсов |
| Microsoft.DataProtection/locations/operationStatus/read | Возвращает сведения о состоянии операции резервного копирования для хранилища резервных копий |
| Microsoft.DataProtection/locations/operationResults/read | Возвращает результат операции резервного копирования для хранилища резервных копий |
| Microsoft.DataProtection/backupVaults/validateForBackup/action | Проверяет резервное копирование экземпляра резервной копии |
| Microsoft.DataProtection/operations/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can view backup services, but can't make changes",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
"name": "a795c7a0-d4a2-40c1-ae25-d81f01202912",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.RecoveryServices/locations/allocatedStamp/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read",
"Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupJobs/read",
"Microsoft.RecoveryServices/Vaults/backupJobsExport/action",
"Microsoft.RecoveryServices/Vaults/backupOperationResults/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/read",
"Microsoft.RecoveryServices/Vaults/backupProtectedItems/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read",
"Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read",
"Microsoft.RecoveryServices/Vaults/extendedInformation/read",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/read",
"Microsoft.RecoveryServices/Vaults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read",
"Microsoft.RecoveryServices/Vaults/registeredIdentities/read",
"Microsoft.RecoveryServices/Vaults/backupstorageconfig/read",
"Microsoft.RecoveryServices/Vaults/backupconfig/read",
"Microsoft.RecoveryServices/Vaults/backupOperations/read",
"Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read",
"Microsoft.RecoveryServices/Vaults/backupEngines/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read",
"Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read",
"Microsoft.RecoveryServices/locations/backupStatus/action",
"Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*",
"Microsoft.RecoveryServices/Vaults/monitoringAlerts/write",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.RecoveryServices/locations/operationStatus/read",
"Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read",
"Microsoft.RecoveryServices/Vaults/usages/read",
"Microsoft.RecoveryServices/locations/backupValidateFeatures/action",
"Microsoft.RecoveryServices/locations/backupCrrJobs/action",
"Microsoft.RecoveryServices/locations/backupCrrJob/action",
"Microsoft.RecoveryServices/locations/backupCrrOperationResults/read",
"Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read",
"Microsoft.DataProtection/locations/getBackupStatus/action",
"Microsoft.DataProtection/backupVaults/backupInstances/write",
"Microsoft.DataProtection/backupVaults/backupInstances/read",
"Microsoft.DataProtection/backupVaults/deletedBackupInstances/read",
"Microsoft.DataProtection/backupVaults/backupInstances/backup/action",
"Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action",
"Microsoft.DataProtection/backupVaults/backupInstances/restore/action",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupPolicies/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
"Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/operationResults/read",
"Microsoft.DataProtection/backupVaults/operationStatus/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/backupVaults/read",
"Microsoft.DataProtection/locations/operationStatus/read",
"Microsoft.DataProtection/locations/operationResults/read",
"Microsoft.DataProtection/backupVaults/validateForBackup/action",
"Microsoft.DataProtection/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Backup Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник классической учетной записи хранения
Позволяет управлять классическими учетными записями хранения, но не предоставлять доступ к ним.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ClassicStorage/storageAccounts/* | Создание учетных записей хранения и управление ими |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage classic storage accounts, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/86e8f5dc-a6e9-4c67-9d15-de283e8eac25",
"name": "86e8f5dc-a6e9-4c67-9d15-de283e8eac25",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicStorage/storageAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Classic Storage Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль службы оператора ключей классических учетных записей хранения
Операторы ключей классических учетных записей хранения могут перечислять и повторно создавать ключи в классических учетных записях хранения. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ClassicStorage/storageAccounts/listkeys/action | Отображает ключи доступа для учетных записей хранения. |
| Microsoft.ClassicStorage/storageAccounts/regeneratekey/action | Повторно создает существующие ключи доступа для учетной записи хранения. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Classic Storage Account Key Operators are allowed to list and regenerate keys on Classic Storage Accounts",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/985d6b00-f706-48f5-a6fe-d0ca12fb668d",
"name": "985d6b00-f706-48f5-a6fe-d0ca12fb668d",
"permissions": [
{
"actions": [
"Microsoft.ClassicStorage/storageAccounts/listkeys/action",
"Microsoft.ClassicStorage/storageAccounts/regeneratekey/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Classic Storage Account Key Operator Service Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник Data Box
Позволяет управлять всеми данными службы Data Box, кроме предоставления доступа другим пользователям. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Databox/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage everything under Data Box Service except giving access to others.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/add466c9-e687-43fc-8d98-dfcf8d720be5",
"name": "add466c9-e687-43fc-8d98-dfcf8d720be5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Databox/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Box Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель Data Box
Позволяет управлять службой Data Box, но не позволяет создавать заказы и менять их порядок, а также предоставлять доступ другим пользователям. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Databox/*/read | |
| Microsoft.Databox/jobs/listsecrets/action | |
| Microsoft.Databox/jobs/listcredentials/action | Выводит список незашифрованных учетных данных, связанных с заказом. |
| Microsoft.Databox/locations/availableSkus/action | Этот метод возвращает список доступных номеров SKU. |
| Microsoft.Databox/locations/validateInputs/action | Этот метод выполняет все типы проверок. |
| Microsoft.Databox/locations/regionConfiguration/action | Этот метод возвращает конфигурации для региона. |
| Microsoft.Databox/locations/validateAddress/action | Проверяет адрес доставки и предлагает альтернативные адреса, если они доступны. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Data Box Service except creating order or editing order details and giving access to others.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027",
"name": "028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Databox/*/read",
"Microsoft.Databox/jobs/listsecrets/action",
"Microsoft.Databox/jobs/listcredentials/action",
"Microsoft.Databox/locations/availableSkus/action",
"Microsoft.Databox/locations/validateInputs/action",
"Microsoft.Databox/locations/regionConfiguration/action",
"Microsoft.Databox/locations/validateAddress/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Box Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Разработчик Data Lake Analytics
Позволяет отправлять, отслеживать задания и управлять ими, но не позволяет создавать или удалять учетные записи Data Lake Analytics. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.BigAnalytics/accounts/* | |
| Microsoft.DataLakeAnalytics/accounts/* | |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Microsoft.BigAnalytics/accounts/Delete | |
| Microsoft.BigAnalytics/accounts/TakeOwnership/action | |
| Microsoft.BigAnalytics/accounts/Write | |
| Microsoft.DataLakeAnalytics/accounts/Delete | Удаление учетной записи Data Lake Analytics. |
| Microsoft.DataLakeAnalytics/accounts/TakeOwnership/action | Предоставление разрешений на отмену заданий, отправленных другими пользователями. |
| Microsoft.DataLakeAnalytics/accounts/Write | Создание или обновление учетной записи Data Lake Analytics. |
| Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Write | Создание или обновление связанной учетной записи Data Lake Store для учетной записи Data Lake Analytics. |
| Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Delete | Отмена связи учетной записи Data Lake Store с учетной записью Data Lake Analytics. |
| Microsoft.DataLakeAnalytics/accounts/storageAccounts/Write | Создание или обновление связанной учетной записи хранения для учетной записи Data Lake Analytics. |
| Microsoft.DataLakeAnalytics/accounts/storageAccounts/Delete | Удаление связи учетной записи хранения с учетной записью Data Lake Analytics. |
| Microsoft.DataLakeAnalytics/accounts/firewallRules/Write | Создает или обновляет правило брандмауэра. |
| Microsoft.DataLakeAnalytics/accounts/firewallRules/Delete | Удаляет правило брандмауэра. |
| Microsoft.DataLakeAnalytics/accounts/computePolicies/Write | Создание или обновление политики вычислений. |
| Microsoft.DataLakeAnalytics/accounts/computePolicies/Delete | Удаление политики вычислений. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you submit, monitor, and manage your own jobs but not create or delete Data Lake Analytics accounts.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/47b7735b-770e-4598-a7da-8b91488b4c88",
"name": "47b7735b-770e-4598-a7da-8b91488b4c88",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.BigAnalytics/accounts/*",
"Microsoft.DataLakeAnalytics/accounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.BigAnalytics/accounts/Delete",
"Microsoft.BigAnalytics/accounts/TakeOwnership/action",
"Microsoft.BigAnalytics/accounts/Write",
"Microsoft.DataLakeAnalytics/accounts/Delete",
"Microsoft.DataLakeAnalytics/accounts/TakeOwnership/action",
"Microsoft.DataLakeAnalytics/accounts/Write",
"Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Write",
"Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Delete",
"Microsoft.DataLakeAnalytics/accounts/storageAccounts/Write",
"Microsoft.DataLakeAnalytics/accounts/storageAccounts/Delete",
"Microsoft.DataLakeAnalytics/accounts/firewallRules/Write",
"Microsoft.DataLakeAnalytics/accounts/firewallRules/Delete",
"Microsoft.DataLakeAnalytics/accounts/computePolicies/Write",
"Microsoft.DataLakeAnalytics/accounts/computePolicies/Delete"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Lake Analytics Developer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец эластичной сети SAN
Обеспечивает полный доступ ко всем ресурсам в Azure Elastic SAN, включая изменение политик безопасности сети для разблокировки доступа к пути данных.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to all resources under Azure Elastic SAN including changing network security policies to unblock data path access",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/80dcbedb-47ef-405d-95bd-188a1b4ac406",
"name": "80dcbedb-47ef-405d-95bd-188a1b4ac406",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Elastic SAN Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль чтения эластичных san
Обеспечивает доступ на чтение пути управления к Azure Elastic SAN.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/roleAssignments/read | Возвращает сведения о назначении роли. |
| Microsoft.Authorization/roleDefinitions/read | Возвращает сведения об определении роли. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ElasticSan/elasticSans/*/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for control path read access to Azure Elastic SAN",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/af6a70f8-3c9f-4105-acf1-d719e9fca4ca",
"name": "af6a70f8-3c9f-4105-acf1-d719e9fca4ca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ElasticSan/elasticSans/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Elastic SAN Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец группы томов эластичных san
Обеспечивает полный доступ к группе томов в Azure Elastic SAN, включая изменение политик безопасности сети для разблокировки доступа к пути к данным.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/roleAssignments/read | Возвращает сведения о назначении роли. |
| Microsoft.Authorization/roleDefinitions/read | Возвращает сведения об определении роли. |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Опрашивает состояние асинхронной операции. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to a volume group in Azure Elastic SAN including changing network security policies to unblock data path access",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a8281131-f312-4f34-8d98-ae12be9f0d23",
"name": "a8281131-f312-4f34-8d98-ae12be9f0d23",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/locations/asyncoperations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Elastic SAN Volume Group Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль чтения и доступ к данным
Позволяет просматривать все данные, но не позволит удалить или создать учетную запись хранения или содержащий ресурс. Он также предоставит доступ на чтение и запись для всех данных, содержащихся в учетной записи хранения через доступ к ключам учетной записи хранения.
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/ListAccountSas/action | Возвращает маркер SAS для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you view everything but will not let you delete or create a storage account or contained resource. It will also allow read/write access to all data contained in a storage account via access to storage account keys.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c12c1c16-33a1-487b-954d-41c89c60f349",
"name": "c12c1c16-33a1-487b-954d-41c89c60f349",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/ListAccountSas/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reader and Data Access",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник резервного копирования учетной записи хранения
Позволяет выполнять операции резервного копирования и восстановления с помощью Azure Backup в учетной записи хранения. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Authorization/locks/read | Возвращает блокировки в указанной области. |
| Microsoft.Authorization/locks/write | Добавляет блокировки в указанной области. |
| Microsoft.Authorization/locks/delete | Удаляет блокировки в указанной области. |
| Microsoft.Features/features/read | Возвращает функции подписки. |
| Microsoft.Features/providers/features/read | Возвращает функцию подписки в заданном поставщике ресурсов. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Storage/operations/read | Опрашивает состояние асинхронной операции. |
| Microsoft.Storage/storageAccounts/objectReplicationPolicies/delete | Удаление политики репликации объектов |
| Microsoft.Storage/storageAccounts/objectReplicationPolicies/read | Получение списка политик репликации объектов |
| Microsoft.Storage/storageAccounts/objectReplicationPolicies/write | Создание или изменение политики репликации объектов |
| Microsoft.Storage/storageAccounts/objectReplicationPolicies/restorePointMarkers/write | Создание маркера точки восстановления репликации объектов |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Возвращает список контейнеров. |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Возвращает результат размещения контейнера больших двоичных объектов. |
| Microsoft.Storage/storageAccounts/blobServices/read | Возвращение свойств или статистики службы BLOB-объектов. |
| Microsoft.Storage/storageAccounts/blobServices/write | Возвращение результата настройки свойств службы BLOB-объектов. |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/restoreBlobRanges/action | Восстановление диапазонов для BLOB-объектов по состоянию на указанное время |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you perform backup and restore operations using Azure Backup on the storage account.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1",
"name": "e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/locks/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/operations/read",
"Microsoft.Storage/storageAccounts/objectReplicationPolicies/delete",
"Microsoft.Storage/storageAccounts/objectReplicationPolicies/read",
"Microsoft.Storage/storageAccounts/objectReplicationPolicies/write",
"Microsoft.Storage/storageAccounts/objectReplicationPolicies/restorePointMarkers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/restoreBlobRanges/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Storage Account Backup Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник учетной записи хранения
Разрешает управление учетными записями хранения. Предоставляет доступ к ключу учетной записи, который можно использовать для доступа к данным посредством авторизации с использованием общего ключа. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/diagnosticSettings/* | Создание, обновление или считывание параметра диагностики для сервера анализа данных. |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Storage/storageAccounts/* | Создание учетных записей хранения и управление ими |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage storage accounts, including accessing storage account keys which provide full access to storage account data.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/17d1049b-9a84-46fb-8f53-869881c3d3ab",
"name": "17d1049b-9a84-46fb-8f53-869881c3d3ab",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Storage Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль службы оператора ключей учетных записей хранения
Разрешает перечисление и повторное создание ключей доступа к учетной записи хранения. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/listkeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/regeneratekey/action | Повторно создает ключи доступа для указанной учетной записи хранения. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Storage Account Key Operators are allowed to list and regenerate keys on Storage Accounts",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/81a9662b-bebf-436f-a333-f67b29880f12",
"name": "81a9662b-bebf-436f-a333-f67b29880f12",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/regeneratekey/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Storage Account Key Operator Service Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник для данных BLOB-объектов хранилища
Чтение, запись и удаление контейнеров службы хранилища Azure и больших двоичных объектов. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/delete | Удаление контейнера. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Возвращение контейнера или списка контейнеров. |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Изменение метаданных или свойств контейнера. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Возвращает ключ делегирования пользователя для службы BLOB-объектов. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | Удалить большой двоичный объект. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | Возвращение большого двоичного объекта или списка таких объектов. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | Запись в большой двоичный объект. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action | Перемещает большой двоичный объект из одного пути в другой. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action | Возвращение результата, полученного при добавлении содержимого большого двоичного объекта. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write and delete access to Azure Storage blob containers and data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
"name": "ba92f5b4-2d11-453d-a403-e96b0029c9fe",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action"
],
"notDataActions": []
}
],
"roleName": "Storage Blob Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец данных BLOB-объектов хранилища
Предоставляет полный доступ к контейнерам и данным BLOB-объектов службы хранилища Azure, включая назначение элемента управления доступом POSIX. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/* | Полные разрешения на действия с контейнерами. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Возвращает ключ делегирования пользователя для службы BLOB-объектов. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/* | Полные разрешения на действия с большими двоичными объектами. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to Azure Storage blob containers and data, including assigning POSIX access control.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b7e6dc6d-f1e8-4753-8033-0f276bb0955b",
"name": "b7e6dc6d-f1e8-4753-8033-0f276bb0955b",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/*",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/*"
],
"notDataActions": []
}
],
"roleName": "Storage Blob Data Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных больших двоичных объектов хранилища
Чтение и перечисление контейнеров и больших двоичных объектов службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Возвращение контейнера или списка контейнеров. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Возвращает ключ делегирования пользователя для службы BLOB-объектов. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | Возвращение большого двоичного объекта или списка таких объектов. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Storage blob containers and data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"name": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
],
"notDataActions": []
}
],
"roleName": "Storage Blob Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Представитель BLOB-объектов хранилища
Получение ключа делегирования пользователя, который затем можно использовать для создания подписи общего доступа для контейнера или большого двоичного объекта, подписанного с помощью учетных данных Azure AD. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Возвращает ключ делегирования пользователя для службы BLOB-объектов. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for generation of a user delegation key which can be used to sign SAS tokens",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/db58b8e5-c6ad-4a2a-8342-4190687cbf4a",
"name": "db58b8e5-c6ad-4a2a-8342-4190687cbf4a",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Storage Blob Delegator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник общей папки файловых данных хранилища SMB
Разрешает доступ на чтение, запись и удаление файлов/каталогов в общих папках Azure. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read | Возвращает файл, папку или список файлов или папок. |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write | Возвращает результат записи файла или создания папки. |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete | Возвращает результат удаления файла или папки. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access in Azure Storage file shares over SMB",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb",
"name": "0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete"
],
"notDataActions": []
}
],
"roleName": "Storage File Data SMB Share Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник общих папок данных SMB службы хранилища с повышенными правами
Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для изменения на файловых серверах Windows. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read | Возвращает файл, папку или список файлов или папок. |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write | Возвращает результат записи файла или создания папки. |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete | Возвращает результат удаления файла или папки. |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action | Возвращает результат изменения разрешений для файла или папки. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, delete and modify NTFS permission access in Azure Storage file shares over SMB",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a7264617-510b-434b-a828-9731dc254ea7",
"name": "a7264617-510b-434b-a828-9731dc254ea7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action"
],
"notDataActions": []
}
],
"roleName": "Storage File Data SMB Share Elevated Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель общей папки файловых данных хранилища SMB
Разрешает доступ на чтение файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для чтения на файловых серверах Windows. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read | Возвращает файл, папку или список файлов или папок. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure File Share over SMB",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/aba4ae5f-2193-4029-9191-0cb91df5e314",
"name": "aba4ae5f-2193-4029-9191-0cb91df5e314",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read"
],
"notDataActions": []
}
],
"roleName": "Storage File Data SMB Share Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник для данных очереди хранилища
Чтение, запись и удаление очередей и сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/queueServices/queues/delete | Удаление очереди. |
| Microsoft.Storage/storageAccounts/queueServices/queues/read | Возвращение очереди или списка очередей. |
| Microsoft.Storage/storageAccounts/queueServices/queues/write | Изменение метаданных или свойств очереди. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete | Удаление одного или нескольких сообщений из очереди. |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/read | Просмотр или извлечение одного или нескольких сообщений из очереди. |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/write | Добавление сообщения в очередь. |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action | Возвращение результата, полученного при обработке сообщения. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Storage queues and queue messages",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/974c5e8b-45b9-4653-ba55-5f855dd0fb88",
"name": "974c5e8b-45b9-4653-ba55-5f855dd0fb88",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/delete",
"Microsoft.Storage/storageAccounts/queueServices/queues/read",
"Microsoft.Storage/storageAccounts/queueServices/queues/write"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete",
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/read",
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/write",
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action"
],
"notDataActions": []
}
],
"roleName": "Storage Queue Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Обработчик сообщений данных в очереди хранилища
Просмотр, получение и удаление сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/read | Просмотр сообщения. |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action | Получение и удаление сообщения. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for peek, receive, and delete access to Azure Storage queue messages",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8a0f0c08-91a1-4084-bc3d-661d67233fed",
"name": "8a0f0c08-91a1-4084-bc3d-661d67233fed",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/read",
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action"
],
"notDataActions": []
}
],
"roleName": "Storage Queue Data Message Processor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Отправитель сообщений данных в очередь хранилища
Добавление сообщений в очередь службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action | Добавление сообщения в очередь. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for sending of Azure Storage queue messages",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c6a89b2d-59bc-44d0-9896-0f6e12d7b80a",
"name": "c6a89b2d-59bc-44d0-9896-0f6e12d7b80a",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action"
],
"notDataActions": []
}
],
"roleName": "Storage Queue Data Message Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных очереди хранилища
Чтение и перечисление очередей и сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/queueServices/queues/read | Возвращение очереди или списка очередей. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/read | Просмотр или извлечение одного или нескольких сообщений из очереди. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Storage queues and queue messages",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/19e7f393-937e-4f77-808e-94535e297925",
"name": "19e7f393-937e-4f77-808e-94535e297925",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/queueServices/queues/messages/read"
],
"notDataActions": []
}
],
"roleName": "Storage Queue Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник данных таблицы хранилища
Разрешает доступ на чтение, запись и удаление к таблицам и сущностям службы хранилища Azure
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/tableServices/tables/read | Запросы к таблицам |
| Microsoft.Storage/storageAccounts/tableServices/tables/write | Создание таблиц |
| Microsoft.Storage/storageAccounts/tableServices/tables/delete | Удаление таблиц |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/read | Запрос сущностей таблицы |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/write | Вставка, объединение или замена сущностей таблицы |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete | удаление сущностей таблицы. |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action | Вставка сущностей таблицы |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action | Объединение или обновление сущностей таблицы |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write and delete access to Azure Storage tables and entities",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3",
"name": "0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/tableServices/tables/read",
"Microsoft.Storage/storageAccounts/tableServices/tables/write",
"Microsoft.Storage/storageAccounts/tableServices/tables/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/read",
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/write",
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete",
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action",
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action"
],
"notDataActions": []
}
],
"roleName": "Storage Table Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных таблицы хранилища
Разрешает доступ на чтение к таблицам и сущностям службы хранилища Azure
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/tableServices/tables/read | Запросы к таблицам |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/tableServices/tables/entities/read | Запрос сущностей таблицы |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Storage tables and entities",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/76199698-9eea-4c19-bc75-cec21354c6b6",
"name": "76199698-9eea-4c19-bc75-cec21354c6b6",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/tableServices/tables/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/tableServices/tables/entities/read"
],
"notDataActions": []
}
],
"roleName": "Storage Table Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Интернет
Разработчик данных Azure Maps
Предоставляет доступ для чтения, записи и удаления связанных данных карт в учетной записи Azure Maps. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Maps/accounts/*/read | |
| Microsoft.Maps/accounts/*/write | |
| Microsoft.Maps/accounts/*/delete | |
| Microsoft.Maps/accounts/*/action | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read, write, and delete access to map related data from an Azure maps account.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204",
"name": "8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Maps/accounts/*/read",
"Microsoft.Maps/accounts/*/write",
"Microsoft.Maps/accounts/*/delete",
"Microsoft.Maps/accounts/*/action"
],
"notDataActions": []
}
],
"roleName": "Azure Maps Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных Azure Maps
Предоставляет доступ на чтение связанных данных карты в учетной записи Azure Maps. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Maps/accounts/*/read | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read map related data from an Azure maps account.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/423170ca-a8f6-4b0f-8487-9e4eb8f49bfa",
"name": "423170ca-a8f6-4b0f-8487-9e4eb8f49bfa",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Maps/accounts/*/read"
],
"notDataActions": []
}
],
"roleName": "Azure Maps Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник сервера конфигурации Azure Spring Cloud
Разрешить доступ на чтение, запись и удаление к серверу конфигурации Azure Spring Cloud Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.AppPlatform/Spring/configService/read | Чтение содержимого конфигурации (например, application.yaml) для конкретного экземпляра службы Azure Spring Apps |
| Microsoft.AppPlatform/Spring/configService/write | Запись содержимого сервера конфигурации для определенного экземпляра службы Azure Spring Apps |
| Microsoft.AppPlatform/Spring/configService/delete | Удаление содержимого сервера конфигурации для определенного экземпляра службы Azure Spring Apps |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allow read, write and delete access to Azure Spring Cloud Config Server",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b",
"name": "a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/configService/read",
"Microsoft.AppPlatform/Spring/configService/write",
"Microsoft.AppPlatform/Spring/configService/delete"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Config Server Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель сервера конфигурации Azure Spring Cloud
Разрешить доступ на чтение к серверу конфигурации Azure Spring Cloud Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.AppPlatform/Spring/configService/read | Чтение содержимого конфигурации (например, application.yaml) для конкретного экземпляра службы Azure Spring Apps |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allow read access to Azure Spring Cloud Config Server",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d04c6db6-4947-4782-9e91-30a88feb7be7",
"name": "d04c6db6-4947-4782-9e91-30a88feb7be7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/configService/read"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Config Server Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных Azure Spring Cloud
Разрешает доступ на чтение данных Azure Spring Cloud.
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.AppPlatform/Spring/*/read | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allow read access to Azure Spring Cloud Data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b5537268-8956-4941-a8f0-646150406f0c",
"name": "b5537268-8956-4941-a8f0-646150406f0c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/*/read"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник реестра службы Azure Spring Cloud
Разрешить доступ на чтение, запись и удаление к реестру служб Azure Spring Cloud Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.AppPlatform/Spring/eurekaService/read | Чтение сведений о регистрации пользовательских приложений для определенного экземпляра службы Azure Spring Apps |
| Microsoft.AppPlatform/Spring/eurekaService/write | Запись сведений о регистрации приложений пользователей для определенного экземпляра службы Azure Spring Apps |
| Microsoft.AppPlatform/Spring/eurekaService/delete | Удаление сведений о регистрации пользовательского приложения для определенного экземпляра службы Azure Spring Apps |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allow read, write and delete access to Azure Spring Cloud Service Registry",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f5880b48-c26d-48be-b172-7927bfa1c8f1",
"name": "f5880b48-c26d-48be-b172-7927bfa1c8f1",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/eurekaService/read",
"Microsoft.AppPlatform/Spring/eurekaService/write",
"Microsoft.AppPlatform/Spring/eurekaService/delete"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Service Registry Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель реестра служб Azure Spring Cloud
Разрешить доступ на чтение к реестру служб Azure Spring Cloud Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.AppPlatform/Spring/eurekaService/read | Чтение сведений о регистрации пользовательских приложений для определенного экземпляра службы Azure Spring Apps |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allow read access to Azure Spring Cloud Service Registry",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/cff1b556-2399-4e7e-856d-a8f754be7b65",
"name": "cff1b556-2399-4e7e-856d-a8f754be7b65",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppPlatform/Spring/eurekaService/read"
],
"notDataActions": []
}
],
"roleName": "Azure Spring Cloud Service Registry Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор учетной записи Служб мультимедиа
Создание, чтение, изменение и удаление учетных записей Служб мультимедиа; доступ только на чтение в других ресурсах Служб мультимедиа.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.Insights/metricDefinitions/read | Считывает определения метрик. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/listStreamingLocators/action | Вывод списка указателей потоковой передачи для ресурса. |
| Microsoft.Media/mediaservices/streamingLocators/listPaths/action | Вывод списка путей. |
| Microsoft.Media/mediaservices/write | Создание или обновление учетной записи служб мультимедиа. |
| Microsoft.Media/mediaservices/delete | Удаление учетной записи служб мультимедиа. |
| Microsoft.Media/mediaservices/privateEndpointConnectionsApproval/action | Утверждение подключений к частным конечным точкам |
| Microsoft.Media/mediaservices/privateEndpointConnections/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Media Services accounts; read-only access to other Media Services resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/054126f8-9a2b-4f1c-a9ad-eca461f08466",
"name": "054126f8-9a2b-4f1c-a9ad-eca461f08466",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/listStreamingLocators/action",
"Microsoft.Media/mediaservices/streamingLocators/listPaths/action",
"Microsoft.Media/mediaservices/write",
"Microsoft.Media/mediaservices/delete",
"Microsoft.Media/mediaservices/privateEndpointConnectionsApproval/action",
"Microsoft.Media/mediaservices/privateEndpointConnections/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Account Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор служб мультимедиа Live Events
Создание, чтение, изменение и удаление событий трансляции, ресурсов, фильтров активов и указателей потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.Insights/metricDefinitions/read | Считывает определения метрик. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/* | |
| Microsoft.Media/mediaservices/assets/assetfilters/* | |
| Microsoft.Media/mediaservices/streamingLocators/* | |
| Microsoft.Media/mediaservices/liveEvents/* | |
| NotActions | |
| Microsoft.Media/mediaservices/assets/getEncryptionKey/action | Получение ключа шифрования ресурса. |
| Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action | Вывод списка ключей содержимого. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Live Events, Assets, Asset Filters, and Streaming Locators; read-only access to other Media Services resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/532bc159-b25e-42c0-969e-a1d439f60d77",
"name": "532bc159-b25e-42c0-969e-a1d439f60d77",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/*",
"Microsoft.Media/mediaservices/assets/assetfilters/*",
"Microsoft.Media/mediaservices/streamingLocators/*",
"Microsoft.Media/mediaservices/liveEvents/*"
],
"notActions": [
"Microsoft.Media/mediaservices/assets/getEncryptionKey/action",
"Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Live Events Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор мультимедиа Служб мультимедиа
Создание, чтение, изменение и удаление активов, фильтров активов, указателей потоковой передачи и заданий; доступ только на чтение в других ресурсах Служб мультимедиа.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.Insights/metricDefinitions/read | Считывает определения метрик. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/* | |
| Microsoft.Media/mediaservices/assets/assetfilters/* | |
| Microsoft.Media/mediaservices/streamingLocators/* | |
| Microsoft.Media/mediaservices/transforms/jobs/* | |
| NotActions | |
| Microsoft.Media/mediaservices/assets/getEncryptionKey/action | Получение ключа шифрования ресурса. |
| Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action | Вывод списка ключей содержимого. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Assets, Asset Filters, Streaming Locators, and Jobs; read-only access to other Media Services resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e4395492-1534-4db2-bedf-88c14621589c",
"name": "e4395492-1534-4db2-bedf-88c14621589c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/*",
"Microsoft.Media/mediaservices/assets/assetfilters/*",
"Microsoft.Media/mediaservices/streamingLocators/*",
"Microsoft.Media/mediaservices/transforms/jobs/*"
],
"notActions": [
"Microsoft.Media/mediaservices/assets/getEncryptionKey/action",
"Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Media Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор политик Служб мультимедиа
Создание, чтение, изменение и удаление фильтров учетных записей, политик потоковой передачи, политик ключей содержимого и преобразований; доступ только на чтение в других ресурсах Служб мультимедиа. Нельзя создавать задания, активы или ресурсы потоковой передачи.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.Insights/metricDefinitions/read | Считывает определения метрик. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/listStreamingLocators/action | Вывод списка указателей потоковой передачи для ресурса. |
| Microsoft.Media/mediaservices/streamingLocators/listPaths/action | Вывод списка путей. |
| Microsoft.Media/mediaservices/accountFilters/* | |
| Microsoft.Media/mediaservices/streamingPolicies/* | |
| Microsoft.Media/mediaservices/contentKeyPolicies/* | |
| Microsoft.Media/mediaservices/transforms/* | |
| NotActions | |
| Microsoft.Media/mediaservices/contentKeyPolicies/getPolicyPropertiesWithSecrets/action | Получение свойств политики с секретами. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Account Filters, Streaming Policies, Content Key Policies, and Transforms; read-only access to other Media Services resources. Cannot create Jobs, Assets or Streaming resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c4bba371-dacd-4a26-b320-7250bca963ae",
"name": "c4bba371-dacd-4a26-b320-7250bca963ae",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/listStreamingLocators/action",
"Microsoft.Media/mediaservices/streamingLocators/listPaths/action",
"Microsoft.Media/mediaservices/accountFilters/*",
"Microsoft.Media/mediaservices/streamingPolicies/*",
"Microsoft.Media/mediaservices/contentKeyPolicies/*",
"Microsoft.Media/mediaservices/transforms/*"
],
"notActions": [
"Microsoft.Media/mediaservices/contentKeyPolicies/getPolicyPropertiesWithSecrets/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Policy Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор конечных точек потоковой передачи Служб мультимедиа
Создание, чтение, изменение и удаление конечных точек потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.Insights/metricDefinitions/read | Считывает определения метрик. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Media/mediaservices/*/read | |
| Microsoft.Media/mediaservices/assets/listStreamingLocators/action | Вывод списка указателей потоковой передачи для ресурса. |
| Microsoft.Media/mediaservices/streamingLocators/listPaths/action | Вывод списка путей. |
| Microsoft.Media/mediaservices/streamingEndpoints/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Create, read, modify, and delete Streaming Endpoints; read-only access to other Media Services resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/99dba123-b5fe-44d5-874c-ced7199a5804",
"name": "99dba123-b5fe-44d5-874c-ced7199a5804",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Media/mediaservices/*/read",
"Microsoft.Media/mediaservices/assets/listStreamingLocators/action",
"Microsoft.Media/mediaservices/streamingLocators/listPaths/action",
"Microsoft.Media/mediaservices/streamingEndpoints/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Media Services Streaming Endpoints Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник данных индекса поиска
Предоставляет полный доступ к данным индекса службы "Когнитивный поиск Azure".
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Search/searchServices/indexes/documents/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to Azure Cognitive Search index data.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8ebe5a00-799e-43f5-93ac-243d3dce84a7",
"name": "8ebe5a00-799e-43f5-93ac-243d3dce84a7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Search/searchServices/indexes/documents/*"
],
"notDataActions": []
}
],
"roleName": "Search Index Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных индекса поиска
Предоставляет доступ на чтение к данным индекса службы "Когнитивный поиск Azure".
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Search/searchServices/indexes/documents/read | Считывает документы или предлагаемые термины запроса из индекса |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Grants read access to Azure Cognitive Search index data.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/1407120a-92aa-4202-b7e9-c0e197c71c8f",
"name": "1407120a-92aa-4202-b7e9-c0e197c71c8f",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Search/searchServices/indexes/documents/read"
],
"notDataActions": []
}
],
"roleName": "Search Index Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник службы поиска
Позволяет управлять службами поиска, но не доступом к ним. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Search/searchServices/* | Создание служб поиска и управление ими |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Search services, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/7ca78c08-252a-4471-8644-bb5ff32d4ba0",
"name": "7ca78c08-252a-4471-8644-bb5ff32d4ba0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Search/searchServices/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Search Service Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель AccessKey в SignalR
Чтение ключей доступа службы SignalR.
| Действия | Описание |
|---|---|
| Microsoft.SignalRService/*/read | |
| Microsoft.SignalRService/SignalR/listkeys/action | Просмотр значений ключей доступа SignalR на портале управления или с помощью API. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Read SignalR Service Access Keys",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/04165923-9d83-45d5-8227-78b77b0a687e",
"name": "04165923-9d83-45d5-8227-78b77b0a687e",
"permissions": [
{
"actions": [
"Microsoft.SignalRService/*/read",
"Microsoft.SignalRService/SignalR/listkeys/action",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SignalR AccessKey Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Сервер приложений SignalR
Разрешает серверу приложений доступ к службе SignalR с использованием параметров аутентификации AAD.
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.SignalRService/SignalR/auth/accessKey/action | Создание AccessKey для подписи AccessTokens. По умолчанию срок действия ключа истекает через 90 минут. |
| Microsoft.SignalRService/SignalR/serverConnection/write | Запуск соединения с сервером. |
| Microsoft.SignalRService/SignalR/clientConnection/write | Закрытие клиентского соединения. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets your app server access SignalR Service with AAD auth options.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/420fcaa2-552c-430f-98ca-3264be4806c7",
"name": "420fcaa2-552c-430f-98ca-3264be4806c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.SignalRService/SignalR/auth/accessKey/action",
"Microsoft.SignalRService/SignalR/serverConnection/write",
"Microsoft.SignalRService/SignalR/clientConnection/write"
],
"notDataActions": []
}
],
"roleName": "SignalR App Server",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец REST API SignalR
Полный доступ к интерфейсам REST API службы Azure SignalR.
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.SignalRService/SignalR/auth/clientToken/action | Создание AccessToken для подключения клиента к ASRS. По умолчанию срок действия токена истекает через 5 минут. |
| Microsoft.SignalRService/SignalR/hub/send/action | Широковещательная рассылка сообщений по всем клиентским соединениям в центре. |
| Microsoft.SignalRService/SignalR/group/send/action | Широковещательная рассылка сообщения для группы. |
| Microsoft.SignalRService/SignalR/group/read | Проверка существования группы или присутствия пользователя в группе. |
| Microsoft.SignalRService/SignalR/group/write | Присоединение к группе или выход из нее. |
| Microsoft.SignalRService/SignalR/clientConnection/send/action | Отправка сообщений непосредственно в клиентское соединение. |
| Microsoft.SignalRService/SignalR/clientConnection/read | Проверка существования клиентского соединения. |
| Microsoft.SignalRService/SignalR/clientConnection/write | Закрытие клиентского соединения. |
| Microsoft.SignalRService/SignalR/user/send/action | Отправка сообщений пользователю, который может состоять из нескольких клиентских соединений. |
| Microsoft.SignalRService/SignalR/user/read | Проверка существования пользователя. |
| Microsoft.SignalRService/SignalR/user/write | Изменение пользователя. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Full access to Azure SignalR Service REST APIs",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fd53cd77-2268-407a-8f46-7e7863d0f521",
"name": "fd53cd77-2268-407a-8f46-7e7863d0f521",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.SignalRService/SignalR/auth/clientToken/action",
"Microsoft.SignalRService/SignalR/hub/send/action",
"Microsoft.SignalRService/SignalR/group/send/action",
"Microsoft.SignalRService/SignalR/group/read",
"Microsoft.SignalRService/SignalR/group/write",
"Microsoft.SignalRService/SignalR/clientConnection/send/action",
"Microsoft.SignalRService/SignalR/clientConnection/read",
"Microsoft.SignalRService/SignalR/clientConnection/write",
"Microsoft.SignalRService/SignalR/user/send/action",
"Microsoft.SignalRService/SignalR/user/read",
"Microsoft.SignalRService/SignalR/user/write"
],
"notDataActions": []
}
],
"roleName": "SignalR REST API Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель REST API SignalR
Доступ только для чтения к интерфейсам REST API службы Azure SignalR.
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.SignalRService/SignalR/group/read | Проверка существования группы или присутствия пользователя в группе. |
| Microsoft.SignalRService/SignalR/clientConnection/read | Проверка существования клиентского соединения. |
| Microsoft.SignalRService/SignalR/user/read | Проверка существования пользователя. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Read-only access to Azure SignalR Service REST APIs",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ddde6b66-c0df-4114-a159-3618637b3035",
"name": "ddde6b66-c0df-4114-a159-3618637b3035",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.SignalRService/SignalR/group/read",
"Microsoft.SignalRService/SignalR/clientConnection/read",
"Microsoft.SignalRService/SignalR/user/read"
],
"notDataActions": []
}
],
"roleName": "SignalR REST API Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец службы SignalR
Полный доступ к интерфейсам REST API службы Azure SignalR.
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.SignalRService/SignalR/auth/accessKey/action | Создание AccessKey для подписи AccessTokens. По умолчанию срок действия ключа истекает через 90 минут. |
| Microsoft.SignalRService/SignalR/auth/clientToken/action | Создание AccessToken для подключения клиента к ASRS. По умолчанию срок действия токена истекает через 5 минут. |
| Microsoft.SignalRService/SignalR/hub/send/action | Широковещательная рассылка сообщений по всем клиентским соединениям в центре. |
| Microsoft.SignalRService/SignalR/group/send/action | Широковещательная рассылка сообщения для группы. |
| Microsoft.SignalRService/SignalR/group/read | Проверка существования группы или присутствия пользователя в группе. |
| Microsoft.SignalRService/SignalR/group/write | Присоединение к группе или выход из нее. |
| Microsoft.SignalRService/SignalR/clientConnection/send/action | Отправка сообщений непосредственно в клиентское соединение. |
| Microsoft.SignalRService/SignalR/clientConnection/read | Проверка существования клиентского соединения. |
| Microsoft.SignalRService/SignalR/clientConnection/write | Закрытие клиентского соединения. |
| Microsoft.SignalRService/SignalR/serverConnection/write | Запуск соединения с сервером. |
| Microsoft.SignalRService/SignalR/user/send/action | Отправка сообщений пользователю, который может состоять из нескольких клиентских соединений. |
| Microsoft.SignalRService/SignalR/user/read | Проверка существования пользователя. |
| Microsoft.SignalRService/SignalR/user/write | Изменение пользователя. |
| Microsoft.SignalRService/SignalR/livetrace/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Full access to Azure SignalR Service REST APIs",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/7e4f1700-ea5a-4f59-8f37-079cfe29dce3",
"name": "7e4f1700-ea5a-4f59-8f37-079cfe29dce3",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.SignalRService/SignalR/auth/accessKey/action",
"Microsoft.SignalRService/SignalR/auth/clientToken/action",
"Microsoft.SignalRService/SignalR/hub/send/action",
"Microsoft.SignalRService/SignalR/group/send/action",
"Microsoft.SignalRService/SignalR/group/read",
"Microsoft.SignalRService/SignalR/group/write",
"Microsoft.SignalRService/SignalR/clientConnection/send/action",
"Microsoft.SignalRService/SignalR/clientConnection/read",
"Microsoft.SignalRService/SignalR/clientConnection/write",
"Microsoft.SignalRService/SignalR/serverConnection/write",
"Microsoft.SignalRService/SignalR/user/send/action",
"Microsoft.SignalRService/SignalR/user/read",
"Microsoft.SignalRService/SignalR/user/write",
"Microsoft.SignalRService/SignalR/livetrace/*"
],
"notDataActions": []
}
],
"roleName": "SignalR Service Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник SignalR/Web PubSub
Создание, чтение, изменение и удаление ресурсов службы SignalR.
| Действия | Описание |
|---|---|
| Microsoft.SignalRService/* | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete SignalR service resources",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761",
"name": "8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761",
"permissions": [
{
"actions": [
"Microsoft.SignalRService/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SignalR/Web PubSub Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник веб-плана
Управление веб-планами для веб-сайтов. Не позволяет назначать роли в Azure RBAC.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Web/serverFarms/* | Создание ферм серверов и управление ими |
| Microsoft.Web/hostingEnvironments/Join/Action | Присоединяет среду службы приложений |
| Microsoft.Insights/autoscalesettings/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage the web plans for websites, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b",
"name": "2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Web/serverFarms/*",
"Microsoft.Web/hostingEnvironments/Join/Action",
"Microsoft.Insights/autoscalesettings/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Web Plan Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник веб-сайта
Управление веб-сайтами, но не веб-планами. Не позволяет назначать роли в Azure RBAC.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/components/* | Создание компонентов Insights и управление ими |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Web/certificates/* | Создание сертификатов веб-сайтов и управление ими |
| Microsoft.Web/listSitesAssignedToHostName/read | Возвращает имена сайтов, назначенные имени узла. |
| Microsoft.Web/serverFarms/join/action | Объединение плана службы приложений. |
| Microsoft.Web/serverFarms/read | Возвращает свойства плана службы приложений. |
| Microsoft.Web/sites/* | Создание веб-сайтов и управление ими (создание сайта также требует разрешений на запись к связанному плану службы приложений). |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage websites (not web plans), but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/de139f84-1756-47ae-9be6-808fbbe84772",
"name": "de139f84-1756-47ae-9be6-808fbbe84772",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/components/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Web/certificates/*",
"Microsoft.Web/listSitesAssignedToHostName/read",
"Microsoft.Web/serverFarms/join/action",
"Microsoft.Web/serverFarms/read",
"Microsoft.Web/sites/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Website Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Контейнеры
AcrDelete
Удаление репозиториев, тегов или манифестов из реестра контейнеров. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | Удаление артефакта в реестре контейнеров. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Отправка или получение доверенных образов в реестре контейнеров с поддержкой доверия к содержимому. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | Передача или извлечение метаданных доверия к содержимому для реестра контейнеров. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | Позволяет отправлять или публиковать доверенные коллекции содержимого реестра контейнеров Похоже на действие Microsoft.ContainerRegistry/registries/sign/write, за исключением того, что это действие с данными |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
Извлечение артефактов из реестра контейнеров. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/push/write | Передача или запись образов в реестр контейнеров. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Извлечение помещенных в карантин образов из реестра контейнеров. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/read, за исключением того, что это действие с данными |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/quarantine/write | Запись и изменение состояния карантина образов, помещенных в карантин. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/read, за исключением того, что это действие с данными |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | Позволяет записывать или обновлять состояние карантина для артефактов, помещенных на карантин Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/write, за исключением того, что это действие с данными |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC Администратор
Эта роль предоставляет доступ администратора. Предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение автопарка |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Записывает localsubjectaccessreviews |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "This role grants admin access - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Кластер Azure Kubernetes Fleet Manager Администратор кластера RBAC
Позволяет управлять всеми ресурсами в кластере диспетчера автопарка.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение автопарка |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the fleet manager cluster.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель RBAC Диспетчера флота Azure Kubernetes
Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение автопарка |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/apps/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft.ContainerService/fleets/batch/jobs/read | Считывает jobs. |
| Microsoft.ContainerService/fleets/configmaps/read | Считывает configmaps. |
| Microsoft.ContainerService/fleets/endpoints/read | Считывает endpoints. |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.ContainerService/fleets/services/read | Считывает services. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи RBAC диспетчера парка Azure Kubernetes
Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получать доступ к секретам в качестве любой учетной записи ServiceAccount в пространстве имен, поэтому ее можно использовать для получения уровней доступа к API любой учетной записи ServiceAccount в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение автопарка |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль администратора кластера в Службе Azure Kubernetes
Список действий, выполненных с помощью учетных данных администратора кластера. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | Перечисляет учетные данные clusterAdmin управляемого кластера. |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Получение профиля доступа управляемого кластера по имени роли с помощью вывода учетных данных. |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| Microsoft.ContainerService/managedClusters/runcommand/action | Выполняет команду, выданную пользователем, на управляемом сервере kubernetes. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль пользователя кластера в Службе Azure Kubernetes
Список действий, выполненных с помощью учетных данных пользователя кластера. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль участника службы Azure Kubernetes
Предоставляет доступ на чтение и запись для кластеров службы Azure Kubernetes. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| Microsoft.ContainerService/managedClusters/write | Создание нового управляемого кластера или обновление имеющегося. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/write",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор RBAC для Службы Azure Kubernetes
Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | Записывает resourcequotas. |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | Удаляет resourcequotas. |
| Microsoft.ContainerService/managedClusters/namespaces/write | Записывает namespaces. |
| Microsoft.ContainerService/managedClusters/namespaces/delete | Удаляет namespaces. |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор кластера RBAC для Службы Azure Kubernetes
Позволяет управлять всеми ресурсами в кластере. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель RBAC для службы Azure Kubernetes
Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | Считывает replicasets. |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | Считывает jobs. |
| Microsoft.ContainerService/managedClusters/configmaps/read | Считывает configmaps. |
| Microsoft.ContainerService/managedClusters/endpoints/read | Считывает endpoints. |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/managedClusters/events/read | Считывает events. |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Считывает replicasets. |
| Microsoft.ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.ContainerService/managedClusters/pods/read | Считывает pods. |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.ContainerService/managedClusters/services/read | Считывает services. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи RBAC для службы Azure Kubernetes
Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/managedClusters/events/read | Считывает events. |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Базы данных
Подключение подключенных SQL Server Azure
Предоставляет SQL Server доступ для чтения и записи к ресурсам Azure на серверах с поддержкой Arc. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.AzureArcData/sqlServerInstances/read | Извлекает ресурс экземпляра SQL Server. |
| Microsoft.AzureArcData/sqlServerInstances/write | Обновления ресурс экземпляра SQL Server |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Microsoft.AzureArcData service role to access the resources of Microsoft.AzureArcData stored with RPSAAS.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e8113dce-c529-4d33-91fa-e9b972617508",
"name": "e8113dce-c529-4d33-91fa-e9b972617508",
"permissions": [
{
"actions": [
"Microsoft.AzureArcData/sqlServerInstances/read",
"Microsoft.AzureArcData/sqlServerInstances/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Connected SQL Server Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль читателя учетных записей Cosmos DB
Позволяет считывать данные учетных записей Azure Cosmos DB. Сведения об управлении учетными записями Azure Cosmos DB см. в разделе Участник учетной записи DocumentDB. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.DocumentDB/*/read | Чтение любой коллекции |
| Microsoft.DocumentDB/databaseAccounts/readonlykeys/action | Считывает ключи только для чтения учетной записи базы данных. |
| Microsoft.Insights/MetricDefinitions/read | Считывает определения метрик. |
| Microsoft.Insights/Metrics/read | Считывает метрики. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can read Azure Cosmos DB Accounts data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
"name": "fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.DocumentDB/*/read",
"Microsoft.DocumentDB/databaseAccounts/readonlykeys/action",
"Microsoft.Insights/MetricDefinitions/read",
"Microsoft.Insights/Metrics/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Cosmos DB Account Reader Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор Cosmos DB
Позволяет управлять учетными записями Azure Cosmos DB, но не доступом к данным. Предотвращает доступ к ключам учетной записи и строкам подключения. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.DocumentDb/databaseAccounts/* | |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
| NotActions | |
| Microsoft.DocumentDB/databaseAccounts/readonlyKeys/* | |
| Microsoft.DocumentDB/databaseAccounts/regenerateKey/* | |
| Microsoft.DocumentDB/databaseAccounts/listKeys/* | |
| Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/* | |
| Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write | Создание или обновление определения роли SQL. |
| Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete | Удаление определения роли SQL. |
| Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write | Создание или обновление назначения роли SQL. |
| Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete | Удаление назначения роли SQL. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa",
"name": "230815da-be43-4aae-9cb4-875f7bd000aa",
"permissions": [
{
"actions": [
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Authorization/*/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
],
"notActions": [
"Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*",
"Microsoft.DocumentDB/databaseAccounts/regenerateKey/*",
"Microsoft.DocumentDB/databaseAccounts/listKeys/*",
"Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*",
"Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write",
"Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete",
"Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write",
"Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Cosmos DB Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
CosmosBackupOperator
Позволяет отправлять запрос на восстановление контейнера или базы данных Cosmos DB для учетной записи. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.DocumentDB/databaseAccounts/backup/action | Отправка запроса на настройку резервного копирования |
| Microsoft.DocumentDB/databaseAccounts/restore/action | Отправка запроса восстановления |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can submit restore request for a Cosmos DB database or a container for an account",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/db7b14f2-5adf-42da-9f96-f2ee17bab5cb",
"name": "db7b14f2-5adf-42da-9f96-f2ee17bab5cb",
"permissions": [
{
"actions": [
"Microsoft.DocumentDB/databaseAccounts/backup/action",
"Microsoft.DocumentDB/databaseAccounts/restore/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CosmosBackupOperator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
CosmosRestoreOperator
Может выполнять действие восстановления для учетной записи базы данных Cosmos DB в режиме непрерывного резервного копирования.
| Действия | Описание |
|---|---|
| Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action | Отправка запроса восстановления |
| Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read | |
| Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read | Чтение восстанавливаемой учетной записи базы данных или вывод списка всех таких учетных записей. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can perform restore action for Cosmos DB database account with continuous backup mode",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5432c526-bc82-444a-b7ba-57c5b0b5b34f",
"name": "5432c526-bc82-444a-b7ba-57c5b0b5b34f",
"permissions": [
{
"actions": [
"Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action",
"Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read",
"Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "CosmosRestoreOperator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник учетной записи DocumentDB
Может управлять учетными записями Azure Cosmos DB Служба Azure Cosmos DB раньше называлась DocumentDB. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.DocumentDb/databaseAccounts/* | Создание учетных записей Azure Cosmos DB и управление ими |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage DocumentDB accounts, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5bd9cd88-fe45-4216-938b-f97437e15450",
"name": "5bd9cd88-fe45-4216-938b-f97437e15450",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.DocumentDb/databaseAccounts/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "DocumentDB Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник кэша Redis
Позволяет управлять кэшем Redis, но не доступом к нему.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Cache/register/action | Регистрирует поставщик ресурсов Microsoft.Cache для подписки. |
| Microsoft.Cache/redis/* | Создание кэшей Redis и управление ими |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Redis caches, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e0f68234-74aa-48ed-b826-c38b57376e17",
"name": "e0f68234-74aa-48ed-b826-c38b57376e17",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Cache/register/action",
"Microsoft.Cache/redis/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Redis Cache Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник БД SQL
Позволяет управлять базами данных SQL, но не доступом к ним. Кроме того, не позволяет управлять их политиками безопасности или родительскими серверами SQL Server. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Sql/locations/*/read | |
| Microsoft.Sql/servers/databases/* | Создание баз данных SQL и управление ими |
| Microsoft.Sql/servers/read | Возвращение списка серверов или получение свойств для указанного сервера. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.Insights/metricDefinitions/read | Считывает определения метрик. |
| NotActions | |
| Microsoft.Sql/servers/databases/ledgerDigestUploads/write | Включение передачи хэш-кодов реестра. |
| Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action | Отключение передачи хэш-кодов реестра. |
| Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/databases/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/managedInstances/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/auditingSettings/* | Изменение параметров аудита. |
| Microsoft.Sql/servers/databases/auditRecords/read | Извлекает записи аудита больших двоичных объектов для базы данных. |
| Microsoft.Sql/servers/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* | Изменение политик маскирования данных. |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/* | |
| Microsoft.Sql/servers/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* | Изменение политик оповещения системы безопасности. |
| Microsoft.Sql/servers/databases/securityMetrics/* | Изменение метрик безопасности. |
| Microsoft.Sql/servers/databases/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* | |
| Microsoft.Sql/servers/vulnerabilityAssessments/* | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage SQL databases, but not access to them. Also, you can't manage their security-related policies or their parent SQL servers.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/9b7fa17d-e63e-47b0-bb0a-15c516ac86ec",
"name": "9b7fa17d-e63e-47b0-bb0a-15c516ac86ec",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Sql/locations/*/read",
"Microsoft.Sql/servers/databases/*",
"Microsoft.Sql/servers/read",
"Microsoft.Support/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read"
],
"notActions": [
"Microsoft.Sql/servers/databases/ledgerDigestUploads/write",
"Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action",
"Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/managedInstances/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/auditingSettings/*",
"Microsoft.Sql/servers/databases/auditRecords/read",
"Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
"Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
"Microsoft.Sql/servers/databases/extendedAuditingSettings/*",
"Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/securityAlertPolicies/*",
"Microsoft.Sql/servers/databases/securityMetrics/*",
"Microsoft.Sql/servers/databases/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
"Microsoft.Sql/servers/vulnerabilityAssessments/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SQL DB Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого экземпляра SQL
Позволяет управлять управляемыми экземплярами SQL и требуемой конфигурацией сети, но не предоставлять к ним доступ.
| Действия | Описание |
|---|---|
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Network/networkSecurityGroups/* | |
| Microsoft.Network/routeTables/* | |
| Microsoft.Sql/locations/*/read | |
| Microsoft.Sql/locations/instanceFailoverGroups/* | |
| Microsoft.Sql/managedInstances/* | |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Network/virtualNetworks/subnets/* | |
| Microsoft.Network/virtualNetworks/* | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.Insights/metricDefinitions/read | Считывает определения метрик. |
| NotActions | |
| Microsoft.Sql/managedInstances/azureADOnlyAuthentications/delete | Удаляет только объект проверки подлинности Azure Active Directory указанного управляемого сервера. |
| Microsoft.Sql/managedInstances/azureADOnlyAuthentications/write | Добавляет или обновляет только объект проверки подлинности Azure Active Directory указанного управляемого сервера. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage SQL Managed Instances and required network configuration, but can't give access to others.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4939a1f6-9ae0-4e48-a1e0-f2cbe897382d",
"name": "4939a1f6-9ae0-4e48-a1e0-f2cbe897382d",
"permissions": [
{
"actions": [
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/networkSecurityGroups/*",
"Microsoft.Network/routeTables/*",
"Microsoft.Sql/locations/*/read",
"Microsoft.Sql/locations/instanceFailoverGroups/*",
"Microsoft.Sql/managedInstances/*",
"Microsoft.Support/*",
"Microsoft.Network/virtualNetworks/subnets/*",
"Microsoft.Network/virtualNetworks/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read"
],
"notActions": [
"Microsoft.Sql/managedInstances/azureADOnlyAuthentications/delete",
"Microsoft.Sql/managedInstances/azureADOnlyAuthentications/write"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SQL Managed Instance Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Диспетчер безопасности SQL
Позволяет управлять политиками безопасности серверов SQL Server и баз данных SQL, но не доступом к ним. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Sql/locations/administratorAzureAsyncOperation/read | Возвращает результат операций асинхронного администрирования Azure для управляемого экземпляра. |
| Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read | Получение списка параметров Расширенной защиты от угроз управляемого экземпляра, настроенных для данного экземпляра |
| Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write | Изменение параметров расширенной защиты от угроз управляемого экземпляра для данного управляемого экземпляра |
| Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read | Получение списка параметров расширенной защиты от угроз управляемой базы данных, настроенных для данной управляемой базы данных. |
| Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write | Изменение параметров расширенной защиты от угроз для конкретной управляемой базы данных |
| Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read | Получение списка параметров Расширенной защиты от угроз управляемого экземпляра, настроенных для данного экземпляра |
| Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write | Изменение параметров расширенной защиты от угроз управляемого экземпляра для данного управляемого экземпляра |
| Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read | Получение списка параметров расширенной защиты от угроз управляемой базы данных, настроенных для данной управляемой базы данных. |
| Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write | Изменение параметров расширенной защиты от угроз для конкретной управляемой базы данных |
| Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/databases/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/advancedThreatProtectionSettings/read | Получение списка параметров расширенной защиты от угроз сервера, настроенных для данного сервера |
| Microsoft.Sql/servers/advancedThreatProtectionSettings/write | Изменение параметров расширенной защиты от угроз на сервере для данного сервера |
| Microsoft.Sql/managedInstances/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/databases/transparentDataEncryption/* | |
| Microsoft.Sql/managedInstances/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/advancedThreatProtectionSettings/read | Получение списка параметров расширенной защиты от угроз сервера, настроенных для данного сервера |
| Microsoft.Sql/servers/advancedThreatProtectionSettings/write | Изменение параметров расширенной защиты от угроз на сервере для данного сервера |
| Microsoft.Sql/servers/auditingSettings/* | Создание параметров аудита SQL Server и управление ими |
| Microsoft.Sql/servers/extendedAuditingSettings/read | Извлечение сведений о расширенной политике аудита больших двоичных объектов, настроенной на заданном сервере. |
| Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read | Получение списка параметров расширенной защиты от угроз базы данных, настроенных для конкретной базы данных |
| Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write | Изменение параметров расширенной защиты от угроз для конкретной базы данных |
| Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read | Получение списка параметров расширенной защиты от угроз базы данных, настроенных для конкретной базы данных |
| Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write | Изменение параметров расширенной защиты от угроз для конкретной базы данных |
| Microsoft.Sql/servers/databases/auditingSettings/* | Создание параметров аудита баз данных SQL Server и управление ими |
| Microsoft.Sql/servers/databases/auditRecords/read | Извлекает записи аудита больших двоичных объектов для базы данных. |
| Microsoft.Sql/servers/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* | Создание политик маскирования данных баз данных SQL Server и управление ими |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/read | Извлечение сведений о расширенной политике аудита больших двоичных объектов, настроенной для заданной базы данных. |
| Microsoft.Sql/servers/databases/read | Возвращение списка баз данных или возвращение свойств указанной базы данных. |
| Microsoft.Sql/servers/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/schemas/read | Получение схемы базы данных. |
| Microsoft.Sql/servers/databases/schemas/tables/columns/read | Получение столбца базы данных. |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/schemas/tables/read | Получение таблицы базы данных. |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* | Создание политик оповещения системы безопасности баз данных SQL Server и управление ими |
| Microsoft.Sql/servers/databases/securityMetrics/* | Создание метрик безопасности базы данных SQL и управление ими |
| Microsoft.Sql/servers/databases/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/transparentDataEncryption/* | |
| Microsoft.Sql/servers/databases/sqlvulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* | |
| Microsoft.Sql/servers/devOpsAuditingSettings/* | |
| Microsoft.Sql/servers/firewallRules/* | |
| Microsoft.Sql/servers/read | Возвращение списка серверов или получение свойств для указанного сервера. |
| Microsoft.Sql/servers/securityAlertPolicies/* | Создание политик оповещения системы безопасности SQL Server и управление ими |
| Microsoft.Sql/servers/sqlvulnerabilityAssessments/* | |
| Microsoft.Sql/servers/vulnerabilityAssessments/* | |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Sql/servers/azureADOnlyAuthentications/* | |
| Microsoft.Sql/managedInstances/read | Возвращение списка управляемых экземпляров или получение свойств указанного управляемого экземпляра. |
| Microsoft.Sql/managedInstances/azureADOnlyAuthentications/* | |
| Microsoft.Security/sqlVulnerabilityAssessments/* | |
| Microsoft.Sql/managedInstances/administrators/read | Получение списка администраторов управляемого экземпляра. |
| Microsoft.Sql/servers/administrators/read | Возвращает конкретный объект Azure Active Directory администратора. |
| Microsoft.Sql/servers/databases/ledgerDigestUploads/* | |
| Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read | Получает выполняемые операции с параметрами передачи хэш-кода реестра |
| Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read | Получает выполняемые операции с параметрами передачи хэш-кода реестра |
| Microsoft.Sql/servers/externalPolicyBasedAuthorizations/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage the security-related policies of SQL servers and databases, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/056cd41c-7e88-42e1-933e-88ba6a50c9c3",
"name": "056cd41c-7e88-42e1-933e-88ba6a50c9c3",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Sql/locations/administratorAzureAsyncOperation/read",
"Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read",
"Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read",
"Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read",
"Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read",
"Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/advancedThreatProtectionSettings/read",
"Microsoft.Sql/servers/advancedThreatProtectionSettings/write",
"Microsoft.Sql/managedInstances/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/databases/transparentDataEncryption/*",
"Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/advancedThreatProtectionSettings/read",
"Microsoft.Sql/servers/advancedThreatProtectionSettings/write",
"Microsoft.Sql/servers/auditingSettings/*",
"Microsoft.Sql/servers/extendedAuditingSettings/read",
"Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read",
"Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write",
"Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read",
"Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write",
"Microsoft.Sql/servers/databases/auditingSettings/*",
"Microsoft.Sql/servers/databases/auditRecords/read",
"Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
"Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
"Microsoft.Sql/servers/databases/extendedAuditingSettings/read",
"Microsoft.Sql/servers/databases/read",
"Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/servers/databases/schemas/read",
"Microsoft.Sql/servers/databases/schemas/tables/columns/read",
"Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/schemas/tables/read",
"Microsoft.Sql/servers/databases/securityAlertPolicies/*",
"Microsoft.Sql/servers/databases/securityMetrics/*",
"Microsoft.Sql/servers/databases/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/transparentDataEncryption/*",
"Microsoft.Sql/servers/databases/sqlvulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
"Microsoft.Sql/servers/devOpsAuditingSettings/*",
"Microsoft.Sql/servers/firewallRules/*",
"Microsoft.Sql/servers/read",
"Microsoft.Sql/servers/securityAlertPolicies/*",
"Microsoft.Sql/servers/sqlvulnerabilityAssessments/*",
"Microsoft.Sql/servers/vulnerabilityAssessments/*",
"Microsoft.Support/*",
"Microsoft.Sql/servers/azureADOnlyAuthentications/*",
"Microsoft.Sql/managedInstances/read",
"Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*",
"Microsoft.Security/sqlVulnerabilityAssessments/*",
"Microsoft.Sql/managedInstances/administrators/read",
"Microsoft.Sql/servers/administrators/read",
"Microsoft.Sql/servers/databases/ledgerDigestUploads/*",
"Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read",
"Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read",
"Microsoft.Sql/servers/externalPolicyBasedAuthorizations/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SQL Security Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник SQL Server
Позволяет управлять серверами SQL Server и базами данных SQL, но не доступом к ним и их политиками безопасности. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Sql/locations/*/read | |
| Microsoft.Sql/servers/* | Создание серверов SQL Server и управление ими |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.Insights/metricDefinitions/read | Считывает определения метрик. |
| NotActions | |
| Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/databases/sensitivityLabels/* | |
| Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/managedInstances/securityAlertPolicies/* | |
| Microsoft.Sql/managedInstances/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/auditingSettings/* | Изменение параметров аудита SQL Server. |
| Microsoft.Sql/servers/databases/auditingSettings/* | Изменение параметров аудита баз данных SQL Server. |
| Microsoft.Sql/servers/databases/auditRecords/read | Извлекает записи аудита больших двоичных объектов для базы данных. |
| Microsoft.Sql/servers/databases/currentSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* | Изменение политик маскирования данных баз данных SQL Server. |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/* | |
| Microsoft.Sql/servers/databases/recommendedSensitivityLabels/* | |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* | Изменение политик оповещения системы безопасности баз данных SQL Server. |
| Microsoft.Sql/servers/databases/securityMetrics/* | Изменение метрик безопасности баз данных SQL Server. |
| Microsoft.Sql/servers/databases/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* | |
| Microsoft.Sql/servers/devOpsAuditingSettings/* | |
| Microsoft.Sql/servers/extendedAuditingSettings/* | |
| Microsoft.Sql/servers/securityAlertPolicies/* | Изменение политик оповещения системы безопасности SQL Server. |
| Microsoft.Sql/servers/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/azureADOnlyAuthentications/delete | Удаляет только объект проверки подлинности Azure Active Directory указанного сервера. |
| Microsoft.Sql/servers/azureADOnlyAuthentications/write | Добавляет или обновляет только объект проверки подлинности Azure Active Directory указанного сервера. |
| Microsoft.Sql/servers/externalPolicyBasedAuthorizations/delete | Удаляет определенное свойство авторизации на основе внешней политики сервера. |
| Microsoft.Sql/servers/externalPolicyBasedAuthorizations/write | Добавляет или обновляет определенное свойство авторизации на основе внешней политики сервера. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage SQL servers and databases, but not access to them, and not their security -related policies.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437",
"name": "6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Sql/locations/*/read",
"Microsoft.Sql/servers/*",
"Microsoft.Support/*",
"Microsoft.Insights/metrics/read",
"Microsoft.Insights/metricDefinitions/read"
],
"notActions": [
"Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
"Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/managedInstances/securityAlertPolicies/*",
"Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/auditingSettings/*",
"Microsoft.Sql/servers/databases/auditingSettings/*",
"Microsoft.Sql/servers/databases/auditRecords/read",
"Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
"Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
"Microsoft.Sql/servers/databases/extendedAuditingSettings/*",
"Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
"Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/securityAlertPolicies/*",
"Microsoft.Sql/servers/databases/securityMetrics/*",
"Microsoft.Sql/servers/databases/sensitivityLabels/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
"Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
"Microsoft.Sql/servers/devOpsAuditingSettings/*",
"Microsoft.Sql/servers/extendedAuditingSettings/*",
"Microsoft.Sql/servers/securityAlertPolicies/*",
"Microsoft.Sql/servers/vulnerabilityAssessments/*",
"Microsoft.Sql/servers/azureADOnlyAuthentications/delete",
"Microsoft.Sql/servers/azureADOnlyAuthentications/write",
"Microsoft.Sql/servers/externalPolicyBasedAuthorizations/delete",
"Microsoft.Sql/servers/externalPolicyBasedAuthorizations/write"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "SQL Server Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Analytics
Владелец данных Центров событий Azure
Разрешает полный доступ к ресурсам Центров событий Azure. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.EventHub/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.EventHub/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to Azure Event Hubs resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f526a384-b230-433a-b45c-95f59c4a2dec",
"name": "f526a384-b230-433a-b45c-95f59c4a2dec",
"permissions": [
{
"actions": [
"Microsoft.EventHub/*"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/*"
],
"notDataActions": []
}
],
"roleName": "Azure Event Hubs Data Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Получатель данных Центров событий Azure
Разрешает полный доступ к ресурсам Центров событий Azure. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.EventHub/*/eventhubs/consumergroups/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.EventHub/*/receive/action | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows receive access to Azure Event Hubs resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a638d3c7-ab3a-418d-83e6-5f17a39d4fde",
"name": "a638d3c7-ab3a-418d-83e6-5f17a39d4fde",
"permissions": [
{
"actions": [
"Microsoft.EventHub/*/eventhubs/consumergroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/*/receive/action"
],
"notDataActions": []
}
],
"roleName": "Azure Event Hubs Data Receiver",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Отправитель данных Центров событий Azure
Разрешает полный доступ к ресурсам Центров событий Azure. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.EventHub/*/eventhubs/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.EventHub/*/send/action | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows send access to Azure Event Hubs resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2b629674-e913-4c01-ae53-ef4638d8f975",
"name": "2b629674-e913-4c01-ae53-ef4638d8f975",
"permissions": [
{
"actions": [
"Microsoft.EventHub/*/eventhubs/read"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/*/send/action"
],
"notDataActions": []
}
],
"roleName": "Azure Event Hubs Data Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник фабрики данных
Создание фабрик данных и управление ими, а также их дочерними ресурсами. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.DataFactory/dataFactories/* | Создание фабрик данных и дочерних ресурсов внутри их, а также управление ими. |
| Microsoft.DataFactory/factories/* | Создание фабрик данных и дочерних ресурсов внутри их, а также управление ими. |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.EventGrid/eventSubscriptions/write | Создание или обновление eventSubscription |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Create and manage data factories, as well as child resources within them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/673868aa-7521-48a0-acc6-0f60742d39f5",
"name": "673868aa-7521-48a0-acc6-0f60742d39f5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.DataFactory/dataFactories/*",
"Microsoft.DataFactory/factories/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.EventGrid/eventSubscriptions/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Factory Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство очистки данных
Удаление личных данных из рабочей области Log Analytics. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Insights/components/*/read | |
| Microsoft.Insights/components/purge/action | Очистка данных Application Insights. |
| Microsoft.OperationalInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Microsoft.OperationalInsights/workspaces/purge/action | Удаление указанных данных из рабочей области. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can purge analytics data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/150f5e0c-0603-4f03-8c7f-cf70034c4e90",
"name": "150f5e0c-0603-4f03-8c7f-cf70034c4e90",
"permissions": [
{
"actions": [
"Microsoft.Insights/components/*/read",
"Microsoft.Insights/components/purge/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/purge/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Data Purger",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор кластера HDInsight
Позволяет считывать и изменять конфигурации кластера HDInsight. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.HDInsight/*/read | |
| Microsoft.HDInsight/clusters/getGatewaySettings/action | Получение параметров шлюза для кластера HDInsight |
| Microsoft.HDInsight/clusters/updateGatewaySettings/action | Обновление параметров шлюза для кластера HDInsight |
| Microsoft.HDInsight/clusters/configurations/* | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you read and modify HDInsight cluster configurations.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/61ed4efc-fab3-44fd-b111-e24485cc132a",
"name": "61ed4efc-fab3-44fd-b111-e24485cc132a",
"permissions": [
{
"actions": [
"Microsoft.HDInsight/*/read",
"Microsoft.HDInsight/clusters/getGatewaySettings/action",
"Microsoft.HDInsight/clusters/updateGatewaySettings/action",
"Microsoft.HDInsight/clusters/configurations/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Authorization/*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "HDInsight Cluster Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник доменных служб HDInsight
Позволяет читать, создавать, изменять и удалять операции, связанные с доменными службами, необходимыми для Корпоративного пакета безопасности HDInsight. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.AAD/*/read | |
| Microsoft.AAD/domainServices/*/read | |
| Microsoft.AAD/domainServices/oucontainer/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can Read, Create, Modify and Delete Domain Services related operations needed for HDInsight Enterprise Security Package",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8d8d5a11-05d3-4bda-a417-a08778121c7c",
"name": "8d8d5a11-05d3-4bda-a417-a08778121c7c",
"permissions": [
{
"actions": [
"Microsoft.AAD/*/read",
"Microsoft.AAD/domainServices/*/read",
"Microsoft.AAD/domainServices/oucontainer/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "HDInsight Domain Services Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
участник Log Analytics.
Участник Log Analytics может считывать все данные мониторинга и изменять параметры мониторинга. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, добавление решений и настройку диагностики Azure во всех ресурсах Azure. Подробнее
| Действия | Описание |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | Отображает ключи доступа для учетных записей хранения. |
| Microsoft.Compute/virtualMachines/extensions/* | |
| Microsoft.HybridCompute/machines/extensions/write | Установка или обновление расширения Arc Azure |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/diagnosticSettings/* | Создание, обновление или считывание параметра диагностики для сервера анализа данных. |
| Microsoft.OperationalInsights/* | |
| Microsoft.OperationsManagement/* | |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | |
| Microsoft.Storage/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Log Analytics Contributor can read all monitoring data and edit monitoring settings. Editing monitoring settings includes adding the VM extension to VMs; reading storage account keys to be able to configure collection of logs from Azure Storage; adding solutions; and configuring Azure diagnostics on all Azure resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"name": "92aaf0da-9dab-42b6-94a3-d43ce8d16293",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.ClassicCompute/virtualMachines/extensions/*",
"Microsoft.ClassicStorage/storageAccounts/listKeys/action",
"Microsoft.Compute/virtualMachines/extensions/*",
"Microsoft.HybridCompute/machines/extensions/write",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.OperationalInsights/*",
"Microsoft.OperationsManagement/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Log Analytics Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
читатель Log Analytics;
Читатель Log Analytics может просматривать все данные мониторинга, выполнять по ним поиск и просматривать параметры мониторинга, в том числе конфигурацию системы диагностики Azure для всех ресурсов Azure. Подробнее
| Действия | Описание |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Поиск с помощью нового механизма. |
| Microsoft.OperationalInsights/workspaces/search/action | Выполняет поисковый запрос. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Microsoft.OperationalInsights/workspaces/sharedKeys/read | Извлекает открытые ключи для рабочей области. Эти ключи используются для подключения агентов Microsoft Operational Insights к рабочей области. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Log Analytics Reader can view and search all monitoring data as well as and view monitoring settings, including viewing the configuration of Azure diagnostics on all Azure resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/73c42c96-874c-492b-b04d-ab87d138a893",
"name": "73c42c96-874c-492b-b04d-ab87d138a893",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/search/action",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.OperationalInsights/workspaces/sharedKeys/read"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Log Analytics Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник реестра схем (предварительная версия)
Чтение, запись и удаление групп и схем реестра схем.
| Действия | Описание |
|---|---|
| Microsoft.EventHub/namespaces/schemagroups/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.EventHub/namespaces/schemas/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Read, write, and delete Schema Registry groups and schemas.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5dffeca3-4936-4216-b2bc-10343a5abb25",
"name": "5dffeca3-4936-4216-b2bc-10343a5abb25",
"permissions": [
{
"actions": [
"Microsoft.EventHub/namespaces/schemagroups/*"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/namespaces/schemas/*"
],
"notDataActions": []
}
],
"roleName": "Schema Registry Contributor (Preview)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель реестра схем (предварительная версия)
Чтение и перечисление групп и схем в реестре схем.
| Действия | Описание |
|---|---|
| Microsoft.EventHub/namespaces/schemagroups/read | Возвращает список описаний ресурсов группы схем. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.EventHub/namespaces/schemas/read | Получение схем. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Read and list Schema Registry groups and schemas.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2c56ea50-c6b3-40a6-83c0-9d98858bc7d2",
"name": "2c56ea50-c6b3-40a6-83c0-9d98858bc7d2",
"permissions": [
{
"actions": [
"Microsoft.EventHub/namespaces/schemagroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.EventHub/namespaces/schemas/read"
],
"notDataActions": []
}
],
"roleName": "Schema Registry Reader (Preview)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Тестер запросов Stream Analytics
Позволяет выполнять тестирование запросов без предварительного создания задания Stream Analytics
| Действия | Описание |
|---|---|
| Microsoft.StreamAnalytics/locations/TestQuery/action | Пробный запрос для поставщика ресурсов Stream Analytics |
| Microsoft.StreamAnalytics/locations/OperationResults/read | Чтение результата операции Stream Analytics |
| Microsoft.StreamAnalytics/locations/SampleInput/action | Пример входных данных для поставщика ресурсов Stream Analytics |
| Microsoft.StreamAnalytics/locations/CompileQuery/action | Компилирование запроса для поставщика ресурсов Stream Analytics |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you perform query testing without creating a stream analytics job first",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf",
"name": "1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf",
"permissions": [
{
"actions": [
"Microsoft.StreamAnalytics/locations/TestQuery/action",
"Microsoft.StreamAnalytics/locations/OperationResults/read",
"Microsoft.StreamAnalytics/locations/SampleInput/action",
"Microsoft.StreamAnalytics/locations/CompileQuery/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Stream Analytics Query Tester",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ИИ и машинное обучение
Специалист по обработке и анализу данных MLflow
Может выполнять все действия в рабочей области Машинного обучения Azure, кроме создания и удаления вычислительных ресурсов и изменения самой рабочей области.
| Действия | Описание |
|---|---|
| Microsoft.MachineLearningServices/workspaces/*/read | |
| Microsoft.MachineLearningServices/workspaces/*/action | |
| Microsoft.MachineLearningServices/workspaces/*/delete | |
| Microsoft.MachineLearningServices/workspaces/*/write | |
| NotActions | |
| Microsoft.MachineLearningServices/workspaces/delete | Удаляет рабочие области служб машинного обучения. |
| Microsoft.MachineLearningServices/workspaces/write | Создает или обновляет рабочие области служб машинного обучения. |
| Microsoft.MachineLearningServices/workspaces/computes/*/write | |
| Microsoft.MachineLearningServices/workspaces/computes/*/delete | |
| Microsoft.MachineLearningServices/workspaces/computes/listKeys/action | Выводит список секретов для вычислительных ресурсов в рабочей области служб машинного обучения. |
| Microsoft.MachineLearningServices/workspaces/listKeys/action | Выводит список секретов для рабочей области служб машинного обучения. |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can perform all actions within an Azure Machine Learning workspace, except for creating or deleting compute resources and modifying the workspace itself.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f6c7c914-8db3-469d-8ca1-694a8f32e121",
"name": "f6c7c914-8db3-469d-8ca1-694a8f32e121",
"permissions": [
{
"actions": [
"Microsoft.MachineLearningServices/workspaces/*/read",
"Microsoft.MachineLearningServices/workspaces/*/action",
"Microsoft.MachineLearningServices/workspaces/*/delete",
"Microsoft.MachineLearningServices/workspaces/*/write"
],
"notActions": [
"Microsoft.MachineLearningServices/workspaces/delete",
"Microsoft.MachineLearningServices/workspaces/write",
"Microsoft.MachineLearningServices/workspaces/computes/*/write",
"Microsoft.MachineLearningServices/workspaces/computes/*/delete",
"Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
"Microsoft.MachineLearningServices/workspaces/listKeys/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AzureML Data Scientist",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник служб Cognitive Services
Позволяет создавать, читать, обновлять, удалять ключи служб Cognitive Services и управлять ими. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.CognitiveServices/* | |
| Microsoft.Features/features/read | Возвращает функции подписки. |
| Microsoft.Features/providers/features/read | Возвращает функцию подписки в заданном поставщике ресурсов. |
| Microsoft.Features/providers/features/register/action | Регистрирует функцию для подписки в заданном поставщике ресурсов. |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/diagnosticSettings/* | Создание, обновление или считывание параметра диагностики для сервера анализа данных. |
| Microsoft.Insights/logDefinitions/read | Считывает определения журналов. |
| Microsoft.Insights/metricdefinitions/read | Считывает определения метрик. |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you create, read, update, delete and manage keys of Cognitive Services.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68",
"name": "25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.CognitiveServices/*",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Cognitive Services Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник Пользовательского визуального распознавания Cognitive Services
Полный доступ к проектам, включая возможность создавать, редактировать или удалять проекты. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/accounts/CustomVision/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Full access to the project, including the ability to view, create, edit, or delete projects.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c1ff6cc2-c111-46fe-8896-e0ef812ad9f3",
"name": "c1ff6cc2-c111-46fe-8896-e0ef812ad9f3",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services Custom Vision Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Развертывание Пользовательского визуального распознавания Cognitive Services
Публикация, отмена публикации или экспорт моделей. Роль развертывания дает возможность просматривать проект, но не позволяет выполнять обновления. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/accounts/CustomVision/*/read | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/publish/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/export/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/quicktest/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/classify/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/detect/* | |
| NotDataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read | Экспортирует проект. |
{
"assignableScopes": [
"/"
],
"description": "Publish, unpublish or export models. Deployment can view the project but can't update.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5c4089e1-6d96-4d2f-b296-c1bc7137275f",
"name": "5c4089e1-6d96-4d2f-b296-c1bc7137275f",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*/read",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/publish/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/export/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/quicktest/*",
"Microsoft.CognitiveServices/accounts/CustomVision/classify/*",
"Microsoft.CognitiveServices/accounts/CustomVision/detect/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
]
}
],
"roleName": "Cognitive Services Custom Vision Deployment",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Разработчик тегов Пользовательского визуального распознавания Cognitive Services
Просмотр и изменение обучающих изображений, а также создание, добавление и удаление тегов изображений. Разработчики тегов могут просматривать проекты, но не могут изменять ничего, кроме обучающих изображений и тегов. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/accounts/CustomVision/*/read | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action | Получение изображений, отправленных в конечную точку прогнозирования. |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/images/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/tags/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/images/suggested/* | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/tagsandregions/suggestions/action | Этот API будет получать предложенные теги и регионы для массива или пакета изображений без тегов вместе со сведениями о достоверности тегов. Если теги не найдены, возвращается пустой массив. |
| NotDataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read | Экспортирует проект. |
{
"assignableScopes": [
"/"
],
"description": "View, edit training images and create, add, remove, or delete the image tags. Labelers can view the project but can't update anything other than training images and tags.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/88424f51-ebe7-446f-bc41-7fa16989e96c",
"name": "88424f51-ebe7-446f-bc41-7fa16989e96c",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*/read",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/images/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/tags/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/images/suggested/*",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/tagsandregions/suggestions/action"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
]
}
],
"roleName": "Cognitive Services Custom Vision Labeler",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель Пользовательского визуального распознавания Cognitive Services
Действия с доступом только для чтения в проекте. Читатели не могут создавать или обновлять проекты. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/accounts/CustomVision/*/read | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action | Получение изображений, отправленных в конечную точку прогнозирования. |
| NotDataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read | Экспортирует проект. |
{
"assignableScopes": [
"/"
],
"description": "Read-only actions in the project. Readers can't create or update the project.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/93586559-c37d-4a6b-ba08-b9f0940c2d73",
"name": "93586559-c37d-4a6b-ba08-b9f0940c2d73",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*/read",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
]
}
],
"roleName": "Cognitive Services Custom Vision Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство обучения Пользовательского визуального распознавания Cognitive Services
Просмотр, изменение проектов и обучение моделей, включая возможность публикации, отмены публикации и экспорта моделей. Средства обучения не могут создать или удалять проекты. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/accounts/CustomVision/* | |
| NotDataActions | |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/action | Создайте проект. |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/delete | Удаляет указанный проект. |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/import/action | Импортирует проект. |
| Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read | Экспортирует проект. |
{
"assignableScopes": [
"/"
],
"description": "View, edit projects and train the models, including the ability to publish, unpublish, export the models. Trainers can't create or delete the project.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0a5ae4ab-0d65-4eeb-be61-29fc9b54394b",
"name": "0a5ae4ab-0d65-4eeb-be61-29fc9b54394b",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/*"
],
"notDataActions": [
"Microsoft.CognitiveServices/accounts/CustomVision/projects/action",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/delete",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/import/action",
"Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
]
}
],
"roleName": "Cognitive Services Custom Vision Trainer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль чтения данных Cognitive Services (предварительная версия)
Позволяет считывать данные Cognitive Services.
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/*/read | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you read Cognitive Services data.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b59867f0-fa02-499b-be73-45a86b5b3e1c",
"name": "b59867f0-fa02-499b-be73-45a86b5b3e1c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*/read"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services Data Reader (Preview)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Распознаватель лиц Cognitive Services
Позволяет выполнять обнаружение, проверку, идентификацию, группирование, а также поиск аналогичных операций в API Распознавания лиц. Эта роль не разрешает операции создания и удаления, что делает ее подходящей для конечных точек, которым требуются только возможности вывода в соответствии с рекомендациями "минимальных привилегий".
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/accounts/Face/detect/action | Обнаруживает человеческие лица на изображении, возвращает прямоугольники с лицами и при необходимости с faceId, ориентирами и атрибутами. |
| Microsoft.CognitiveServices/accounts/Face/verify/action | Проверяет, принадлежат ли два лица одному пользователю или принадлежит ли лицо пользователю. |
| Microsoft.CognitiveServices/accounts/Face/identify/action | Идентификация типа "один ко многим" для поиска наиболее близких совпадений лица пользователя из конкретного запроса в группе пользователей или большой группе пользователей. |
| Microsoft.CognitiveServices/accounts/Face/group/action | Разделение лиц-кандидатов на группы на основании сходства лиц. |
| Microsoft.CognitiveServices/accounts/Face/findsimilars/action | FaceId лица заданного запроса, поиск похожих лиц из массива faceId, списка лиц или большого списка лиц. faceId |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you perform detect, verify, identify, group, and find similar operations on Face API. This role does not allow create or delete operations, which makes it well suited for endpoints that only need inferencing capabilities, following 'least privilege' best practices.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/9894cab4-e18a-44aa-828b-cb588cd6f2d7",
"name": "9894cab4-e18a-44aa-828b-cb588cd6f2d7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/Face/detect/action",
"Microsoft.CognitiveServices/accounts/Face/verify/action",
"Microsoft.CognitiveServices/accounts/Face/identify/action",
"Microsoft.CognitiveServices/accounts/Face/group/action",
"Microsoft.CognitiveServices/accounts/Face/findsimilars/action"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services Face Recognizer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор Помощника по метрикам Cognitive Services
Полный доступ к проекту, включая конфигурацию уровня системы. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/accounts/MetricsAdvisor/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Full access to the project, including the system level configuration.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/cb43c632-a144-4ec5-977c-e80c4affc34a",
"name": "cb43c632-a144-4ec5-977c-e80c4affc34a",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/MetricsAdvisor/*"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services Metrics Advisor Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Редактор Cognitive Services QnA Maker
Позволяет создавать, изменять, импортировать и экспортировать базу знаний. Публикация или удаление базы знаний не поддерживается. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| Microsoft.Authorization/roleAssignments/read | Возвращает сведения о назначении роли. |
| Microsoft.Authorization/roleDefinitions/read | Возвращает сведения об определении роли. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read | Возвращает список баз знаний или сведения об указанной базе знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read | Скачивание базы знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/create/write | Асинхронная операция создания новой базы знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/write | Асинхронная операция изменения базы знаний или замены ее содержимого. |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action | Вызов GenerateAnswer для запроса к базе знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/train/action | Вызов Train для добавления предложения в базу знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read | Скачивание изменений из среды выполнения. |
| Microsoft.CognitiveServices/accounts/QnAMaker/alterations/write | Замена данных изменений. |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read | Получает ключи конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/refreshkeys/action | Повторно создает ключ конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read | Получает параметры конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/write | Обновляет параметры конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker/operations/read | Получает сведения об определенной длительной операции. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read | Возвращает список баз знаний или сведения об указанной базе знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read | Скачивание базы знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/create/write | Асинхронная операция создания новой базы знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/write | Асинхронная операция изменения базы знаний или замены ее содержимого. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action | Вызов GenerateAnswer для запроса к базе знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/train/action | Вызов Train для добавления предложения в базу знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read | Скачивание изменений из среды выполнения. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/write | Замена данных изменений. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read | Получает ключи конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/refreshkeys/action | Повторно создает ключ конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read | Получает параметры конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/write | Обновляет параметры конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/operations/read | Получает сведения об определенной длительной операции. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read | Возвращает список баз знаний или сведения об указанной базе знаний. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read | Скачивание базы знаний. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/create/write | Асинхронная операция создания новой базы знаний. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/write | Асинхронная операция изменения базы знаний или замены ее содержимого. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action | Вызов GenerateAnswer для запроса к базе знаний. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/train/action | Вызов Train для добавления предложения в базу знаний. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read | Скачивание изменений из среды выполнения. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/write | Замена данных изменений. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read | Получает ключи конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/refreshkeys/action | Повторно создает ключ конечной точки. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read | Получает параметры конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/write | Обновляет параметры конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/operations/read | Получает сведения об определенной длительной операции. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Let's you create, edit, import and export a KB. You cannot publish or delete a KB.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f4cc2bf9-21be-47a1-bdf1-5c5804381025",
"name": "f4cc2bf9-21be-47a1-bdf1-5c5804381025",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/create/write",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/write",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/train/action",
"Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/alterations/write",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/refreshkeys/action",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/write",
"Microsoft.CognitiveServices/accounts/QnAMaker/operations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/create/write",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/write",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/train/action",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/write",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/refreshkeys/action",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/write",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/operations/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/create/write",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/write",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/train/action",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/write",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/refreshkeys/action",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/write",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/operations/read"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services QnA Maker Editor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель Cognitive Services QnA Maker
Позволяет только читать и проверять базу знаний. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| Microsoft.Authorization/roleAssignments/read | Возвращает сведения о назначении роли. |
| Microsoft.Authorization/roleDefinitions/read | Возвращает сведения об определении роли. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read | Возвращает список баз знаний или сведения об указанной базе знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read | Скачивание базы знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action | Вызов GenerateAnswer для запроса к базе знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read | Скачивание изменений из среды выполнения. |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read | Получает ключи конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read | Получает параметры конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read | Возвращает список баз знаний или сведения об указанной базе знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read | Скачивание базы знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action | Вызов GenerateAnswer для запроса к базе знаний. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read | Скачивание изменений из среды выполнения. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read | Получает ключи конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read | Получает параметры конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read | Возвращает список баз знаний или сведения об указанной базе знаний. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read | Скачивание базы знаний. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action | Вызов GenerateAnswer для запроса к базе знаний. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read | Скачивание изменений из среды выполнения. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read | Получает ключи конечной точки для конечной точки. |
| Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read | Получает параметры конечной точки для конечной точки. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Let's you read and test a KB only.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/466ccd10-b268-4a11-b098-b4849f024126",
"name": "466ccd10-b268-4a11-b098-b4849f024126",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read",
"Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services QnA Maker Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь служб Cognitive Services
Позволяет создавать и читать список ключей служб Cognitive Services. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.CognitiveServices/*/read | |
| Microsoft.CognitiveServices/accounts/listkeys/action | получение списка ключей; |
| Microsoft.Insights/alertRules/read | Чтение классического оповещения метрики. |
| Microsoft.Insights/diagnosticSettings/read | Чтение параметра диагностики для ресурсов. |
| Microsoft.Insights/logDefinitions/read | Считывает определения журналов. |
| Microsoft.Insights/metricdefinitions/read | Считывает определения метрик. |
| Microsoft.Insights/metrics/read | Считывает метрики. |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.CognitiveServices/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you read and list keys of Cognitive Services.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a97b65f3-24c7-4388-baec-2e87135dc908",
"name": "a97b65f3-24c7-4388-baec-2e87135dc908",
"permissions": [
{
"actions": [
"Microsoft.CognitiveServices/*/read",
"Microsoft.CognitiveServices/accounts/listkeys/action",
"Microsoft.Insights/alertRules/read",
"Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Insights/logDefinitions/read",
"Microsoft.Insights/metricdefinitions/read",
"Microsoft.Insights/metrics/read",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.CognitiveServices/*"
],
"notDataActions": []
}
],
"roleName": "Cognitive Services User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
"Интернет вещей"
Администратор обновлений устройств
Предоставляет полный доступ к операциям управления и операциям с содержимым. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | Выполняет операцию чтения, связанную с обновлениями. |
| Microsoft.DeviceUpdate/accounts/instances/updates/write | Выполняет операцию записи, связанную с обновлениями. |
| Microsoft.DeviceUpdate/accounts/instances/updates/delete | Выполняет операцию удаления, связанную с обновлениями. |
| Microsoft.DeviceUpdate/accounts/instances/management/read | Выполняет операцию чтения, связанную с управлением. |
| Microsoft.DeviceUpdate/accounts/instances/management/write | Выполняет операцию записи, связанную с управлением. |
| Microsoft.DeviceUpdate/accounts/instances/management/delete | Выполняет операцию удаления, связанную с управлением. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Gives you full access to management and content operations",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/02ca0879-e8e4-47a5-a61e-5c618b76e64a",
"name": "02ca0879-e8e4-47a5-a61e-5c618b76e64a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/updates/read",
"Microsoft.DeviceUpdate/accounts/instances/updates/write",
"Microsoft.DeviceUpdate/accounts/instances/updates/delete",
"Microsoft.DeviceUpdate/accounts/instances/management/read",
"Microsoft.DeviceUpdate/accounts/instances/management/write",
"Microsoft.DeviceUpdate/accounts/instances/management/delete"
],
"notDataActions": []
}
],
"roleName": "Device Update Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор содержимого обновлений устройств
Предоставляет полный доступ к операциям с содержимым. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | Выполняет операцию чтения, связанную с обновлениями. |
| Microsoft.DeviceUpdate/accounts/instances/updates/write | Выполняет операцию записи, связанную с обновлениями. |
| Microsoft.DeviceUpdate/accounts/instances/updates/delete | Выполняет операцию удаления, связанную с обновлениями. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Gives you full access to content operations",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0378884a-3af5-44ab-8323-f5b22f9f3c98",
"name": "0378884a-3af5-44ab-8323-f5b22f9f3c98",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/updates/read",
"Microsoft.DeviceUpdate/accounts/instances/updates/write",
"Microsoft.DeviceUpdate/accounts/instances/updates/delete"
],
"notDataActions": []
}
],
"roleName": "Device Update Content Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель содержимого обновлений устройств
Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | Выполняет операцию чтения, связанную с обновлениями. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Gives you read access to content operations, but does not allow making changes",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d1ee9a80-8b14-47f0-bdc2-f4a351625a7b",
"name": "d1ee9a80-8b14-47f0-bdc2-f4a351625a7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/updates/read"
],
"notDataActions": []
}
],
"roleName": "Device Update Content Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор развертывания обновлений устройств
Предоставляет полный доступ к операциям управления. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.DeviceUpdate/accounts/instances/management/read | Выполняет операцию чтения, связанную с управлением. |
| Microsoft.DeviceUpdate/accounts/instances/management/write | Выполняет операцию записи, связанную с управлением. |
| Microsoft.DeviceUpdate/accounts/instances/management/delete | Выполняет операцию удаления, связанную с управлением. |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | Выполняет операцию чтения, связанную с обновлениями. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Gives you full access to management operations",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e4237640-0e3d-4a46-8fda-70bc94856432",
"name": "e4237640-0e3d-4a46-8fda-70bc94856432",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/management/read",
"Microsoft.DeviceUpdate/accounts/instances/management/write",
"Microsoft.DeviceUpdate/accounts/instances/management/delete",
"Microsoft.DeviceUpdate/accounts/instances/updates/read"
],
"notDataActions": []
}
],
"roleName": "Device Update Deployments Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель развертывания обновлений устройств
Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.DeviceUpdate/accounts/instances/management/read | Выполняет операцию чтения, связанную с управлением. |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | Выполняет операцию чтения, связанную с обновлениями. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Gives you read access to management operations, but does not allow making changes",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/49e2f5d2-7741-4835-8efa-19e1fe35e47f",
"name": "49e2f5d2-7741-4835-8efa-19e1fe35e47f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/management/read",
"Microsoft.DeviceUpdate/accounts/instances/updates/read"
],
"notDataActions": []
}
],
"roleName": "Device Update Deployments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель обновлений устройств
Предоставляет доступ на чтение к операциям управления и операциям с содержимым, но не позволяет вносить изменения. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.DeviceUpdate/accounts/instances/updates/read | Выполняет операцию чтения, связанную с обновлениями. |
| Microsoft.DeviceUpdate/accounts/instances/management/read | Выполняет операцию чтения, связанную с управлением. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Gives you read access to management and content operations, but does not allow making changes",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f",
"name": "e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Insights/alertRules/*"
],
"notActions": [],
"dataActions": [
"Microsoft.DeviceUpdate/accounts/instances/updates/read",
"Microsoft.DeviceUpdate/accounts/instances/management/read"
],
"notDataActions": []
}
],
"roleName": "Device Update Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник данных Центра Интернета вещей
Обеспечивает полный доступ к операциям плоскости данных Центра Интернета вещей. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Devices/IotHubs/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to IoT Hub data plane operations.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4fc6c259-987e-4a07-842e-c321cc9d413f",
"name": "4fc6c259-987e-4a07-842e-c321cc9d413f",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Devices/IotHubs/*"
],
"notDataActions": []
}
],
"roleName": "IoT Hub Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных Центра Интернета вещей
Разрешает полный доступ на чтение к свойствам плоскости данных Центра Интернета вещей. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Devices/IotHubs/*/read | |
| Microsoft.Devices/IotHubs/fileUpload/notifications/action | Получение и завершение уведомлений о передаче файлов или отказ от них |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for full read access to IoT Hub data-plane properties",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b447c946-2db7-41ec-983d-d8bf3b1c77e3",
"name": "b447c946-2db7-41ec-983d-d8bf3b1c77e3",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Devices/IotHubs/*/read",
"Microsoft.Devices/IotHubs/fileUpload/notifications/action"
],
"notDataActions": []
}
],
"roleName": "IoT Hub Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник реестра Центра Интернета вещей
Обеспечивает полный доступ к реестру устройств Центра Интернета вещей. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Devices/IotHubs/devices/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to IoT Hub device registry.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4ea46cd5-c1b2-4a8e-910b-273211f9ce47",
"name": "4ea46cd5-c1b2-4a8e-910b-273211f9ce47",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Devices/IotHubs/devices/*"
],
"notDataActions": []
}
],
"roleName": "IoT Hub Registry Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник цифрового двойника Центра Интернета вещей
Разрешает доступ на чтение и запись ко всем двойникам устройств и модулей Центра Интернета вещей. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Devices/IotHubs/twins/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to all IoT Hub device and module twins.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/494bdba2-168f-4f31-a0a1-191d2f7c028c",
"name": "494bdba2-168f-4f31-a0a1-191d2f7c028c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.Devices/IotHubs/twins/*"
],
"notDataActions": []
}
],
"roleName": "IoT Hub Twin Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Смешанная реальность
Администратор Удаленной отрисовки
Предоставляет пользователю возможности преобразования, управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.MixedReality/RemoteRenderingAccounts/convert/action | Запуск преобразования ресурса |
| Microsoft.MixedReality/RemoteRenderingAccounts/convert/read | Получение свойств преобразования ресурса. |
| Microsoft.MixedReality/RemoteRenderingAccounts/convert/delete | Остановка преобразования ресурса. |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read | Получение свойств сеанса. |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action | Запуск сеансов. |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete | Завершение сеансов. |
| Microsoft.MixedReality/RemoteRenderingAccounts/render/read | Подключение к сеансу |
| Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read | Подключение к инспектору Удаленной отрисовки. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Provides user with conversion, manage session, rendering and diagnostics capabilities for Azure Remote Rendering",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3df8b902-2a6f-47c7-8cc5-360e9b272a7e",
"name": "3df8b902-2a6f-47c7-8cc5-360e9b272a7e",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/RemoteRenderingAccounts/convert/action",
"Microsoft.MixedReality/RemoteRenderingAccounts/convert/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/convert/delete",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete",
"Microsoft.MixedReality/RemoteRenderingAccounts/render/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read"
],
"notDataActions": []
}
],
"roleName": "Remote Rendering Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Клиент Удаленной отрисовки
Предоставляет пользователю возможности управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read | Получение свойств сеанса. |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action | Запуск сеансов. |
| Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete | Завершение сеансов. |
| Microsoft.MixedReality/RemoteRenderingAccounts/render/read | Подключение к сеансу |
| Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read | Подключение к инспектору Удаленной отрисовки. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Provides user with manage session, rendering and diagnostics capabilities for Azure Remote Rendering.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d39065c4-c120-43c9-ab0a-63eed9795f0a",
"name": "d39065c4-c120-43c9-ab0a-63eed9795f0a",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action",
"Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete",
"Microsoft.MixedReality/RemoteRenderingAccounts/render/read",
"Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read"
],
"notDataActions": []
}
],
"roleName": "Remote Rendering Client",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник учетной записи пространственных привязок
Позволяет управлять пространственными привязками в вашей учетной записи, но не удалять их. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.MixedReality/SpatialAnchorsAccounts/create/action | Создание пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read | Обнаружение ближайших пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read | Получение свойств пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/query/read | Определение пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read | Отправка диагностических данных для повышения качества службы пространственных привязок Azure |
| Microsoft.MixedReality/SpatialAnchorsAccounts/write | Обновление свойств пространственных привязок |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage spatial anchors in your account, but not delete them",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827",
"name": "8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/SpatialAnchorsAccounts/create/action",
"Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/query/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/write"
],
"notDataActions": []
}
],
"roleName": "Spatial Anchors Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец учетной записи пространственных привязок
Позволяет управлять пространственными привязками в вашей учетной записи, в том числе удалять их. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.MixedReality/SpatialAnchorsAccounts/create/action | Создание пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/delete | Удаление пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read | Обнаружение ближайших пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read | Получение свойств пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/query/read | Определение пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read | Отправка диагностических данных для повышения качества службы пространственных привязок Azure |
| Microsoft.MixedReality/SpatialAnchorsAccounts/write | Обновление свойств пространственных привязок |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage spatial anchors in your account, including deleting them",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/70bbe301-9835-447d-afdd-19eb3167307c",
"name": "70bbe301-9835-447d-afdd-19eb3167307c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/SpatialAnchorsAccounts/create/action",
"Microsoft.MixedReality/SpatialAnchorsAccounts/delete",
"Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/query/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/write"
],
"notDataActions": []
}
],
"roleName": "Spatial Anchors Account Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель учетной записи пространственных привязок
Позволяет найти и прочитать свойства пространственных привязок в вашей учетной записи. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read | Обнаружение ближайших пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read | Получение свойств пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/query/read | Определение пространственных привязок |
| Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read | Отправка диагностических данных для повышения качества службы пространственных привязок Azure |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you locate and read properties of spatial anchors in your account",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5d51204f-eb77-4b1c-b86a-2ec626c49413",
"name": "5d51204f-eb77-4b1c-b86a-2ec626c49413",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/query/read",
"Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read"
],
"notDataActions": []
}
],
"roleName": "Spatial Anchors Account Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Интеграция
Участник службы управления API
Может управлять службой и интерфейсами API. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ApiManagement/service/* | Создание службы управления API и управление ею |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can manage service and the APIs",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/312a565d-c81f-4fd8-895a-4e21e48d571c",
"name": "312a565d-c81f-4fd8-895a-4e21e48d571c",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Service Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль оператора службы управления API
Может управлять службой, но не интерфейсами API.Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ApiManagement/service/*/read | Чтение экземпляров службы управления API. |
| Microsoft.ApiManagement/service/backup/action | Архивирует службу управления API в указанный контейнер в предоставленной пользователем учетной записи хранения. |
| Microsoft.ApiManagement/service/delete | Удаляет экземпляр службы управления API. |
| Microsoft.ApiManagement/service/managedeployments/action | Позволяет изменить номер SKU или единицы, а также добавить или удалить региональные развертывания службы управления API. |
| Microsoft.ApiManagement/service/read | Чтение метаданных для экземпляра службы управления API. |
| Microsoft.ApiManagement/service/restore/action | Восстановление службы управления API из указанного контейнера в предоставленной пользователем учетной записи хранения. |
| Microsoft.ApiManagement/service/updatecertificate/action | Отправка SSL-сертификата для службы управления API |
| Microsoft.ApiManagement/service/updatehostname/action | Позволяет настроить, обновить или удалить имена личных доменов для службы управления API. |
| Microsoft.ApiManagement/service/write | Создание или обновление экземпляра службы управления API Azure |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Microsoft.ApiManagement/service/users/keys/read | Получение ключей, связанных с пользователем |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can manage service but not the APIs",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e022efe7-f5ba-4159-bbe4-b44f577e9b61",
"name": "e022efe7-f5ba-4159-bbe4-b44f577e9b61",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/*/read",
"Microsoft.ApiManagement/service/backup/action",
"Microsoft.ApiManagement/service/delete",
"Microsoft.ApiManagement/service/managedeployments/action",
"Microsoft.ApiManagement/service/read",
"Microsoft.ApiManagement/service/restore/action",
"Microsoft.ApiManagement/service/updatecertificate/action",
"Microsoft.ApiManagement/service/updatehostname/action",
"Microsoft.ApiManagement/service/write",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.ApiManagement/service/users/keys/read"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Service Operator Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль читателя данных службы управления API
Доступ к службе и интерфейсам API в режиме "только для чтения". Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ApiManagement/service/*/read | Чтение экземпляров службы управления API. |
| Microsoft.ApiManagement/service/read | Чтение метаданных для экземпляра службы управления API. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Microsoft.ApiManagement/service/users/keys/read | Получение ключей, связанных с пользователем |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Read-only access to service and APIs",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/71522526-b88f-4d52-b57f-d31fc3546d0d",
"name": "71522526-b88f-4d52-b57f-d31fc3546d0d",
"permissions": [
{
"actions": [
"Microsoft.ApiManagement/service/*/read",
"Microsoft.ApiManagement/service/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.ApiManagement/service/users/keys/read"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "API Management Service Reader Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец данных Конфигурации приложений
Предоставляет полный доступ к данным Конфигурации приложений. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.AppConfiguration/configurationStores/*/read | |
| Microsoft.AppConfiguration/configurationStores/*/write | |
| Microsoft.AppConfiguration/configurationStores/*/delete | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows full access to App Configuration data.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b",
"name": "5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppConfiguration/configurationStores/*/read",
"Microsoft.AppConfiguration/configurationStores/*/write",
"Microsoft.AppConfiguration/configurationStores/*/delete"
],
"notDataActions": []
}
],
"roleName": "App Configuration Data Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных Конфигурации приложений
Предоставляет доступ на чтение данных Конфигурации приложений. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.AppConfiguration/configurationStores/*/read | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows read access to App Configuration data.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/516239f1-63e1-4d78-a4de-a74fb236a071",
"name": "516239f1-63e1-4d78-a4de-a74fb236a071",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.AppConfiguration/configurationStores/*/read"
],
"notDataActions": []
}
],
"roleName": "App Configuration Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Прослушиватель Azure Relay
Разрешает доступ на прослушивание к ресурсам Azure Relay.
| Действия | Описание |
|---|---|
| Microsoft.Relay/*/wcfRelays/read | |
| Microsoft.Relay/*/hybridConnections/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Relay/*/listen/action | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for listen access to Azure Relay resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/26e0b698-aa6d-4085-9386-aadae190014d",
"name": "26e0b698-aa6d-4085-9386-aadae190014d",
"permissions": [
{
"actions": [
"Microsoft.Relay/*/wcfRelays/read",
"Microsoft.Relay/*/hybridConnections/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Relay/*/listen/action"
],
"notDataActions": []
}
],
"roleName": "Azure Relay Listener",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец Azure Relay
Разрешает полный доступ к ресурсам Azure Relay.
| Действия | Описание |
|---|---|
| Microsoft.Relay/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Relay/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to Azure Relay resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2787bf04-f1f5-4bfe-8383-c8a24483ee38",
"name": "2787bf04-f1f5-4bfe-8383-c8a24483ee38",
"permissions": [
{
"actions": [
"Microsoft.Relay/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Relay/*"
],
"notDataActions": []
}
],
"roleName": "Azure Relay Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Отправитель Azure Relay
Разрешает доступ на отправку к ресурсам Azure Relay.
| Действия | Описание |
|---|---|
| Microsoft.Relay/*/wcfRelays/read | |
| Microsoft.Relay/*/hybridConnections/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.Relay/*/send/action | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for send access to Azure Relay resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/26baccc8-eea7-41f1-98f4-1762cc7f685d",
"name": "26baccc8-eea7-41f1-98f4-1762cc7f685d",
"permissions": [
{
"actions": [
"Microsoft.Relay/*/wcfRelays/read",
"Microsoft.Relay/*/hybridConnections/read"
],
"notActions": [],
"dataActions": [
"Microsoft.Relay/*/send/action"
],
"notDataActions": []
}
],
"roleName": "Azure Relay Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец данных служебной шины Azure
Разрешает полный доступ к ресурсам служебной шины Azure. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ServiceBus/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ServiceBus/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for full access to Azure Service Bus resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/090c5cfd-751d-490a-894a-3ce6f1109419",
"name": "090c5cfd-751d-490a-894a-3ce6f1109419",
"permissions": [
{
"actions": [
"Microsoft.ServiceBus/*"
],
"notActions": [],
"dataActions": [
"Microsoft.ServiceBus/*"
],
"notDataActions": []
}
],
"roleName": "Azure Service Bus Data Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Получатель данных Служебной шины Azure
Разрешает полный доступ к ресурсам служебной шины Azure. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ServiceBus/*/queues/read | |
| Microsoft.ServiceBus/*/topics/read | |
| Microsoft.ServiceBus/*/topics/subscriptions/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ServiceBus/*/receive/action | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for receive access to Azure Service Bus resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0",
"name": "4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0",
"permissions": [
{
"actions": [
"Microsoft.ServiceBus/*/queues/read",
"Microsoft.ServiceBus/*/topics/read",
"Microsoft.ServiceBus/*/topics/subscriptions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ServiceBus/*/receive/action"
],
"notDataActions": []
}
],
"roleName": "Azure Service Bus Data Receiver",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Отправитель данных Служебной шины Azure
Разрешает полный доступ к ресурсам служебной шины Azure. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ServiceBus/*/queues/read | |
| Microsoft.ServiceBus/*/topics/read | |
| Microsoft.ServiceBus/*/topics/subscriptions/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.ServiceBus/*/send/action | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows for send access to Azure Service Bus resources.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/69a216fc-b8fb-44d8-bc22-1f3c2cd27a39",
"name": "69a216fc-b8fb-44d8-bc22-1f3c2cd27a39",
"permissions": [
{
"actions": [
"Microsoft.ServiceBus/*/queues/read",
"Microsoft.ServiceBus/*/topics/read",
"Microsoft.ServiceBus/*/topics/subscriptions/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ServiceBus/*/send/action"
],
"notDataActions": []
}
],
"roleName": "Azure Service Bus Data Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец регистрации Azure Stack
Позволяет управлять регистрациями Azure Stack.
| Действия | Описание |
|---|---|
| Microsoft.AzureStack/edgeSubscriptions/read | |
| Microsoft.AzureStack/registrations/products/*/action | |
| Microsoft.AzureStack/registrations/products/read | Получает свойства продукта из Azure Stack Marketplace. |
| Microsoft.AzureStack/registrations/read | Получает свойства регистрации Azure Stack. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Azure Stack registrations.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/6f12a6df-dd06-4f3e-bcb1-ce8be600526a",
"name": "6f12a6df-dd06-4f3e-bcb1-ce8be600526a",
"permissions": [
{
"actions": [
"Microsoft.AzureStack/edgeSubscriptions/read",
"Microsoft.AzureStack/registrations/products/*/action",
"Microsoft.AzureStack/registrations/products/read",
"Microsoft.AzureStack/registrations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Stack Registration Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник EventGrid
Позволяет управлять операциями EventGrid.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.EventGrid/* | Создание ресурсов Сетки событий и управление ими. |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage EventGrid operations.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/1e241071-0855-49ea-94dc-649edcd759de",
"name": "1e241071-0855-49ea-94dc-649edcd759de",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.EventGrid/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "EventGrid Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Отправитель данных Сетки событий
Разрешает доступ на отправку к событиям сетки событий.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.EventGrid/topics/read | Чтение раздела. |
| Microsoft.EventGrid/domains/read | Чтение домена |
| Microsoft.EventGrid/partnerNamespaces/read | Чтение пространства имен партнера |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.EventGrid/events/send/action | Отправляет события в разделы |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows send access to event grid events.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d5a91429-5739-47e2-a06b-3470a27159e7",
"name": "d5a91429-5739-47e2-a06b-3470a27159e7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.EventGrid/topics/read",
"Microsoft.EventGrid/domains/read",
"Microsoft.EventGrid/partnerNamespaces/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.EventGrid/events/send/action"
],
"notDataActions": []
}
],
"roleName": "EventGrid Data Sender",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник EventGrid EventSubscription
Позволяет управлять операциями с подписками на события Сетки событий. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.EventGrid/eventSubscriptions/* | Создание подписок на события в регионе и управление ими. |
| Microsoft.EventGrid/topicTypes/eventSubscriptions/read | Создание списка подписок на глобальные события по типу темы |
| Microsoft.EventGrid/locations/eventSubscriptions/read | Создание списка подписок на события в регионе |
| Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read | Создание списка подписок на события в регионе по типу темы |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage EventGrid event subscription operations.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/428e0ff0-5e57-4d9c-a221-2c70d0e0a443",
"name": "428e0ff0-5e57-4d9c-a221-2c70d0e0a443",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.EventGrid/eventSubscriptions/*",
"Microsoft.EventGrid/topicTypes/eventSubscriptions/read",
"Microsoft.EventGrid/locations/eventSubscriptions/read",
"Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "EventGrid EventSubscription Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель EventGrid EventSubscription
Позволяет получить доступ на чтение к подпискам на события Сетки событий. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.EventGrid/eventSubscriptions/read | Чтение eventSubscription |
| Microsoft.EventGrid/topicTypes/eventSubscriptions/read | Создание списка подписок на глобальные события по типу темы |
| Microsoft.EventGrid/locations/eventSubscriptions/read | Создание списка подписок на события в регионе |
| Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read | Создание списка подписок на события в регионе по типу темы |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you read EventGrid event subscriptions.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2414bbcf-6497-4faf-8c65-045460748405",
"name": "2414bbcf-6497-4faf-8c65-045460748405",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/topicTypes/eventSubscriptions/read",
"Microsoft.EventGrid/locations/eventSubscriptions/read",
"Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "EventGrid EventSubscription Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Разработчик данных FHIR
Эта роль предоставляет пользователю или субъекту полный доступ к данным FHIR. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.HealthcareApis/services/fhir/resources/* | |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Role allows user or principal full access to FHIR Data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5a1fc7df-4bf1-4951-a576-89034ee01acd",
"name": "5a1fc7df-4bf1-4951-a576-89034ee01acd",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.HealthcareApis/services/fhir/resources/*",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/*"
],
"notDataActions": []
}
],
"roleName": "FHIR Data Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство экспорта данных FHIR
Эта роль позволяет пользователю или субъекту читать и экспортировать данные FHIR. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.HealthcareApis/services/fhir/resources/read | Чтение ресурсов FHIR (включая журнал поиска и отслеживания версий). |
| Microsoft.HealthcareApis/services/fhir/resources/export/action | Операция экспорта ($export). |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/read | Чтение ресурсов FHIR (включая журнал поиска и отслеживания версий). |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/export/action | Операция экспорта ($export). |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Role allows user or principal to read and export FHIR Data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3db33094-8700-4567-8da5-1501d4e7e843",
"name": "3db33094-8700-4567-8da5-1501d4e7e843",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.HealthcareApis/services/fhir/resources/read",
"Microsoft.HealthcareApis/services/fhir/resources/export/action",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/read",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/export/action"
],
"notDataActions": []
}
],
"roleName": "FHIR Data Exporter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель данных FHIR
Эта роль позволяет пользователю или субъекту читать данные FHIR. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.HealthcareApis/services/fhir/resources/read | Чтение ресурсов FHIR (включая журнал поиска и отслеживания версий). |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/read | Чтение ресурсов FHIR (включая журнал поиска и отслеживания версий). |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Role allows user or principal to read FHIR Data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4c8d0bbc-75d3-4935-991f-5f3c56d81508",
"name": "4c8d0bbc-75d3-4935-991f-5f3c56d81508",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.HealthcareApis/services/fhir/resources/read",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/read"
],
"notDataActions": []
}
],
"roleName": "FHIR Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи данных FHIR
Эта роль позволяет пользователю или субъекту читать и записывать данные FHIR. Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.HealthcareApis/services/fhir/resources/* | |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/* | |
| NotDataActions | |
| Microsoft.HealthcareApis/services/fhir/resources/hardDelete/action | Жесткое удаление (включая журнал версий). |
| Microsoft.HealthcareApis/workspaces/fhirservices/resources/hardDelete/action | Жесткое удаление (включая журнал версий). |
{
"assignableScopes": [
"/"
],
"description": "Role allows user or principal to read and write FHIR Data",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3f88fce4-5892-4214-ae73-ba5294559913",
"name": "3f88fce4-5892-4214-ae73-ba5294559913",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.HealthcareApis/services/fhir/resources/*",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/*"
],
"notDataActions": [
"Microsoft.HealthcareApis/services/fhir/resources/hardDelete/action",
"Microsoft.HealthcareApis/workspaces/fhirservices/resources/hardDelete/action"
]
}
],
"roleName": "FHIR Data Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник среды службы интеграции
Позволяет вам управлять средами службы интеграции, но не доступом к ним. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Logic/integrationServiceEnvironments/* | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage integration service environments, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a41e2c5b-bd99-4a07-88f4-9bf657a760b8",
"name": "a41e2c5b-bd99-4a07-88f4-9bf657a760b8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Support/*",
"Microsoft.Logic/integrationServiceEnvironments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Integration Service Environment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Разработчик среды службы интеграции
Позволяет разработчикам создавать и изменять рабочие процессы, учетные записи интеграции и подключения API в средах службы интеграции. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Logic/integrationServiceEnvironments/read | Считывает среду службы интеграции. |
| Microsoft.Logic/integrationServiceEnvironments/*/join/action | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Allows developers to create and update workflows, integration accounts and API connections in integration service environments.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c7aa55d3-1abb-444a-a5ca-5e51e485d6ec",
"name": "c7aa55d3-1abb-444a-a5ca-5e51e485d6ec",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Support/*",
"Microsoft.Logic/integrationServiceEnvironments/read",
"Microsoft.Logic/integrationServiceEnvironments/*/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Integration Service Environment Developer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник учетной записи интеллектуальных систем
Позволяет управлять учетными записями интеллектуальных систем, но не доступом к ним.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.IntelligentSystems/accounts/* | Создание учетных записей интеллектуальных систем и управление ими |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage Intelligent Systems accounts, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/03a6d094-3444-4b3d-88af-7477090a9e5e",
"name": "03a6d094-3444-4b3d-88af-7477090a9e5e",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.IntelligentSystems/accounts/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Intelligent Systems Account Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Создатель приложений логики
Позволяет управлять приложениями логики, но не доступом к ним. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | Отображает ключи доступа для учетных записей хранения. |
| Microsoft.ClassicStorage/storageAccounts/read | Возвращает учетную запись хранения для заданной учетной записи. |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Insights/metricAlerts/* | |
| Microsoft.Insights/diagnosticSettings/* | Создание, обновление или считывание параметра диагностики для сервера анализа данных. |
| Microsoft.Insights/logdefinitions/* | Это разрешение необходимо пользователям, которым требуется доступ к журналам действия на портале. Получение списка категорий журнала в журнале действий. |
| Microsoft.Insights/metricDefinitions/* | Чтение определений метрик (вывод списка доступных типов метрик для ресурса). |
| Microsoft.Logic/* | Управляет ресурсами Logic Apps. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Storage/storageAccounts/listkeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Web/connectionGateways/* | Создает шлюз подключения и управляет им. |
| Microsoft.Web/connections/* | Создает подключение и управляет им. |
| Microsoft.Web/customApis/* | Создает настраиваемый API и управляет им. |
| Microsoft.Web/serverFarms/join/action | Объединение плана службы приложений. |
| Microsoft.Web/serverFarms/read | Возвращает свойства плана службы приложений. |
| Microsoft.Web/sites/functions/listSecrets/action | Перечисление секретов функции. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage logic app, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/87a39d53-fc1b-424a-814c-f7e04687dc9e",
"name": "87a39d53-fc1b-424a-814c-f7e04687dc9e",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicStorage/storageAccounts/listKeys/action",
"Microsoft.ClassicStorage/storageAccounts/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Insights/metricAlerts/*",
"Microsoft.Insights/diagnosticSettings/*",
"Microsoft.Insights/logdefinitions/*",
"Microsoft.Insights/metricDefinitions/*",
"Microsoft.Logic/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Support/*",
"Microsoft.Web/connectionGateways/*",
"Microsoft.Web/connections/*",
"Microsoft.Web/customApis/*",
"Microsoft.Web/serverFarms/join/action",
"Microsoft.Web/serverFarms/read",
"Microsoft.Web/sites/functions/listSecrets/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Logic App Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор приложений логики
Позволяет читать, включать и отключать приложения логики, но не изменять и не обновлять их. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/*/read | Считывание правил оповещений Insights. |
| Microsoft.Insights/metricAlerts/*/read | |
| Microsoft.Insights/diagnosticSettings/*/read | Получает параметры диагностики для Logic Apps. |
| Microsoft.Insights/metricDefinitions/*/read | Получает доступные метрики для Logic Apps. |
| Microsoft.Logic/*/read | Считывает ресурсы Logic Apps. |
| Microsoft.Logic/workflows/disable/action | Отключает рабочий процесс. |
| Microsoft.Logic/workflows/enable/action | Включает рабочий процесс. |
| Microsoft.Logic/workflows/validate/action | Проверяет рабочий процесс. |
| Microsoft.Resources/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Web/connectionGateways/*/read | Считывает шлюзы подключения. |
| Microsoft.Web/connections/*/read | Считывает подключения. |
| Microsoft.Web/customApis/*/read | Считывает настраиваемый API. |
| Microsoft.Web/serverFarms/read | Возвращает свойства плана службы приложений. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you read, enable and disable logic app.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/515c2055-d9d4-4321-b1b9-bd0c9a0f79fe",
"name": "515c2055-d9d4-4321-b1b9-bd0c9a0f79fe",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*/read",
"Microsoft.Insights/metricAlerts/*/read",
"Microsoft.Insights/diagnosticSettings/*/read",
"Microsoft.Insights/metricDefinitions/*/read",
"Microsoft.Logic/*/read",
"Microsoft.Logic/workflows/disable/action",
"Microsoft.Logic/workflows/enable/action",
"Microsoft.Logic/workflows/validate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Web/connectionGateways/*/read",
"Microsoft.Web/connections/*/read",
"Microsoft.Web/customApis/*/read",
"Microsoft.Web/serverFarms/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Logic App Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Идентификация
Участник доменных служб
Может управлять Azure AD доменными службами и связанными конфигурациями сети Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/read | Возвращает развернутые службы или выводит их список. |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/deployments/delete | Удаляет развертывание. |
| Microsoft.Resources/deployments/cancel/action | Отменяет развертывание. |
| Microsoft.Resources/deployments/validate/action | Проверяет развертывание. |
| Microsoft.Resources/deployments/whatIf/action | Прогнозирует изменения в развертывании шаблона. |
| Microsoft.Resources/deployments/exportTemplate/action | Экспорт шаблона для развертывания |
| Microsoft.Resources/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Microsoft.Resources/deployments/operationstatuses/read | Возвращает состояния операций развертывания или выводит их список. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Insights/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Delete | Удаление классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Microsoft.Insights/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Microsoft.Insights/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Microsoft.Insights/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| Microsoft.Insights/Logs/Read | Чтение данных из всех журналов. |
| Microsoft.Insights/Metrics/Read | Считывает метрики. |
| Microsoft.Insights/DiagnosticSettings/* | Создание, обновление или считывание параметра диагностики для сервера анализа данных. |
| Microsoft.Insights/DiagnosticSettingsCategories/Read | Чтение категорий параметров диагностики |
| Microsoft.AAD/register/action | Регистрация службы домена |
| Microsoft.AAD/unregister/action | Отмена регистрации службы домена |
| Microsoft.AAD/domainServices/* | |
| Microsoft.Network/register/action | Регистрирует подписку. |
| Microsoft.Network/unregister/action | Отменяет регистрацию подписки. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/write | Создает новую виртуальную сеть или обновляет существующую. |
| Microsoft.Network/virtualNetworks/delete | Удаляет виртуальную сеть. |
| Microsoft.Network/virtualNetworks/peer/action | Создает пиринг между виртуальными сетями. |
| Microsoft.Network/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Network/virtualNetworks/subnets/delete | Удаляет подсеть виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Возвращает определение пиринга виртуальной сети. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | Создает новый пиринг виртуальной сети или обновляет существующий. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | Удаляет пиринг виртуальной сети. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read | Получение параметров диагностики виртуальной сети. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read | Получает доступные метрики для PingMesh. |
| Microsoft.Network/azureFirewalls/read | Получает службу "Брандмауэр Azure". |
| Microsoft.Network/ddosProtectionPlans/read | Получение плана защиты от атак DDoS. |
| Microsoft.Network/ddosProtectionPlans/join/action | Присоединение плана защиты от атак DDoS. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/loadBalancers/delete | Удаляет подсистему балансировки нагрузки. |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/natGateways/join/action | Присоединяет шлюз NAT |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft.Network/networkInterfaces/delete | Удаляет сетевой интерфейс. |
| Microsoft.Network/networkInterfaces/join/action | Подключает виртуальную машину к сетевому интерфейсу. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | Возвращает определение правила безопасности по умолчанию. |
| Microsoft.Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft.Network/networkSecurityGroups/write | Создает новую группу безопасности сети или обновляет существующую. |
| Microsoft.Network/networkSecurityGroups/delete | Удаляет группу безопасности сети. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/securityRules/read | Возвращает определение правила безопасности. |
| Microsoft.Network/networkSecurityGroups/securityRules/write | Создает новое правило безопасности или обновляет существующее. |
| Microsoft.Network/networkSecurityGroups/securityRules/delete | Удаляет правило безопасности. |
| Microsoft.Network/routeTables/read | Возвращает определение таблицы маршрутов. |
| Microsoft.Network/routeTables/write | Создает новую таблицу маршрутов или обновляет существующую. |
| Microsoft.Network/routeTables/delete | Удаляет определение таблицы маршрутов. |
| Microsoft.Network/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft.Network/routeTables/routes/read | Возвращает определение маршрута. |
| Microsoft.Network/routeTables/routes/write | Создает новый маршрут или обновляет существующий. |
| Microsoft.Network/routeTables/routes/delete | Удаляет определение маршрута. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can manage Azure AD Domain Services and related network configurations",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/eeaeda52-9324-47f6-8069-5d5bade478b2",
"name": "eeaeda52-9324-47f6-8069-5d5bade478b2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/Read",
"Microsoft.Insights/DiagnosticSettings/*",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/register/action",
"Microsoft.AAD/unregister/action",
"Microsoft.AAD/domainServices/*",
"Microsoft.Network/register/action",
"Microsoft.Network/unregister/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/peer/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/ddosProtectionPlans/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/delete",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/networkSecurityGroups/securityRules/write",
"Microsoft.Network/networkSecurityGroups/securityRules/delete",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/write",
"Microsoft.Network/routeTables/delete",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/routeTables/routes/read",
"Microsoft.Network/routeTables/routes/write",
"Microsoft.Network/routeTables/routes/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель доменных служб
Может просматривать Azure AD доменных служб и связанные конфигурации сети
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/read | Возвращает развернутые службы или выводит их список. |
| Microsoft.Resources/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Microsoft.Resources/deployments/operationstatuses/read | Возвращает состояния операций развертывания или выводит их список. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| Microsoft.Insights/Logs/Read | Чтение данных из всех журналов. |
| Microsoft.Insights/Metrics/read | Считывает метрики. |
| Microsoft.Insights/DiagnosticSettings/read | Чтение параметра диагностики для ресурсов. |
| Microsoft.Insights/DiagnosticSettingsCategories/Read | Чтение категорий параметров диагностики |
| Microsoft.AAD/domainServices/*/read | |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Возвращает определение пиринга виртуальной сети. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read | Получение параметров диагностики виртуальной сети. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read | Получает доступные метрики для PingMesh. |
| Microsoft.Network/azureFirewalls/read | Получает службу "Брандмауэр Azure". |
| Microsoft.Network/ddosProtectionPlans/read | Получение плана защиты от атак DDoS. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/natGateways/read | Возвращает определение шлюза Nat. |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | Возвращает определение правила безопасности по умолчанию. |
| Microsoft.Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft.Network/networkSecurityGroups/securityRules/read | Возвращает определение правила безопасности. |
| Microsoft.Network/routeTables/read | Возвращает определение таблицы маршрутов. |
| Microsoft.Network/routeTables/routes/read | Возвращает определение маршрута. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can view Azure AD Domain Services and related network configurations",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/361898ef-9ed1-48c2-849c-a832951106bb",
"name": "361898ef-9ed1-48c2-849c-a832951106bb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/read",
"Microsoft.Insights/DiagnosticSettings/read",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/domainServices/*/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/natGateways/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/routes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого удостоверения
Создание, чтение, обновление и удаление пользовательских удостоверений. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Получение существующего пользовательского удостоверения. |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | Создание существующего пользовательского удостоверения или обновление связанных с ним тегов. |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | Удаление существующего пользовательского удостоверения. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete User Assigned Identity",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"name": "e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор управляемого удостоверения
Чтение и назначение пользовательских удостоверений. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/read | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Read and Assign User Assigned Identity",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f1a07417-d97a-45cb-824c-7a7467783830",
"name": "f1a07417-d97a-45cb-824c-7a7467783830",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/*/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Безопасность
Участник аттестации
Может читать, записывать или удалять экземпляр поставщика аттестации. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | |
| Microsoft.Attestation/attestationProviders/attestation/write | |
| Microsoft.Attestation/attestationProviders/attestation/delete | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель аттестации
Может считывать свойства поставщика аттестации. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор хранилища ключей
Выполняет все операции с плоскостью данных в хранилище ключей и всех его объектах, включая сертификаты, ключи и секреты. Не может управлять ресурсами хранилища ключей или назначениями ролей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Специалист по сертификатам хранилища ключей
Выполняет любые действия с сертификатами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник Key Vault
Предоставляет разрешения на управление хранилищами ключей, но не позволяет назначать роли в Azure RBAC или получать доступ к секретам, ключам или сертификатам. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | Очищает обратимо удаленное хранилище Key Vault. |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Специалист по шифрованию хранилища ключей
Выполняет любые действия с ключами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь шифрования для службы шифрования хранилища ключей
Считывает метаданные ключей и выполняет операции упаковки и распаковки. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее
| Действия | Описание |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | Создание или обновление eventSubscription |
| Microsoft.EventGrid/eventSubscriptions/read | Чтение eventSubscription |
| Microsoft.EventGrid/eventSubscriptions/delete | Удаление eventSubscription. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/keys/read | Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что, если используется асимметричный ключ Key Vault, эту операцию могут выполнять субъекты с доступом на чтение. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Распаковывает симметричный ключ с помощью ключа Key Vault. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь шифрования хранилища ключей
Выполняет криптографические операции с помощью ключей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/keys/read | Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются. |
| Microsoft.KeyVault/vaults/keys/update/action | Обновление указанных атрибутов, связанных с определенным ключом. |
| Microsoft.KeyVault/vaults/keys/backup/action | Создает файл резервной копии ключа. Этот файл может использоваться для восстановления ключа в Key Vault для той же подписки. Могут применяться определенные ограничения. |
| Microsoft.KeyVault/vaults/keys/encrypt/action | Шифрует открытый текст с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | Расшифровывает зашифрованные данные с помощью ключа. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что, если используется асимметричный ключ Key Vault, эту операцию могут выполнять субъекты с доступом на чтение. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Распаковывает симметричный ключ с помощью ключа Key Vault. |
| Microsoft.KeyVault/vaults/keys/sign/action | Подписывает хэш с помощью ключа. |
| Microsoft.KeyVault/vaults/keys/verify/action | Проверяет сигнатуру хэша с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель хранилища ключей
Считывает метаданные хранилищ ключей и их сертификатов, ключей и секретов. Не может считывать конфиденциальные значения, такие как содержимое секрета или материал ключа. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Выводит в списке или отображает свойства секрета, но не его значение. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Специалист по секретам хранилища ключей
Выполняет любые действия с секретами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/secrets/* | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь секретов хранилища ключей
Считывает содержимое секретов. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее
| Действия | Описание |
|---|---|
| Нет | |
| NotActions | |
| Нет | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Получает значение секрета. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Выводит в списке или отображает свойства секрета, но не его значение. |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого устройства HSM
Позволяет управлять управляемыми модулями HSM, но не доступом к ним. Подробнее
| Действия | Описание |
|---|---|
| Microsoft.KeyVault/managedHSMs/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | Просмотр свойств удаленного управляемого устройства HSM |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | Просмотр свойств удаленного управляемого устройства HSM |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Очистка обратимо удаленного управляемого устройства HSM |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | Проверяет результат длительной операции. |
| NotActions | |
| Нет | |
| Действия с данными | |
| Нет | |
| NotDataActions | |
| Нет |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник службы автоматизации Microsoft Sentinel
Участник службы автоматизации Microsoft Sentinel Подробнее
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Logic/workflows/triggers/read | Считывает триггер. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Возвращает URL-адре |