Поделиться через

Требование разрешения для соединителя служб

  • Статья

Соединитель служб создает подключения между службами Azure с помощью маркера от имени. Для создания подключения к конкретному ресурсу Azure требуются соответствующие разрешения.

Служба приложений

Действие Description
Microsoft.Web/sites/config/write Обновляет параметры конфигурации веб-приложения.
Microsoft.web/sites/config/delete Удаляет конфигурацию веб-приложений.
Microsoft.Web/sites/config/list/action Отображает влияющие на безопасность параметры веб-приложения, такие как учетные данные для публикации, параметры приложения и строки подключения.
Microsoft.Web/sites/config/Read Возвращает параметры конфигурации веб-приложения.
Microsoft.Web/sites/write Создает новое веб-приложение или обновляет существующее.
Microsoft.Web/sites/read Возвращает свойства веб-приложения.

Слот Webapp

Действие Description
Microsoft.Web/sites/slots/Write Создает новый слот веб-приложения или обновляет существующий.
Microsoft.Web/sites/slots/Read Возвращает свойства слота развертывания веб-приложения.
Microsoft.Web/sites/slots/config/Read Возвращает параметры конфигурации слота веб-приложения.
Microsoft.Web/sites/slots/config/Write Обновляет параметры конфигурации слота веб-приложения.
microsoft.web/sites/slots/config/delete Удаляет конфигурацию слотов веб-приложений.
Microsoft.Web/sites/slots/config/list/Action Отображает влияющие на безопасность параметры слота веб-приложения, такие как учетные данные для публикации, параметры приложения и строки подключения.

Приложение Azure Spring

Действие Description
Microsoft.AppPlatform/Spring/read Получение экземпляров службы Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read Получение приложений для определенного экземпляра службы Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/write Создание или обновление приложения для определенного экземпляра службы Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/deployments/*/read Получение развертываний для указанного приложения
Microsoft.AppPlatform/Spring/apps/deployments/*/write Создание или обновление развертывания для указанного приложения
Microsoft.AppPlatform/Spring/apps/deployments/*/delete Удаление развертывания для указанного приложения

Приложения-контейнеры Azure

Действие Description
Microsoft.App/containerApps/read Получение приложения-контейнера
Microsoft.App/containerApps/write Создание или обновление приложения-контейнера
Microsoft.App/containerApps/listsecrets/action Перечисление секретов приложения-контейнера
Microsoft.App/managedEnvironments/read Получение управляемой среды
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Получение состояния длительной операции управляемой среды
microsoft.app/locations/containerappoperationstatuses/read Получение состояния длительной операции приложения-контейнера
microsoft.app/locations/containerappoperationresults/read Получение результата длительной операции приложения-контейнера
microsoft.app/locations/managedenvironmentoperationresults/read Получение результата длительной операции управляемой среды

Dapr в приложениях контейнеров Azure

Действие Description
Microsoft.App/managedEnvironments/daprComponents/read Чтение компонента Dapr управляемой среды
Microsoft.App/managedEnvironments/daprComponents/write Создание или обновление компонента Dapr управляемой среды
Microsoft.App/managedEnvironments/daprComponents/delete Удаление компонента Dapr управляемой среды

Кэш Azure для Redis

Действие Description
Microsoft.Cache/redis/read Отображает параметры и конфигурацию кэша Redis на портале управления.
Microsoft.Cache/redis/firewallRules/read Возвращает правила брандмауэра для IP-адресов для кэша Redis.
Microsoft.Cache/redis/firewallRules/write Изменяет правила брандмауэра для IP-адресов для кэша Redis.
Microsoft.Cache/redis/firewallRules/delete Удаляет правила брандмауэра для IP-адресов для кэша Redis.
Microsoft.Cache/redis/listKeys/action Отображает значения ключей доступа к кэшу Redis на портале управления.

Кэш Azure для Redis Enterprise

Действие Description
Microsoft.Cache/redisEnterprise/read Просмотр параметров и конфигурации кэша Redis Enterprise на портале управления
Microsoft.Cache/redisEnterprise/databases/read Просмотр параметров и конфигурации базы данных кэша Redis Enterprise на портале управления
Microsoft.Cache/redisEnterprise/databases/listKeys/action Просмотр значений ключей доступа к базе данных Redis Enterprise на портале управления

База данных Azure для PostgreSQL

База данных Azure для PostgreSQL

Действие Description
Microsoft.DBforPostgreSQL/servers/firewallRules/read Возвращение списка правил брандмауэра для сервера или получение свойств для указанного правила брандмауэра.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Создание правила брандмауэра с указанными параметрами или обновление существующего правила.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Удаление существующего правила брандмауэра.
Microsoft.DBForPostgreSQL/servers/read Возвращение списка серверов или получение свойств для указанного сервера.
Microsoft.DBForPostgreSQL/servers/databases/read Возвращает список баз данных PostgreSQL или свойства указанной базы данных.
Microsoft.DBforPostgreSQL/servers/write Создание сервера с указанными параметрами либо обновление свойств или тегов указанного сервера.

База данных Azure для PostgreSQL (конечная точка службы)

Действие Description
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Возвращение списка правил виртуальной сети или свойств указанного правила виртуальной сети.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Создание правила виртуальной сети с указанными параметрами либо обновление свойств или тегов указанного правила виртуальной сети.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Удаление существующего правила виртуальной сети.

Гибкий сервер Базы данных Azure для PostgreSQL

Действие Description
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Возвращение списка правил брандмауэра для сервера или получение свойств для указанного правила брандмауэра.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Создание правила брандмауэра с указанными параметрами или обновление существующего правила.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Удаление существующего правила брандмауэра.
Microsoft.DBForPostgreSQL/flexibleServers/read Возвращение списка серверов или получение свойств для указанного сервера.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Возвращает список баз данных сервера PostgreSQL или возвращает базу данных для указанного сервера.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Возвращает список конфигураций сервера PostgreSQL или получает конфигурации для указанного сервера.

База данных Azure для MySQL

Действие Description
Microsoft.DBforMySQL/servers/firewallRules/read Возвращение списка правил брандмауэра для сервера или получение свойств для указанного правила брандмауэра.
Microsoft.DBforMySQL/servers/firewallRules/write Создание правила брандмауэра с указанными параметрами или обновление существующего правила.
Microsoft.DBforMySQL/servers/firewallRules/delete Удаление существующего правила брандмауэра.
Microsoft.DBforMySQL/servers/read Возвращение списка серверов или получение свойств для указанного сервера.
Microsoft.DBforMySQL/servers/databases/read Возвращает список баз данных MySQL или свойства указанной базы данных.
Microsoft.DBforMySQL/servers/write Создание сервера с указанными параметрами либо обновление свойств или тегов указанного сервера.

База данных Azure для MySQL (конечная точка службы)

Действие Description
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Возвращение списка правил виртуальной сети или свойств указанного правила виртуальной сети.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Создание правила виртуальной сети с указанными параметрами либо обновление свойств или тегов указанного правила виртуальной сети.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Удаление существующего правила виртуальной сети.

База данных Azure для MySQL — гибкий сервер

Действие Description
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Возвращает список правил брандмауэра для сервера или получает свойства для указанного правила брандмауэра.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Создает правило брандмауэра с указанными параметрами или обновляет существующее правило.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Удаление существующего правила брандмауэра.
Microsoft.DBforMySQL/flexibleServers/read Возвращает список серверов или получает свойства для указанного сервера.
Microsoft.DBforMySQL/flexibleServers/databases/read Возвращает список баз данных для сервера или получает свойства для указанной базы данных.
Microsoft.DBforMySQL/flexibleServers/configurations/read Возвращает список конфигураций сервера MySQL или получает конфигурации для указанного сервера.

Настройка приложения Azure

Действие Description
Microsoft.AppConfiguration/configurationStores/ListKeys/action Выводит список ключей API для указанного хранилища конфигураций.
Microsoft.AppConfiguration/configurationStores/read Получение свойств указанного хранилища конфигураций или вывод списка всех хранилищ конфигураций в указанной группе ресурсов или подписке.

Центры событий Azure

Действие Description
Microsoft.EventHub/namespaces/read Возвращает список описаний ресурсов пространства имен.
Microsoft.EventHub/namespaces/ipFilterRules/read Получение ресурса фильтра IP-адресов
Microsoft.EventHub/namespaces/ipFilterRules/write Создание ресурса фильтра IP-адресов
Microsoft.EventHub/namespaces/ipFilterRules/delete Удаление ресурса фильтра IP-адресов
Microsoft.EventHub/namespaces/networkrulesets/read Получает ресурс NetworkRuleSet
Microsoft.EventHub/namespaces/networkrulesets/write Создание ресурса правила виртуальной сети
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action Возвращает строку подключения к пространству имен.

Служебная шина Azure

Действие Description
Microsoft.ServiceBus/namespaces/read Возвращает список описаний ресурсов пространства имен.
Microsoft.ServiceBus/namespaces/ipFilterRules/read Получение ресурса фильтра IP-адресов
Microsoft.ServiceBus/namespaces/ipFilterRules/write Создание ресурса фильтра IP-адресов
Microsoft.ServiceBus/namespaces/ipFilterRules/delete Удаление ресурса фильтра IP-адресов
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action Возвращает строку подключения к пространству имен.
Microsoft.ServiceBus/namespaces/networkrulesets/read Получает ресурс NetworkRuleSet
Microsoft.ServiceBus/namespaces/networkrulesets/write Создание ресурса правила виртуальной сети

Хранилище BLOB-объектов Azure

Действие Description
Microsoft.Storage/storageAccounts/read Возвращает список учетных записей хранения или свойства указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/write Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен.
Microsoft.Storage/storageAccounts/listkeys/action Возвращает ключи доступа для указанной учетной записи хранения.

Служба Azure SignalR

Действие Description
Microsoft.SignalRService/SignalR/read Просмотр параметров и конфигураций SignalR на портале управления или с помощью API.
Microsoft.SignalRService/SignalR/write Изменяет параметры и конфигурации SignalR на портале управления или с помощью API.
Microsoft.SignalRService/locations/operationresults/signalr/read Запрос результата асинхронной операции на основе расположения
Microsoft.SignalRService/locations/operationStatuses/signalr/read Запрос состояния асинхронной операции на основе расположения
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action Просмотр значений ключей доступа SignalR на портале управления или с помощью API.

Служба Azure Web PubSub

Действие Description
Microsoft.SignalRService/WebPubSub/read Просмотр параметров и конфигураций WebPubSub на портале управления или с помощью API
Microsoft.SignalRService/WebPubSub/write Изменение параметров и конфигураций WebPubSub на портале управления или с помощью API
Microsoft.SignalRService/locations/operationresults/webpubsub/read Запрос результата асинхронной операции на основе расположения
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Запрос состояния асинхронной операции на основе расположения
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read Просмотр значений ключей доступа WebPubSub на портале управления или с помощью API
Microsoft.SignalRService/WebPubSub/listkeys/action Просмотр значений ключей доступа WebPubSub на портале управления или с помощью API

Azure Cosmos DB

Предупреждение

Корпорация Майкрософт рекомендует использовать самый безопасный поток проверки подлинности. Поток проверки подлинности, описанный в этой процедуре, требует очень высокого уровня доверия к приложению и несет риски, которые отсутствуют в других потоках. Этот поток следует использовать только в том случае, если другие более безопасные потоки, такие как управляемые удостоверения, не являются жизнеспособными.

Действие Description
Microsoft.DocumentDB/databaseAccounts/read Считывает учетную запись базы данных.
Microsoft.DocumentDB/databaseAccounts/write Обновляет учетные записи базы данных.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action Возвращает строки подключения для учетной записи базы данных.
Microsoft.DocumentDB/databaseAccounts/listKeys/action Выводит список ключей учетной записи базы данных.

База данных SQL Azure

Действие Description
Microsoft.Sql/servers/firewallRules/read Возвращение списка правил брандмауэра сервера или получение свойства для указанного правила.
Microsoft.Sql/servers/firewallRules/write Создание правила брандмауэра сервера с указанными параметрами, обновление свойств указанного правила или перезапись всех существующих правил новыми правилами брандмауэра сервера.
Microsoft.Sql/servers/firewallRules/delete Удаление существующего правила брандмауэра сервера.
Microsoft.Sql/servers/databases/read Возвращение списка баз данных или возвращение свойств указанной базы данных.
Microsoft.Sql/servers/read Возвращение списка серверов или получение свойств для указанного сервера.
Microsoft.Sql/servers/virtualNetworkRules/read Возвращение списка правил виртуальной сети или свойств указанного правила виртуальной сети.
Microsoft.Sql/servers/virtualNetworkRules/write Создание правила виртуальной сети с указанными параметрами либо обновление свойств или тегов указанного правила виртуальной сети.
Microsoft.Sql/servers/virtualNetworkRules/delete Удаление существующего правила виртуальной сети.

Azure Key Vault

Действие Description
Microsoft.KeyVault/vaults/write Создает новое хранилище ключей или обновляет свойства существующего. Для некоторых свойств могут потребоваться дополнительные разрешения.
Microsoft.KeyVault/vaults/read Отображает свойства Key Vault.
Microsoft.KeyVault/vaults/secrets/write Создает секрет или изменяет значение существующего секрета.
Microsoft.KeyVault/vaults/accessPolicies/write Изменяет существующую политику доступа путем слияния или замены или же добавляет новую политику доступа в хранилище ключей.

Azure Cosmos DB

Действие Description
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Чтение определения роли SQL.
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Создание или обновление определения роли SQL.
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Удаление назначения роли SQL.

Соединитель служб может потребоваться предоставить разрешения управляемому удостоверению или субъекту-службе, если соединение создается с этими типами проверки подлинности. В следующей таблице перечислены требования к разрешениям для создания подключения в этом сценарии.

Действие Description
Microsoft.Authorization/roleAssignments/read Возвращает сведения о назначении роли.
Microsoft.Authorization/roleAssignments/write Создает назначение роли в указанной области.
Microsoft.Authorization/roleAssignments/delete Здесь описывается удаление назначения роли в указанной области.

Подключение управляемых удостоверений, назначаемых пользователем

Соединитель служб может потребоваться предоставить разрешения на управляемое удостоверение, назначаемое пользователем, если соединение создается с ним в качестве типа проверки подлинности. В следующей таблице перечислены требования к разрешениям для создания подключения в этом сценарии.

Действие Description
Microsoft.ManagedIdentity/userAssignedIdentities/read Получение существующего пользовательского удостоверения.
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Действие RBAC для назначения существующего пользовательского удостоверения для ресурса.
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Получение или перечисление учетных данных федеративного удостоверения
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Добавление или обновление федеративных учетных данных удостоверения
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Удаление учетных данных федеративного удостоверения

Соединитель служб может потребоваться предоставить удостоверениям разрешения, если подключение создается с частной конечной точкой или конечной точкой службы в качестве сетевого решения. В следующей таблице перечислены требования к разрешениям для создания подключения в этом сценарии.

Действие Description
Microsoft.Network/publicIPAddresses/read Возвращает определение общедоступного IP-адреса.
Microsoft.Network/virtualNetworks/subnets/read Возвращает определение подсети виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/write Создает новую подсеть пиринг виртуальной сети или обновляет существующую.
Microsoft.Network/privateEndpoints/read Возвращает ресурс частной конечной точки.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений.
Microsoft.Network/networkSecurityGroups/join/action Присоединяет группу безопасности сети. Не предусматривает отправку оповещений.
Microsoft.Network/serviceEndpointPolicies/join/action Присоединение политики конечной точки службы. Не предусматривает отправку оповещений.
Microsoft.Network/natGateways/join/action Присоединяет шлюз NAT
Microsoft.Network/networkIntentPolicies/join/action Присоединяет политику намерений сети Не предусматривает отправку оповещений.
Microsoft.Network/networkSecurityGroups/join/action Присоединяет группу безопасности сети. Не предусматривает отправку оповещений.
Microsoft.Network/routeTables/join/action Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений.

Высокая доступность