Azure 基于角色的访问控制 (Azure RBAC) 拥有多个 Azure 内置角色,可将其分配给用户、组、服务主体和托管标识。 角色分配是控制对 Azure 资源的访问的方式。 如果内置角色不能满足组织的特定需求,你可以创建自己的 Azure 自定义角色。 有关如何分配角色的信息,请参阅分配 Azure 角色的步骤。
本文列出了 Azure 内置角色。 如果要查找 Microsoft Entra ID 的管理员角色,请参阅 Microsoft Entra 内置角色。
下表提供了每个内置角色的简短说明。 单击角色名称,查看每个角色的 Actions、NotActions、DataActions 和 NotDataActions 列表。 有关这些操作的含义以及它们如何应用于控制和数据平面的信息,请参阅了解 Azure 角色定义。
有特权
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| 参与者 | 授予完全访问权限来管理所有资源,但不允许在 Azure RBAC 中分配角色或在 Azure 蓝图中管理分配,也不允许共享映像库。 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 所有者 | 授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
| 预留管理员 | 允许用户读取和管理租户中的所有预留 | a8889054-8d42-49c9-bc1c-52486c10e7cd |
| 基于角色的访问控制管理员 | 通过使用 Azure RBAC 分配角色来管理对 Azure 资源的访问。 此角色不允许使用其他方式(如 Azure Policy)管理访问权限。 | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
| 用户访问管理员 | 允许管理用户对 Azure 资源的访问权限。 | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
常规
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| 读者 | 查看所有资源,但不允许进行任何更改。 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
计算
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| Azure Arc VMware VM 参与者 | Arc VMware VM Contributor 有權執行所有 VM 作業。 | b748a06d-6150-4f8a-aaa9-ce3940cd96cb |
| 经典虚拟机参与者 | 允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| 计算机群参与者 | 允许用户管理计算机群资源。 | 2bed379c-9fba-455b-99e4-6b911073bcf2 |
| Compute Gallery 工件发布者 | 这是可发布库工件的角色。 | 85a2d0d9-2eba-4c9c-b355-11c2cc0788ab |
| 计算库图像读取器 | 这是读取库映像的角色。 | cf7c76d2-98a3-4358-a134-615aa78bf44d |
| Compute Gallery 共享管理员 | 此角色允许用户将库共享给另一个订阅/租户,或共享给公众。 | 1ef6a3be-d0ac-425d-8c01-acb62866290b |
| 托管磁盘的数据操作员 | 提供使用 SAS URI 和 Azure AD 身份验证将数据上传到空托管磁盘、读取或导出托管磁盘(未附加到正在运行的 VM)的数据和快照的权限。 | 959f8984-c045-4866-89c7-12bf9737be2e |
| 桌面虚拟化应用程序组参与者 | 桌面虚拟化应用程序组参与者。 | 86240b0e-9422-4c43-887b-b61143f32ba8 |
| 桌面虚拟化应用程序组读取者 | 桌面虚拟化应用程序组读取者。 | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
| 桌面虚拟化参与者 | 桌面虚拟化参与者。 | 082f0a83-3be5-4ba1-904c-961cca79b387 |
| 桌面虚拟化主机池参与者 | 桌面虚拟化主机池参与者。 | e307426c-f9b6-4e81-87de-d99efb3c32bc |
| 桌面虚拟化主机池读取者 | 桌面虚拟化主机池读取者。 | ceadfde2-b300-400a-ab7b-6143895aa822 |
| 桌面虚拟化启用参与者 | 向 Azure 虛擬桌面資源提供者提供啟動虛擬機器的權限。 | 489581de-a3bd-480d-9518-53dea7416b33 |
| 桌面虚拟化开/关参与者 | 向 Azure 虛擬桌面資源提供者提供啟動和停止虛擬機器的權限。 | 40c5ff49-9181-41f8-ae61-143b0e78555e |
| 桌面虚拟化读取者 | 桌面虚拟化读取者。 | 49a72310-ab8d-41df-bbb0-79b649203868 |
| 桌面虚拟化会话主机操作员 | 桌面虚拟化会话主机操作员。 | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
| 桌面虚拟化用户 | 允许用户使用应用程序组中的应用程序。 | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
| 桌面虚拟化用户会话操作员 | 桌面虚拟化用户会话操作员。 | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
| 桌面虚拟化虚拟机参与者 | 此角色处于预览版阶段,可能会有所更改。 向 Azure 虛擬桌面資源提供者提供建立、刪除、更新、啟動和停止虛擬機器的權限。 | a959dbd1-f747-45e3-8ba6-dd80f235f97c |
| 桌面虚拟化工作区参与者 | 桌面虚拟化工作区参与者。 | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
| 桌面虚拟化工作区读取者 | 桌面虚拟化工作区读取者。 | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
| 磁盘备份读取者 | 向备份保管库提供执行磁盘备份的权限。 | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| 磁盘池操作员 | 向 StoragePool 资源提供程序提供管理添加到磁盘池的磁盘的权限。 | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
| 磁盘还原操作员 | 向备份保管库提供执行磁盘还原的权限。 | b50d9833-a0cb-478e-945f-707fcc997c13 |
| 磁盘快照参与者 | 向备份保管库提供管理磁盘快照的权限。 | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
| 量子工作区数据参与者 | 创建、读取和修改作业和其他工作区数据。 此角色处于预览版阶段,可能会有所更改。 | c1410b24-3e69-4857-8f86-4d0a2e603250 |
| 虚拟机管理员登录 | 在门户中查看虚拟机并以管理员身份登录 | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
| 虚拟机参与者 | 创建并管理虚拟机、管理磁盘、安装并运行软件、使用 VM 扩展重置虚拟机根用户的密码,以及使用 VM 扩展管理本地用户帐户。 此角色不会授予你对虚拟机连接到的虚拟网络或存储帐户的管理访问权限。 此角色不允许在 Azure RBAC 中分配角色。 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 虚拟机数据访问管理员(预览版) | 通过添加或删除“虚拟机管理员登录名”角色和“虚拟机用户登录名”角色的角色分配来管理对虚拟机的访问。 包括用于约束角色分配的 ABAC 条件。 | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
| 虚拟机本地用户登录 | 在门户中查看虚拟机,并以在 Arc 服务器上配置的本地用户身份登录。 | 602da2ba-a5c2-41da-b01d-5360126ab525 |
| 虚拟机用户登录 | 在门户中查看虚拟机并以普通用户身份登录。 | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| VM 还原操作员 | 在 VM 还原期间创建和删除资源。 此角色处于预览版阶段,可能会有所更改。 | dfce8971-25e3-42e3-ba33-6055438e3080 |
| Windows 365 网络接口贡献者 | Windows 365 使用此角色來預配所需的網路資源並將 Microsoft 託管的 VM 新增至網路介面。 | 1f135831-5bbe-4924-9016-264044c00788 |
| Windows 365 网路用户 | Windows 365 使用此角色讀取虛擬網路並加入指定的虛擬網路。 | 7eabc9a4-85f7-4f71-b8ab-75daaccc1033 |
| Windows Admin Center 管理员登录 | 允许以管理员身份通过 Windows Admin Center 管理资源的 OS。 | a6333a3e-0164-44c3-b281-7a577aff287f |
网络
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| Azure Front Door 域参与者 | 供 Azure 内部使用。 可以管理 Azure Front Door 域,但不能向其他用户授予访问权限。 | 0ab34830-df19-4f8c-b84e-aa85b8afa6e8 |
| Azure Front Door 域读取者 | 供 Azure 内部使用。 可以查看 Azure Front Door 域,但不能进行更改。 | 0f99d363-226e-4dca-9920-b807cf8e1a5f |
| Azure Front Door 配置文件读取者 | 可以查看 AFD 标准和高级配置文件及其终结点,但不能进行更改。 | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
| Azure Front Door 机密参与者 | 供 Azure 内部使用。 可以管理 Azure Front Door 机密,但不能向其他用户授予访问权限。 | 3f2eb865-5811-4578-b90a-6fc6fa0df8e5 |
| Azure Front Door 机密读取者 | 供 Azure 内部使用。 可以查看 Azure Front Door 机密,但不能进行更改。 | 0db238c4-885e-4c4f-a933-aa2cef684fca |
| CDN 终结点参与者 | 可以管理 CDN 终结点,但不能向其他用户授予访问权限。 | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| CDN 终结点读者 | 可以查看 CDN 终结点,但不能进行更改。 | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| CDN 配置文件参与者 | 可以管理 CDN 和 Azure Front Door 标准和高级配置文件及其终结点,但不能向其他用户授予访问权限。 | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
| CDN 配置文件读者 | 可以查看 CDN 配置文件及其终结点,但不能进行更改。 | 8f96442b-4075-438f-813d-ad51ab4019af |
| 经典网络参与者 | 允许管理经典网络,但不允许访问这些网络。 | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| DNS 区域参与者 | 允许管理 Azure DNS 中的 DNS 区域和记录集,但不允许控制对其访问的人员。 | befefa01-2a29-4197-83a8-272ff33ce314 |
| 网络参与者 | 允许管理网络,但不允许访问这些网络。 此角色不授予部署或管理虚拟机的权限。 | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| 专用 DNS 区域参与者 | 允许管理专用 DNS 区域资源,但不允许管理它们所链接到的虚拟网络。 | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
| 流量管理器参与者 | 允许管理流量管理器配置文件,但不允许控制谁可以访问它们。 | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
存储
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| Avere 参与者 | 可以创建和管理 Avere vFXT 群集。 | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
| Avere 操作员 | Avere vFXT 群集用来管理群集 | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
| 备份参与者 | 允许管理备份服务,但不允许创建保管库以及授予其他人访问权限 | 5e467623-bb1f-42f4-a55d-6e525e11384b |
| 备份多用户授权管理员 | 备份多用户授权。 可以建立/刪除ResourceGuard | c2a970b4-16a7-4a51-8c84-8a8ea6ee0bb8 |
| 备份 MUA 操作员 | 备份多用户授权。 允許使用者執行受資源保護保護的關鍵操作 | f54b6d04-23c6-443e-b462-9c16ab7b4a52 |
| 备份操作员 | 允许管理备份服务,但删除备份、创建保管库以及授予其他人访问权限除外 | 00c29273-979b-4161-815c-10b084fb9324 |
| 备份读者 | 可以查看备份服务,但是不能进行更改 | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
| 经典存储帐户参与者 | 允许管理经典存储帐户,但不允许对其进行访问。 | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| 经典存储帐户密钥操作员服务角色 | 允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥 | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| Data Box 参与者 | 可让你管理 Data Box 服务下的所有内容,但不能向其他人授予访问权限。 | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| Data Box 读者 | 可让你管理 Data Box 服务,但不能创建订单或编辑订单详细信息,以及向其他人授予访问权限。 | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| Data Lake Analytics 开发人员 | 允许提交、监视和管理自己的作业,但是不允许创建或删除 Data Lake Analytics 帐户。 | 47b7735b-770e-4598-a7da-8b91488b4c88 |
| Defender for Storage 数据扫描程序 | 授予读取 blob 和更新索引标记所需的访问权限。 此角色由 Defender for Storage 的数据扫描程序使用。 | 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40 |
| 弹性 SAN 网路管理员 | 允許存取以在 SAN 資源上建立專用端點以及讀取 SAN 資源 | fa6cecf6-5db3-4c43-8470-c540bcb4eafa |
| 弹性 SAN 所有者 | 享有对 Azure 弹性 SAN 下所有资源的完全访问权限,包括更改网络安全策略以取消阻止数据路径访问 | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
| 弹性 SAN 读取者 | 允许控制对 Azure 弹性 SAN 的路径读取访问权限 | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
| 弹性 SAN 卷组所有者 | 享有对 Azure 弹性 SAN 中的卷组的完全访问权限,包括更改网络安全策略以取消阻止数据路径访问 | a8281131-f312-4f34-8d98-ae12be9f0d23 |
| 读取器和数据访问 | 允许查看所有内容,但不允许删除或创建存储帐户或包含的资源。 它还允许使用存储帐户密钥对存储帐户中包含的所有数据进行读/写访问。 | c12c1c16-33a1-487b-954d-41c89c60f349 |
| 存储帐户备份参与者 | 可在存储帐户上使用 Azure 备份执行备份和还原操作。 | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
| 存储帐户参与者 | 允许管理存储帐户。 提供对帐户密钥的访问权限,而帐户密钥可以用来通过共享密钥授权对数据进行访问。 | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
| 存储帐户密钥操作员服务角色 | 允许列出和重新生成存储帐户访问密钥。 | 81a9662b-bebf-436f-a333-f67b29880f12 |
| 存储 Blob 数据参与者 | 读取、写入和删除 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| 存储 Blob 数据所有者 | 提供对 Azure 存储 Blob 容器和数据的完全访问权限,包括分配 POSIX 访问控制。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
| 存储 Blob 数据读者 | 读取和列出 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
| 存储 Blob 委托者 | 获取用户委托密钥,该密钥随后可用于为使用 Azure AD 凭据签名的容器或 Blob 创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
| 存储文件数据特权参与者 | 通过重写现有的 ACL/NTFS 权限,允许读取、写入、删除和修改 Azure 文件共享中文件/目录上的 ACL。 在 Windows 文件服务器上,此角色没有内置的等效角色。 | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
| 存储文件数据特权读取者 | 通过重写现有的 ACL/NTFS 权限,允许对 Azure 文件共享中的文件/目录进行读取访问。 在 Windows 文件服务器上,此角色没有内置的等效角色。 | b8eda974-7b85-4f76-af95-65846b26df6d |
| 存储文件数据 SMB 共享参与者 | 允许针对 Azure 文件共享中的文件/目录的读取、写入和删除权限。 在 Windows 文件服务器上,此角色没有内置的等效角色。 | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
| 存储文件数据 SMB 共享提升参与者 | 允许读取、写入、删除和修改 Azure 文件共享中文件/目录上的 ACL。 此角色等效于 Windows 文件服务器上更改的文件共享 ACL。 | a7264617-510b-434b-a828-9731dc254ea7 |
| 存储文件数据 SMB 共享读取者 | 允许针对 Azure 文件共享中的文件/目录的读取权限。 此角色等效于 Windows 文件服务器上的文件共享读取 ACL。 | aba4ae5f-2193-4029-9191-0cb91df5e314 |
| 存储队列数据参与者 | 读取、写入和删除 Azure 存储队列和队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| 存储队列数据消息处理器 | 速览、检索和删除 Azure 存储队列中的消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
| 存储队列数据消息发送方 | 将消息添加到 Azure 存储队列。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
| 存储队列数据读取者 | 读取并列出 Azure 存储队列和队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 19e7f393-937e-4f77-808e-94535e297925 |
| 存储表数据参与者 | 用于对 Azure 存储表和实体进行读取、写入和删除访问 | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
| 存储表数据读取者 | 用于对 Azure 存储表和实体进行读取访问 | 76199698-9eea-4c19-bc75-cec21354c6b6 |
Web 和移动
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| Azure Maps 数据参与者 | 从 Azure Maps 帐户中授予地图相关数据的读取、写入和删除权限。 | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
| Azure Maps 数据读取器 | 授予从 Azure Maps 帐户中读取地图相关数据的权限。 | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
| Azure Maps 搜索和呈现数据读取者 | 授予对常见可视化 Web SDK 场景的非常有限的数据 API 集的访问权限。 具体来说,是渲染和搜寻资料 API。 | 6be48352-4f82-47c9-ad5e-0acacefdb005 |
| Azure Spring Apps 应用程序配置服务配置文件模式读取器角色 | 读取 Azure Spring Apps 中应用程式设定服务的设定档模式的内容 | 25211fc6-dc78-40b6-b205-e4ac934fd9fd |
| Azure Spring Apps 应用程序配置服务日志读取者角色 | 读取 Azure Spring Apps 中应用程式设定服务的即时日志 | 6593e776-2a30-40f9-8a32-4fe28b77655d |
| Azure Spring Apps 链接角色 | Azure Spring Apps 链接角色 | 80558df3-64f9-4c0f-b32d-e5094b036b0b |
| Azure Spring Apps 作业日志读取者角色 | 读取 Azure Spring Apps 中作业的即时日志 | b459aa1d-e3c8-436f-ae21-c0531140f43e |
| Azure Spring Apps 远端侦错角色 | Azure Spring Apps 远端侦错角色 | a99b0159-1064-4c22-a57b-c9b3caa1c054 |
| Azure Spring Apps Spring Cloud Gateway 日志读取者角色 | 读取 Azure Spring Apps 中 Spring Cloud Gateway 的即时日志 | 4301dc2a-25a9-44b0-ae63-3636cf7f2bd2 |
| Azure Spring Cloud Config Server 参与者 | 允许对 Azure Spring Cloud Config Server 进行读取、写入和删除访问 | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
| Azure Spring Cloud Config Server 读者 | 允许对 Azure Spring Cloud Config Server 进行读取访问 | d04c6db6-4947-4782-9e91-30a88feb7be7 |
| Azure Spring Cloud 数据读取者 | 允许对 Azure Spring Cloud 进行读取访问 | b5537268-8956-4941-a8f0-646150406f0c |
| Azure Spring Cloud 服务注册表参与者 | 允许对 Azure Spring Cloud 服务注册表进行读取、写入和删除访问 | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
| Azure Spring Cloud 服务注册表读者 | 允许对 Azure Spring Cloud 服务注册表进行读取访问 | cff1b556-2399-4e7e-856d-a8f754be7b65 |
| 媒体服务帐户管理员 | 创建、读取、修改和删除媒体服务帐户;对其他媒体服务资源的只读访问权限。 | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
| 媒体服务实时事件管理员 | 创建、读取、修改和删除实时事件、资产、资产筛选器和流式处理定位符;对其他媒体服务资源的只读访问权限。 | 532bc159-b25e-42c0-969e-a1d439f60d77 |
| 媒体服务媒体操作员 | 创建、读取、修改和删除资产、资产筛选器、流式处理定位符和作业;对其他媒体服务资源的只读访问权限。 | e4395492-1534-4db2-bedf-88c14621589c |
| 媒体服务策略管理员 | 创建、读取、修改和删除帐户筛选器、流式处理策略、内容密钥策略和转换;对其他媒体服务资源的只读访问权限。 不能创建作业、资产或流式处理资源。 | c4bba371-dacd-4a26-b320-7250bca963ae |
| 媒体服务流式处理终结点管理员 | 创建、读取、修改和删除流式处理终结点;对其他媒体服务资源的只读访问权限。 | 99dba123-b5fe-44d5-874c-ced7199a5804 |
| SignalR AccessKey 读取者 | 读取 SignalR 服务访问密钥 | 04165923-9d83-45d5-8227-78b77b0a687e |
| SignalR 应用服务器 | 允许应用服务器使用 AAD 身份验证选项访问 SignalR 服务。 | 420fcaa2-552c-430f-98ca-3264be4806c7 |
| SignalR REST API 所有者 | 完全访问 Azure Signal 服务 REST API | fd53cd77-2268-407a-8f46-7e7863d0f521 |
| SignalR REST API 读者 | 以只读方式访问 Azure Signal 服务 REST API | ddde6b66-c0df-4114-a159-3618637b3035 |
| SignalR 服务所有者 | 完全访问 Azure Signal 服务 REST API | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
| SignalR/Web PubSub 参与者 | 创建、读取、更新和删除 SignalR 服务资源 | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
| Web 计划参与者 | 管理网站的 web 计划。 不允许在 Azure RBAC 中分配角色。 | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| Web PubSub 服务所有者 | 對 Azure Web PubSub 服務 REST API 的完全存取權限 | 12cf5a90-567b-43ae-8102-96cf46c7d9b4 |
| Web PubSub 服务阅读器 | 对 Azure Web PubSub 服务 REST API 的唯读访问 | bfb1c7d2-fb1a-466b-b2ba-aee63b92deaf |
| 网站参与者 | 管理网站,但不管理 web 计划。 不允许在 Azure RBAC 中分配角色。 | de139f84-1756-47ae-9be6-808fbbe84772 |
容器
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| AcrDelete | 从容器注册表中删除存储库、标记或清单。 | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
| AcrImageSigner | 将受信任的映像推送到为内容信任启用的容器注册表中或从中拉取受信任的映像。 | 6cef56e8-d556-48e5-a04f-b8e64114680f |
| AcrPull | 从容器注册表中拉取项目。 | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
| AcrPush | 将项目推送到容器注册表或从中拉取项目。 | 8311e382-0749-4cb8-b61a-304f252e45ec |
| AcrQuarantineReader | 从容器注册表中拉取已隔离的映像。 | cdda3590-29a3-44f6-95f2-9f980659eb04 |
| AcrQuarantineWriter | 将已隔离的映像推送到容器注册表或从中拉取已隔离的映像。 | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
| 已启用 Azure Arc 的 Kubernetes 群集用户角色 | 列出群集用户凭据操作。 | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
| Azure Arc Kubernetes 管理员 | 允许管理群集/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
| Azure Arc Kubernetes 群集管理员 | 允许管理群集中的所有资源。 | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
| Azure Arc Kubernetes 查看者 | 允许查看群集/命名空间中除密码之外的所有资源。 | 63f0a09d-1495-4db4-a681-037d84835eb4 |
| Azure Arc Kubernetes 写入者 | 允许更新群集/命名空间中的所有内容,但 (cluster)role 和 (cluster)role 绑定除外。 | 5b999177-9696-4545-85c7-50de3797e5a1 |
| Azure 容器存储参与者 | 安装 Azure 容器存储并管理其存储资源。 包括用于约束角色分配的 ABAC 条件。 | 95dd08a6-00bd-4661-84bf-f6726f83a4d0 |
| Azure 容器存储操作员 | 启用托管标识以执行 Azure 容器存储操作,例如管理虚拟机和管理虚拟网络。 | 08d4c71a-cc63-4ce4-a9c8-5dd251b4d619 |
| Azure 容器存储所有者 | 安装 Azure 容器存储,授予对其存储资源的访问权限,并配置 Azure 弹性存储区域网络 (SAN)。 包括用于约束角色分配的 ABAC 条件。 | 95de85bd-744d-4664-9dde-11430bc34793 |
| Azure Kubernetes 舰队管理器参与者角色 | 授予对 Azure Kubernetes 舰队管理器提供的 Azure 资源(包括舰队、舰队成员、舰队更新策略、舰队更新运行等)的读/写访问权限。 | 63bb64ad-9799-4770-b5c3-24ed299a07bf |
| Azure Kubernetes 舰队管理器 RBAC 管理员 | 授予对舰队托管的中心群集中命名空间内的 Kubernetes 资源的读/写访问权限 - 提供对命名空间中的大多数对象的写入权限,但 ResourceQuota 对象和命名空间对象本身除外。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
| Azure Kubernetes 舰队管理器 RBAC 群集管理员 | 授予对舰队托管的中心群集中所有 Kubernetes 资源的读/写访问权限。 | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
| Azure Kubernetes 舰队管理器 RBAC 读者 | 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的只读访问权限。 不允许查看角色或角色绑定。 此角色不允许查看机密,因为通过读取机密内容可以访问命名空间中的 ServiceAccount 凭据,这样就会允许以命名空间中任何 ServiceAccount 的身份进行 API 访问(一种特权提升形式)。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
| Azure Kubernetes 舰队管理器 RBAC 编写者 | 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的读/写访问权限。 此角色不允许查看或修改角色或角色绑定。 但是,允许此角色以命名空间中任何 ServiceAccount 的身份访问机密,因此可用它获取命名空间中任何 ServiceAccount 的 API 访问级别。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
| Azure Kubernetes 服务 Arc 群集管理员角色 | 列出群集管理员凭据操作。 | b29efa5f-7782-4dc3-9537-4d5bc70a5e9f |
| Azure Kubernetes 服务 Arc 群集用户角色 | 列出群集用户凭据操作。 | 233ca253-b031-42ff-9fba-87ef12d6b55f |
| Azure Kubernetes 服务 Arc 参与者角色 | 授予讀取和寫入 Azure Kubernetes 服務混合叢集的存取權限 | 5d3f1697-4507-4d08-bb4a-477695db5f82 |
| Azure Kubernetes 服务群集管理员角色 | 列出群集管理员凭据操作。 | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
| Azure Kubernetes 服务群集监视用户 | 列出群集监视用户凭据操作。 | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
| Azure Kubernetes 服务群集用户角色 | 列出群集用户凭据操作。 | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
| Azure Kubernetes 服务参与者角色 | 授予对 Azure Kubernetes 服务群集的读写访问权限 | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
| Azure Kubernetes 服务 RBAC 管理员 | 允许管理群集/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
| Azure Kubernetes 服务 RBAC 群集管理员 | 允许管理群集中的所有资源。 | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
| Azure Kubernetes 服务 RBAC 读取者 | 允许进行只读访问并查看命名空间中的大多数对象。 不允许查看角色或角色绑定。 此角色不允许查看机密,因为通过读取机密内容可以访问命名空间中的 ServiceAccount 凭据,这样就会允许以命名空间中任何 ServiceAccount 的身份进行 API 访问(一种特权提升形式)。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
| Azure Kubernetes 服务 RBAC 写入者 | 允许对命名空间中的大多数对象进行读/写访问。 此角色不允许查看或修改角色或角色绑定。 但是,允许此角色以命名空间中任何 ServiceAccount 的身份访问机密和运行 Pod,因此可用它获取命名空间中任何 ServiceAccount 的 API 访问级别。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
| Azure Red Hat OpenShift Cloud Controller Manager | 管理和更新部署在 OpenShift 之上的云控制器管理器。 | a1f96423-95ce-4224-ab27-4e3dc72facd4 |
| Azure Red Hat OpenShift 群集入口运算符 | 管理和配置 OpenShift 路由器。 | 0336e1d3-7a87-462b-b6db-342b63f7802c |
| Azure Red Hat OpenShift 磁盘存储作员 | 安装容器存储接口(CSI)驱动程序,使群集能够使用 Azure 磁盘。 设置 OpenShift 群集范围的存储默认值,以确保群集存在默认存储类。 | 5b7237c5-45e1-49d6-bc18-a1f62f400748 |
| Azure Red Hat OpenShift 联合凭据 | 在用户分配的托管标识上创建、更新和删除联合凭据,以便在托管标识、OpenID Connect(OIDC)和服务帐户之间建立信任关系。 | ef318e2a-8334-4a05-9e4a-295a196c6a6e |
| Azure Red Hat OpenShift 文件存储作员 | 安装容器存储接口(CSI)驱动程序,使群集能够使用 Azure 文件。 设置 OpenShift 群集范围的存储默认值,以确保群集存在默认存储类。 | 0d7aedc0-15fd-4a67-a412-efad370c947e |
| Azure Red Hat OpenShift 映像注册表作员 | 启用作员管理 OpenShift 映像注册表的单一实例的权限。 它管理注册表的所有配置,包括创建存储。 | 8b32b316-c2f5-4ddf-b05b-83dacd2d08b5 |
| Azure Red Hat OpenShift 计算机 API作员 | 管理特定用途自定义资源定义(CRD)、控制器和 Azure RBAC 对象的生命周期,这些对象扩展 Kubernetes API 以声明群集中计算机所需的状态。 | 0358943c-7e01-48ba-8889-02cc51d78637 |
| Azure Red Hat OpenShift 网络作员 | 在 OpenShift 群集上安装和升级网络组件。 | be7a6435-15ae-4171-8f30-4a343eff9e8f |
| Azure Red Hat OpenShift 服务作员 | 维护特定于 OpenShift 群集作为托管服务的持续功能的计算机运行状况、网络配置、监视和其他功能。 | 4436bae4-7702-4c84-919b-c4069ff25ee2 |
| 连接群集托管身份检查访问读取器 | 允许连接丛集托管身分呼叫 checkAccess API 的内建角色 | 65a14201-8f6c-4c28-bec4-12619c5a9aaa |
| 容器注册表缓存规则管理员 | 在容器注册表中创建、读取、更新和删除缓存规则。 此角色不授予管理凭据集的权限。 | df87f177-bb12-4db1-9793-a413691eff94 |
| 容器注册表缓存规则读取器 | 读取容器注册表中缓存规则的配置。 此权限不授予读取凭据集的权限。 | c357b964-0002-4b64-a50d-7a28f02edc52 |
| 容器注册表配置读取器和数据访问配置读取器 | 提供列出容器注册表和注册表配置属性的权限。 提供列出数据访问配置的权限,例如管理员用户凭据、范围映射和令牌,可用于读取、写入或删除存储库和映像。 不提供读取、列出或写入注册表内容的直接权限,包括存储库和映像。 不提供修改数据平面内容(如导入、项目缓存或同步和传输管道)的权限。 不提供管理任务的权限。 | 69b07be0-09bf-439a-b9a6-e73de851bd59 |
| 容器注册表参与者和数据访问配置管理员 | 提供创建、列出和更新容器注册表和注册表配置属性的权限。 提供配置数据访问的权限,例如管理员用户凭据、范围映射和令牌,可用于读取、写入或删除存储库和映像。 不提供读取、列出或写入注册表内容的直接权限,包括存储库和映像。 不提供修改数据平面内容(如导入、项目缓存或同步和传输管道)的权限。 不提供管理任务的权限。 | 3bc748fc-213d-45c1-8d91-9da5725539b9 |
| 容器注册表凭据集管理员 | 在容器注册表中创建、读取、更新和删除凭据集。 此角色不会影响在 Azure Key Vault 中存储内容所需的权限。 此角色也不授予管理缓存规则的权限。 | f094fb07-0703-4400-ad6a-e16dd8000e14 |
| 容器注册表凭据集读取器 | 读取容器注册表中凭据集的配置。 此权限不允许查看 Azure Key Vault 中的内容,仅允许查看容器注册表中的内容。 此权限不授予读取缓存规则的权限。 | 29093635-9924-4f2c-913b-650a12949526 |
| 容器注册表数据导入程序和数据读取器 | 提供通过注册表导入作将映像导入注册表的功能。 提供列出存储库、查看映像和标记、获取清单和拉取映像的功能。 不提供通过配置注册表传输管道(如导入和导出管道)导入映像的权限。 不提供通过配置项目缓存或同步规则进行导入的权限。 | 577a9874-89fd-4f24-9dbd-b5034d0ad23a |
| 容器注册表存储库目录列表程序 | 允许列出Azure 容器注册表中的所有存储库。 此角色处于预览版阶段,可能会有所更改。 | bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7 |
| 容器注册表存储库参与者 | 允许读取、写入和删除对Azure 容器注册表存储库的访问权限,但不包括目录列表。 此角色处于预览版阶段,可能会有所更改。 | 2efddaa5-3f1f-4df3-97df-af3f13818f4c |
| 容器注册表存储库读取者 | 允许对Azure 容器注册表存储库进行读取访问,但不包括目录列表。 此角色处于预览版阶段,可能会有所更改。 | b93aa761-3e63-49ed-ac28-beffa264f7ac |
| 容器注册表存储库编写器 | 允许对Azure 容器注册表存储库进行读取和写入访问,但不包括目录列表。 此角色处于预览版阶段,可能会有所更改。 | 2a1e307c-b015-4ebd-883e-5b7698a07328 |
| 容器注册表任务参与者 | 提供配置、读取、列出、触发或取消容器注册表任务、任务运行、任务日志、快速运行、快速生成和任务代理池的权限。 为任务管理授予的权限可用于完整的注册表数据平面权限,包括读取/写入/删除注册表中的容器映像。 为任务管理授予的权限还可用于运行客户创作的生成指令,并运行脚本来生成软件项目。 | fb382eab-e894-4461-af04-94435c366c3f |
| 容器注册表传输管道参与者 | 通过配置涉及中间存储帐户和密钥保管库的注册表传输管道,提供传输、导入和导出项目的功能。 不提供推送或拉取映像的权限。 不提供创建、管理或列出存储帐户或密钥保管库的权限。 不提供执行角色分配的权限。 | bf94e731-3a51-4a7c-8c54-a1ab9971dfc1 |
| Kubernetes 无代理操作员 | 授予 Microsoft Defender for Cloud 对 Azure Kubernetes 服务的访问权限 | d5a2ae44-610b-4500-93be-660a0c5f5ca6 |
| Kubernetes 群集 - Azure Arc 载入 | 授权任何用户/服务创建 connectedClusters 资源的角色定义 | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
| Kubernetes 扩展参与者 | 可以创建、更新、获取、列出和删除 Kubernetes 扩展,以及获取扩展异步操作 | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
| Service Fabric 群集参与者 | 管理 Service Fabric 群集资源。 包括群集、应用程序类型、应用程序类型版本、应用程序和服务。 将需要额外权限才能部署和管理群集的基础资源,例如虚拟机规模集、存储帐户、网络等。 | b6efc156-f0da-4e90-a50a-8c000140b017 |
| Service Fabric 托管群集参与者 | 部署和管理 Service Fabric 托管群集资源。 包括托管群集、节点类型、应用程序类型、应用程序类型版本、应用程序和服务。 | 83f80186-3729-438c-ad2d-39e94d718838 |
数据库
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| 连接到 Azure 的 SQL Server 载入 | 对于已启用 Arc 的服务器上的 SQL Server,允许对 Azure 资源的读取和写入访问。 | e8113dce-c529-4d33-91fa-e9b972617508 |
| Cosmos DB 帐户读者角色 | 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。 | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| Cosmos DB 操作员 | 允许管理 Azure Cosmos DB 帐户,但不能访问其中的数据。 阻止访问帐户密钥和连接字符串。 | 230815da-be43-4aae-9cb4-875f7bd000aa |
| CosmosBackupOperator | 可以为帐户提交 Cosmos DB 数据库或容器的还原请求 | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
| CosmosRestoreOperator | 可以对连续备份模式下的 Cosmos DB 数据库帐户执行还原操作 | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
| DocumentDB 帐户参与者 | 可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。 | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| PostgreSQL 灵活服务器长期保留备份角色 | 允许备份库访问 PostgreSQL 灵活服务器资源 API 以进行长期保留备份的角色。 | c088a766-074b-43ba-90d4-1fb21feae531 |
| Redis 缓存参与者 | 允许管理 Redis 缓存,但不允许访问这些缓存。 | e0f68234-74aa-48ed-b826-c38b57376e17 |
| SQL DB 参与者 | 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。 | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| SQL 托管实例参与者 | 允许你管理 SQL 托管实例和必需的网络配置,但无法向其他人授予访问权限。 | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
| SQL 安全管理器 | 允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。 | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| SQL Server 参与者 | 允许管理SQL 服务器和数据库,但不允许访问它们及其安全相关策略。 | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
分析
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| Azure 事件中心数据所有者 | 允许完全访问 Azure 事件中心资源。 | f526a384-b230-433a-b45c-95f59c4a2dec |
| Azure 事件中心数据接收方 | 允许接收对 Azure 事件中心资源的访问权限。 | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Azure 事件中心数据发送方 | 允许以发送方式访问 Azure 事件中心资源。 | 2b629674-e913-4c01-ae53-ef4638d8f975 |
| 数据工厂参与者 | 创建和管理数据工厂,以及其中的子资源。 | 673868aa-7521-48a0-acc6-0f60742d39f5 |
| HDInsight 群集操作员 | 允许你读取和修改 HDInsight 群集配置。 | 61ed4efc-fab3-44fd-b111-e24485cc132a |
| HDInsight 域服务参与者 | 可以读取、创建、修改和删除 HDInsight 企业安全性套餐所需的域服务相关操作 | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
| HDInsight on AKS 群集管理员 | 授予用户/组在给定集群池中创建、删除和管理集群的权力。 叢集管理員還可以運行工作負載、監控和管理這些叢集上的所有使用者活動。 | fd036e6b-1266-47a0-b0bb-a05d04831731 |
| HDInsight on AKS 群集池管理员 | 可以讀取、建立、修改和刪除 AKS 叢集池上的 HDInsight 以及建立叢集 | 7656b436-37d4-490a-a4ab-d39f838f0042 |
| 架构注册表参与者(预览) | 读取、写入和删除架构注册表组和架构。 | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
| 架构注册表读取器(预览版) | 读取和列出架构注册表组和架构。 | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
| 流分析查询测试者 | 可以执行查询测试,而无需先创建流分析作业 | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
AI + 机器学习
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| AgFood 平台感測器合作夥伴貢獻者 | 提供贡献访问权限以管理 AgFood 平台服务中的传感器相关实体 | 6b77f0a0-0d89-41cc-acd1-579c22c17a67 |
| AgFood 平台服务管理员 | 提供 AgFood 平台服务的管理员访问权限 | f8da80de-1ff9-4747-ad80-a19b7f6079e3 |
| AgFood平台服务贡献者 | 提供对 AgFood 平台服务的贡献访问权限 | 8508508a-4469-4e45-963b-2518ee0bb728 |
| AgFood 平台服务读者 | 提供对 AgFood 平台服务的读取存取权限 | 7ec7ccdc-f61e-41fe-9aaf-980df0a44eba |
| Azure AI 开发人员 | 除了管理资源本身之外,还可以在 Azure AI 资源中执行所有操作。 | 64702f94-c441-49e6-a78b-ef80e0188fee |
| Azure AI 企业网络连接审批者 | 可以批准与 Azure AI 通用依赖项资源的专用终结点连接 | b556d68e-0be0-4f35-a333-ad7ee1ce17ea |
| Azure AI 推理部署操作员 | 可以执行在资源组中创建资源部署所需的所有操作。 | 3afb7f49-54cb-416e-8c09-6dc049efa503 |
| AzureML 计算操作员 | 可以在机器学习服务托管计算资源(包括笔记本 VM)上访问和执行 CRUD 操作。 | e503ece1-11d0-4e8e-8e2c-7a6c3bf38815 |
| AzureML 数据科学家 | 可以在 Azure 机器学习工作区中执行所有操作,但创建或删除计算资源及修改工作区本身除外。 | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
| AzureML 指标编写器(预览版) | 允许您将指标写入 AzureML 工作区 | 635dd51f-9968-44d3-b7fb-6d9a6bd613ae |
| AzureML 注册表用户 | 可以对机器学习服务注册表资产执行所有操作并取得注册表资源。 | 1823dd4f-9b8c-4ab6-ab4e-7397a3684615 |
| 认知服务参与者 | 允许创建、读取、更新、删除和管理认知服务的密钥。 | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
| 认知服务自定义视觉参与者 | 对项目的完全访问权限,包括可以查看、创建、编辑或删除项目。 | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
| 认知服务自定义视觉部署 | 发布、取消发布或导出模型。 部署可以查看项目,但不能更新项目。 | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
| 认知服务自定义视觉标记者 | 查看、编辑训练图像,创建、添加、移除或删除图像标记。 标记者可以查看项目,但不能更新除训练图像和标记以外的任何内容。 | 88424f51-ebe7-446f-bc41-7fa16989e96c |
| 认知服务自定义视觉读取者 | 只读项目中的操作。 读取者不能创建或更新项目。 | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
| 认知服务自定义视觉训练者 | 查看、编辑项目和训练模型,包括可以发布、取消发布、导出模型。 训练者不能创建或删除项目。 | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
| 认知服务数据读者 | 允许读取认知服务数据。 | b59867f0-fa02-499b-be73-45a86b5b3e1c |
| 认知服务人脸识别者 | 让你可以在人脸 API 上执行“检测”、“验证”、“识别”、“分组”和“查找相似”等操作。 此角色不允许创建或删除操作,因此非常适合只需要对功能进行推理、遵循“最小特权”最佳做法的终结点。 | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
| 认知服务沉浸式阅读器用户 | 提供建立沉浸式阅读器会话和呼叫 API 的存取权限 | b2de6794-95db-4659-8781-7e080d3f2b9d |
| 认知服务语言所有者 | 可以存取语言入口网站下的所有读取、测试、写入、部署和删除功能 | f07febfe-79bc-46b1-8b37-790e26e6e498 |
| 认知服务语言读取者 | 可以存取语言入口网站下的读取和测试功能 | 7628b7b8-a8b2-4cdc-b46f-e9b35248918e |
| 认知服务语言写入者 | 可以存取语言入口网站下的所有读取、测试和写入功能 | f2310ca1-dc64-4889-bb49-c8e0fa3d47a8 |
| 认知服务 LUIS 所有者 | 有权存取 LUIS 下的所有读取、测试、写入、部署和删除功能 | f72c8140-2111-481c-87ff-72b910f6e3f8 |
| 认知服务 LUIS 读者 | 可以存取 LUIS 下的读取和测试功能。 | 18e81cdc-4e98-4e29-a639-e7d10c5a6226 |
| 认知服务 LUIS 写入者 | 可以存取 LUIS 下的所有读取、测试和写入功能 | 6322a993-d5c9-4bed-b113-e49bbea25b27 |
| 认知服务指标顾问管理员 | 拥有对项目的完全访问权限,包括系统级配置。 | cb43c632-a144-4ec5-977c-e80c4affc34a |
| 认知服务指标顾问用户 | 访问该项目。 | 3b20f47b-3825-43cb-8114-4bd2201156a8 |
| 认知服务 OpenAI 参与者 | 完全访问权限,包括微调、部署和生成文本的功能 | a001fd3d-188f-4b5d-821b-7da978bf7442 |
| 认知服务 OpenAI 用户 | 查看文件、模型、部署的读取访问权限。 创建完成操作和嵌入调用的功能。 | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
| 认知服务 QnA Maker 编辑者 | 允许你创建、编辑、导入和导出知识库。 但不能发布或删除知识库。 | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
| 认知服务 QnA Maker 读取者 | 只能读取和测试知识库。 | 466ccd10-b268-4a11-b098-b4849f024126 |
| 认知服务语音参与者 | 完全存取语音项目,包括读取、写入和删除所有实体,用于即时语音认可和批量转录任务、即时语音合成和长音讯任务、自订语音和自订语音。 | 0e75ca1e-0464-4b4d-8b93-68208a576181 |
| 认知服务语音用户 | 存取即时语音认可和批次转录API、即时语音合成和长音讯API,以及读取自订模型的资料/测试/模型/端点,但无法建立、删除或修改自订模型的资料/测试/模型/端点。 | f2dc8367-1007-4938-bd23-fe263f013447 |
| 认知服务使用情况读取者 | 查看认知服务使用情况的最小权限。 | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
| 认知服务用户 | 允许读取和列出认知服务的密钥。 | a97b65f3-24c7-4388-baec-2e87135dc908 |
| 医疗保健代理管理员 | 具有管理员存取权限的使用者可以登入、检视和编辑所有机器人资源、场景和配置设置,包括机器人实例金钥&金钥。 | f1082fec-a70f-419f-9230-885d2550fb38 |
| 医疗保健代理编辑器 | 具有编辑存取权限的使用者可以登入、查看和编辑所有机器人资源、场景和配置设置,机器人实例密钥&密钥和最终用户输入(包括反馈、无法识别的话语和对话日志)除外。 对机器人技能和频道的唯读存取权限。 | af854a69-80ce-4ff7-8447-f1118a2e0ca8 |
| 医疗保健代理读取者 | 具有读者存取权限的使用者可以登录,对机器人资源、场景和配置设定具有唯读存取权限,机器人实例金钥&金钥(包括身份验证、数据连接和通道金钥)和最终用户输入(包括回馈、无法辨识的话语和对话日志)。 | eb5a76d5-50e7-4c33-a449-070e7c9c4cf2 |
| 搜索索引数据参与者 | 授予对 Azure 认知搜索索引数据的完全访问权限。 | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
| 搜索索引数据读取者 | 授予对 Azure 认知搜索索引数据的读取访问权限。 | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
| 搜索服务参与者 | 允许管理搜索服务,但不允许访问这些服务。 | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
物联网
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| Azure 数字孪生数据所有者 | 对数字孪生数据平面具有完全访问权限的角色 | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Azure 数字孪生数据读者 | 对数字孪生数据平面具有只读权限的角色 | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
| 设备预配服务数据参与者 | 允许对设备预配服务数据平面操作进行完全访问。 | dfce44e4-17b7-4bd1-a6d1-04996ec95633 |
| 设备预配服务数据读取者 | 允许对设备预配服务数据平面属性进行完全读取访问。 | 10745317-c249-44a1-a5ce-3a4353c0bbd8 |
| 设备更新管理员 | 授予你对管理操作和内容操作的完全访问权限 | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
| 设备更新内容管理员 | 授予你对内容操作的完全访问权限 | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
| 设备更新内容读取者 | 授予你对内容操作的读取访问权限,但不允许进行更改 | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
| 设备更新部署管理员 | 授予你对管理操作的完全访问权限 | e4237640-0e3d-4a46-8fda-70bc94856432 |
| 设备更新部署读取者 | 授予你对管理操作的读取访问权限,但不允许进行更改 | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
| 设备更新读取者 | 授予你对管理操作和内容操作的读取访问权限,但不允许进行更改 | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
| 固件分析管理员 | 在 Defender for IoT 中上传和分析韧体映像 | 9c1607d1-791d-4c68-885d-c7b7aaff7c8a |
| IoT 中心数据参与者 | 具有 IoT 中心数据平面操作的完全访问权限。 | 4fc6c259-987e-4a07-842e-c321cc9d413f |
| IoT 中心数据读取者 | 具有 IoT 中心数据平面属性的完全读取访问权限 | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
| IoT 中心注册表参与者 | 具有 IoT 中心设备注册表的完全访问权限。 | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
| IoT 中心孪生参与者 | 具有所有 IoT 中心设备和模块孪生的读写访问权限。 | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
混合现实
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| 远程渲染管理员 | 为用户提供 Azure 远程渲染的转换、管理会话、渲染和诊断功能 | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
| 远程渲染客户端 | 为用户提供 Azure 远程渲染的管理会话、渲染和诊断功能。 | d39065c4-c120-43c9-ab0a-63eed9795f0a |
集成
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| API 管理开发人员门户内容编辑器 | 可以自订开发人员门户、编辑其内容并发布。 | c031e6a8-4391-4de0-8d69-4706a7ed3729 |
| API 管理服务参与者 | 可以管理服务和 API | 312a565d-c81f-4fd8-895a-4e21e48d571c |
| API 管理服务操作员角色 | 可以管理服务,但不可管理 API | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| API 管理服务读者角色 | 对服务和 API 的只读访问权限 | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| API Management 服务工作区 API 开发人员 | 对标记和产品拥有读取访问权限,并拥有以下写入访问权限:将 API 分配到产品、将标记分配到产品和 API。 应在服务范围内分配此角色。 | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
| API 管理服务工作区 API 产品经理 | 具有与 API 管理服务工作区 API 开发人员相同的访问权限,对用户具有读取访问权限,并且具有写入访问权限,可允许将用户分配给组。 应在服务范围内分配此角色。 | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
| API 管理工作区 API 开发人员 | 对工作区中的实体具有读取访问权限,并对用于编辑 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 | 56328988-075d-4c6a-8766-d93edd6725b6 |
| API 管理工作区 API 产品经理 | 对工作区中的实体具有读取访问权限,并对用于发布 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
| API 管理工作区参与者 | 可以管理工作区和视图,但不能修改其成员。 应在工作区范围内分配此角色。 | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
| API 管理工作区读者 | 对工作区中的实体具有只读访问权限。 应在工作区范围内分配此角色。 | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2 |
| 应用程式配置贡献者 | 授予对应用程式配置资源的所有管理操作(清除除外)的权限。 | fe86443c-f201-4fc4-9d2a-ac61149fbda0 |
| 应用程序配置数据所有者 | 允许对应用程序配置数据进行完全访问。 | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
| 应用程序配置数据读取者 | 允许对应用程序配置数据进行读取访问。 | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| 应用程式配置读取器 | 授予应用程式配置资源的读取操作权限。 | 175b81b9-6e0d-490a-85e4-0d422273c10c |
| Azure API 中心合规性管理者 | 允许管理 Azure API 中心服务中的 API 合规性。 | ede9aaa3-4627-494e-be13-4aa7c256148d |
| Azure API 中心数据读取者 | 允许访问 Azure API 中心数据平面读取操作。 | c7244dfb-f447-457d-b2ba-3999044d1706 |
| Azure API 中心服务参与者 | 允许管理 Azure API 中心服务。 | dd24193f-ef65-44e5-8a7e-6fa6e03f7713 |
| Azure API 中心服务读取者 | 允许对 Azure API 中心服务进行只读访问。 | 6cba8790-29c5-48e5-bab1-c7541b01cb04 |
| Azure 中继侦听器 | 允许侦听对 Azure 中继资源的访问。 | 26e0b698-aa6d-4085-9386-aadae190014d |
| Azure 中继所有者 | 允许完全访问 Azure 中继资源。 | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
| Azure 中继发送方 | 允许发送对 Azure 中继资源的访问权限。 | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
| Azure 资源通知系统主题订阅者 | 允许您在 Azure 资源通知目前和将来公开的所有系统主题上建立系统主题和事件订阅 | 0b962ed2-6d56-471c-bd5f-3477d83a7ba4 |
| Azure 服务总线数据所有者 | 允许完全访问 Azure 服务总线资源。 | 090c5cfd-751d-490a-894a-3ce6f1109419 |
| Azure 服务总线数据接收方 | 允许对 Azure 服务总线资源进行接收访问。 | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
| Azure 服务总线数据发送方 | 允许对 Azure 服务总线资源进行发送访问。 | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
| BizTalk 参与者 | 允许管理 BizTalk 服务,但不允许访问这些服务。 | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
| DeID 批处理数据所有者 | 创建和管理 DeID 批处理作业。 此角色处于预览版阶段,可能会有所更改。 | 8a90fa6b-6997-4a07-8a95-30633a7c97b9 |
| DeID 批处理数据读取者 | 读取 DeID 批处理作业。 此角色处于预览版阶段,可能会有所更改。 | b73a14ee-91f5-41b7-bd81-920e12466be9 |
| DeID 数据所有者 | 完全访问 DeID 数据。 此角色处于预览版阶段,可能会有所更改 | 78e4b983-1a0b-472e-8b7d-8d770f7c5890 |
| DeID 实时数据用户 | 针对 DeID 实时终结点执行请求。 此角色处于预览版阶段,可能会有所更改。 | bb6577c4-ea0a-40b2-8962-ea18cb8ecd4e |
| DICOM 资料所有者 | 完全存取 DICOM 资料。 | 58a3b984-7adf-4c20-983a-32417c86fbc8 |
| DICOM 数据读取器 | 读取和搜寻 DICOM 数据。 | e89c7a3c-2f64-4fa1-a847-3e4c9ba4283a |
| 持久任务数据参与者 | 所有数据访问作的持久任务角色。 | 0ad04412-c4d5-4796-b79c-f76d14c8d402 |
| 持久任务数据读取器 | 读取所有持久任务计划程序数据。 | d6a5505f-6ebb-45a4-896e-ac8274cfc0ac |
| 持久任务工作者 | 辅助角色应用程序用于与 Durable Task 服务交互 | 80d0d6b0-f522-40a4-8886-a5a11720c375 |
| EventGrid 参与者 | 可以管理 EventGrid 操作。 | 1e241071-0855-49ea-94dc-649edcd759de |
| EventGrid 数据发送方 | 允许发送对事件网格事件的访问权限。 | d5a91429-5739-47e2-a06b-3470a27159e7 |
| EventGrid EventSubscription 参与者 | 可以管理 EventGrid 事件订阅操作。 | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
| EventGrid EventSubscription 读者 | 可以读取 EventGrid 事件订阅。 | 2414bbcf-6497-4faf-8c65-045460748405 |
| EventGrid TopicSpaces 发布者 | 允许您在主题空间上发布讯息。 | a12b0b94-b317-4dcd-84a8-502ce99884c6 |
| EventGrid TopicSpaces 订阅者 | 允许您订阅主题空间上的消息。 | 4b0f2fd7-60b4-4eca-896f-4435034f8bf5 |
| FHIR 数据参与者 | 角色允许用户或主体完全访问 FHIR 数据 | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
| FHIR 资料转换器 | 角色允许使用者或委托人将资料从旧格式转换为 FHIR | a1705bd2-3a8f-45a5-8683-466fcfd5cc24 |
| FHIR 数据导出者 | 角色允许用户或主体读取和导出 FHIR 数据 | 3db33094-8700-4567-8da5-1501d4e7e843 |
| FHIR 数据导入者 | 该角色允许用户或主体读取和导入 FHIR 数据 | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
| FHIR 数据读取者 | 角色允许用户或主体读取 FHIR 数据 | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
| FHIR 数据写入者 | 角色允许用户或主体读取和写入 FHIR 数据 | 3f88fce4-5892-4214-ae73-ba5294559913 |
| FHIR SMART 用户 | 角色允许使用者根据 SMART on FHIR 规格存取 FHIR 服务 | 4ba50f17-9666-485c-a643-ff00808643f0 |
| 集成服务环境参与者 | 允许管理集成服务环境,但不允许访问这些环境。 | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
| 集成服务环境开发人员 | 允许开发人员在集成服务环境中创建和更新工作流、集成帐户与 API 连接。 | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
| Intelligent Systems 帐户参与者 | 允许管理智能系统帐户,但不允许访问这些帐户。 | 03a6d094-3444-4b3d-88af-7477090a9e5e |
| 逻辑应用参与者 | 允许管理逻辑应用,但不允许更改其访问权限。 | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
| 逻辑应用操作员 | 允许读取、启用和禁用逻辑应用,但不允许编辑或更新它们。 | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
| 标准型逻辑应用参与者(预览版) | 可以管理标准逻辑应用和工作流的各个方面。 不能更改访问权限或所有权。 | ad710c24-b039-4e85-a019-deb4a06e8570 |
| 标准型逻辑应用开发者(预览版) | 可以为标准逻辑应用创建和编辑工作流、连接和设置。 不能在工作流范围之外进行更改。 | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
| 标准型逻辑应用操作者(预览版) | 你可以启用和禁用逻辑应用、重新提交工作流运行,以及创建连接。 不能编辑工作流或设置。 | b70c96e9-66fe-4c09-b6e7-c98e69c98555 |
| 标准型逻辑应用读取者(预览版) | 对标准型逻辑应用和工作流中的所有资源(包括工作流运行及其历史记录)具有只读访问权限。 | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
| 计划程序作业集合参与者 | 允许管理计划程序作业集合,但不允许访问这些集合。 | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
| 服务中心操作员 | “服务中心操作员”允许你执行与服务中心连接器相关的所有读取、写入和删除操作。 | 82200a5b-e217-47a5-b665-6d8765ee745b |
标识
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| 域服务参与者 | 可以管理 Azure AD 域服务和相关网络配置 | eeaeda52-9324-47f6-8069-5d5bade478b2 |
| 域服务读取者 | 可以查看 Azure AD 域服务和相关网络配置 | 361898ef-9ed1-48c2-849c-a832951106bb |
| 托管的标识参与者 | 创建、读取、更新和删除用户分配的标识 | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
| 托管的标识操作员 | 读取和分配用户分配的标识 | f1a07417-d97a-45cb-824c-7a7467783830 |
安全性
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| 应用合规性自动化管理员 | 可用于管理 Microsoft 365 的应用合规自动化工具 | 0f37683f-2463-46b6-9ce7-9b788b988ba2 |
| 应用合规性自动化读取者 | 允许对 Microsoft 365 的应用合规性自动化工具进行只读访问 | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
| 证明参与者 | 可读写或删除证明提供者实例 | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
| 证明读取者 | 可以读取证明提供程序属性 | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
| Key Vault 管理员 | 对密钥保管库以及其中的所有对象(包括证书、密钥和机密)执行所有数据平面操作。 无法管理密钥保管库资源或管理角色分配。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| 密钥保管库证书用户 | 读取证书内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
| Key Vault 证书管理人员 | 对密钥保管库的证书执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | a4417e6f-fecd-4de8-b567-7b0420556985 |
| 密钥保管库参与者 | 管理密钥保管库,但不允许在 Azure RBAC 中分配角色,也不允许访问机密、密钥或证书。 | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| Key Vault 加密管理人员 | 对密钥保管库的密钥执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| 密钥保管库加密服务加密用户 | 读取密钥的元数据并执行包装/展开操作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| 密钥保管库加密服务发布用户 | 发布密钥。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 08bbd89e-9f13-488c-ac41-acfcb10c90ab |
| Key Vault 加密用户 | 使用密钥执行加密操作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 12338af0-0e69-4776-bea7-57ae8d297424 |
| 密钥保管库数据访问管理员 | 通过添加或删除 Key Vault 管理员、Key Vault 证书主管、Key Vault 加密管理人员、Key Vault 加密服务加密用户、Key Vault 加密用户、Key Vault 加密用户、Key Vault 读取者、Key Vault 机密主管或 Key Vault 机密用户角色来管理对 Azure Key Vault 的访问。 包括用于约束角色分配的 ABAC 条件。 | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
| Key Vault 读取者 | 读取密钥保管库及其证书、密钥和机密的元数据。 无法读取机密内容或密钥材料等敏感值。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault 机密管理人员 | 对密钥保管库的机密执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Key Vault 机密用户 | 读取机密内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 4633458b-17de-408a-b874-0445c86b69e6 |
| 锁定参与者 | 可以管理锁操作。 | 28bf596f-4eb7-45ce-b5bc-6cf482fec137 |
| 托管 HSM 参与者 | 允许你管理托管 HSM 池,但不允许访问这些池。 | 18500a29-7fe2-46b2-a342-b16a415e101d |
| Microsoft Sentinel 自动化参与者 | Microsoft Sentinel 自动化参与者 | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
| Microsoft Sentinel 参与者 | Microsoft Sentinel 参与者 | ab8e14d6-4a74-4a29-9ba8-549422addade |
| Microsoft Sentinel Playbook 操作员 | Microsoft Sentinel Playbook 操作员 | 51d6186e-6489-4900-b93f-92e23144cca5 |
| Microsoft Sentinel 读取者 | Microsoft Sentinel 读取者 | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
| Microsoft Sentinel 响应者 | Microsoft Sentinel 响应者 | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
| 安全管理员 | 查看和更新 Microsoft Defender for Cloud 的权限。 与安全读取者角色具有相同的权限,还可以更新安全策略并关闭警报和建议。 对于 Microsoft Defender for IoT,请参阅用于 OT 和企业 IoT 监视的 Azure 用户角色。 |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
| 安全评估参与者 | 可将评估推送到 Microsoft Defender for Cloud | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
| 安全管理器(旧版) | 这是旧角色。 请改用安全管理员。 | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
| 安全读取者 | 查看 Microsoft Defender for Cloud 的权限。 可以查看但不能更改建议、警报、安全策略和安全状态。 对于 Microsoft Defender for IoT,请参阅用于 OT 和企业 IoT 监视的 Azure 用户角色。 |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
DevOps
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| Chaos Studio 试验参与者 | 可以创建、运行和查看试验的详细信息、载入目标以及管理功能。 | 7c2e40b7-25eb-482a-82cb-78ba06cb46d5 |
| Chaos Studio 运算符 | 可以运行和查看试验的详细信息,但无法创建试验或管理目标和功能。 | 1a40e87e-6645-48e0-b27a-0b115d849a20 |
| Chaos Studio 阅读器 | 可以查看目标、功能、试验和试验详细信息。 | 29e2da8a-229c-4157-8ae8-cc72fc506b74 |
| Chaos Studio 目标参与者 | 可以载入目标和管理功能,但无法创建、运行或查看试验的详细信息 | 59a618e3-3c9a-406e-9f03-1a20dd1c55f1 |
| 部署环境读取器 | 提供对环境资源的读取访问权限。 | eb960402-bf75-4cc3-8d68-35b34f960f72 |
| 部署环境用户 | 提供管理环境资源的访问权限。 | 18e40d4e-8d2e-438d-97e1-9528336e149c |
| DevCenter Dev Box 用户 | 提供创建和管理开发框的访问权限。 | 45d50f46-0b78-4001-a660-4198cbe8cd05 |
| DevCenter 项目管理员 | 提供管理项目资源的访问权限。 | 331c37c6-af14-46d9-b9f4-e1909e1b95a0 |
| DevTest 实验室用户 | 允许连接、启动、重启和关闭 Azure 开发测试实验室中的虚拟机。 | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
| 实验室助理 | 允许查看现有实验室、在实验室 VM 上执行操作,以及向实验室发送邀请。 | ce40b423-cede-4313-a93f-9b28290b72e1 |
| 实验室参与者 | 适用于实验室级别,允许管理实验室。 适用于资源组,允许创建和管理实验室。 | 5daaa2af-1fe8-407c-9122-bba179798270 |
| 实验室创建者 | 允许在 Azure 实验室帐户下新建实验室。 | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
| 实验室操作员 | 允许有限地管理现有实验室。 | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
| 实验室服务参与者 | 允许完全控制资源组中的所有实验室服务方案。 | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
| 实验室服务读取者 | 允许查看所有实验室计划和实验室资源,但不允许更改。 | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
| 负载测试参与者 | 查看、创建、更新、删除和执行负载测试。 查看并列出负载测试资源,但不能进行任何更改。 | 749a398d-560b-491b-bb21-08924219302e |
| 负载测试所有者 | 对负载测试资源和负载测试执行所有操作 | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
| 负载测试读取者 | 查看并列出所有负载测试和负载测试资源,但不能进行任何更改 | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
监视器
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| Application Insights 组件参与者 | 可管理 Application Insights 组件 | ae349356-3a1b-4a5e-921d-050484c6347e |
| Application Insights 快照调试器 | 授予用户查看和下载使用 Application Insights Snapshot Debugger 收集的调试快照的权限。 请注意,所有者或参与者角色不包括这些权限。 在向用户授予 Application Insights Snapshot Debugger 角色时,必须将该角色直接授予用户。 将角色添加到自定义角色时,无法识别该角色。 | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
| Azure 托管 Grafana 工作区参与者 | 可以管理 Azure 托管 Grafana 资源,无需提供对工作区本身的访问权限。 | 5c2d7e57-b7c2-4d8a-be4f-82afa42c6e95 |
| 数据清除程序 | 从 Log Analytics 工作区中删除专用数据。 | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| Grafana 管理员 | 管理伺服器范围的设定并管理对组织、使用者和许可证等资源的存取。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Grafana 编辑者 | 建立、编辑、删除或检视仪表板;建立、编辑或删除资料夹;并编辑或查看播放清单。 | a79a5197-3a5c-4973-a920-486035ffd60f |
| Grafana 受限查看者 | 看主页。 | 41e04612-9dac-4699-a02b-c82ff2cc3fb5 |
| Grafana 查看者 | 查看仪表板、播放清单和查询资料来源。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
| Log Analytics 参与者 | Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志收集、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。 | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
| Log Analytics 读者 | Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。 | 73c42c96-874c-492b-b04d-ab87d138a893 |
| 监视参与者 | 可以读取所有监视数据和编辑监视设置。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| 监视指标发布者 | 允许针对 Azure 资源发布指标 | 3913510d-42f4-4e42-8a64-420c390055eb |
| 监视读取者 | 可以读取所有监视数据(指标、日志等)。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
| 工作簿参与者 | 可以保存共享的工作簿。 | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
| 工作簿读者 | 可以读取工作簿。 | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
管理和治理
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| 顾问建议参与者(评估和评审) | 查看评估建议、接受的审查建议并管理建议生命周期(将建议标记为已完成、推迟或忽略、进行中或未开始)。 | 6b534d80-e337-47c4-864f-140f5c7f593d |
| 顾问评审参与者 | 查看针对工作负荷的评审并会审与之关联的建议。 | 8aac15f0-d885-4138-8afa-bfb5872f7d13 |
| 顾问评审读者 | 查看针对工作负荷的评审以及与之关联的建议。 | c64499e0-74c3-47ad-921c-13865957895c |
| 自动化参与者 | 使用 Azure 自动化管理 Azure 自动化资源和其他资源。 | f353d9bd-d4a6-484e-a77a-8050b599b867 |
| 自动化作业操作员 | 使用自动化 Runbook 创建和管理作业。 | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
| 自动化操作员 | 自动化操作员能够启动、停止、暂停和恢复作业 | d3881f73-407a-4167-8283-e981cbba0404 |
| 自动化 Runbook 操作员 | 读取 Runbook 属性 - 以能够创建 runbook 的作业。 | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
| Azure SAP 解决方案中心管理员 | 此角色提供對 Azure Center for SAP 解決方案的所有功能的讀寫存取權。 | 7b0c7e81-271f-4c71-90bf-e30bdfdbc2f7 |
| Azure SAP 解決方案中心讀者 | Azure SAP 解決方案中心讀者 | 05352d14-a920-4328-a0de-4cbe7430e26b |
| Azure SAP 解决方案中心服务角色 | Azure Center for SAP 解決方案服務角色 - 此角色旨在用於指派給使用者的託管識別碼提供權限。 Azure Center for SAP 解決方案將使用此識別碼來部署和管理 SAP 系統。 | aabbc5dd-1af0-458b-a942-81af88f9c138 |
| Azure Connected Machine 加入 | 可以加入 Azure Connected Machine。 | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
| Azure Connected Machine 资源管理员 | 可以读取、写入、删除和重新加入 Azure Connected Machine。 | cd570a14-e51a-42ad-bac8-bafd67325302 |
| Azure Connected Machine 资源管理员 | 用于 Azure Local 资源提供程序(Microsoft.AzureStackHCI 资源提供程序)的自定义角色,用于管理资源组中的混合计算机器和混合连接端点 | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
| 订阅的 Azure 客户密码箱审核者 | 在订阅所在的租户上启用 azure 的客户密码 Microsoft箱时,可以批准Microsoft支持请求来访问订阅中包含的特定资源或订阅本身。 | 4dae6930-7baf-46f5-909e-0383bc931c46 |
| 计费读者 | 允许对帐单数据进行读取访问 | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| 蓝图参与者 | 可以管理蓝图定义,但不能对其进行分配。 | 41077137-e803-4205-871c-5a86e6a753b4 |
| 蓝图操作员 | 可以指定现有已发布的蓝图,但不能创建新的蓝图。 请注意:仅当使用用户分配的托管标识完成分配时,此分配才有效。 | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
| 碳优化读者 | 允许对 Azure 碳优化数据进行读取访问 | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
| 成本管理参与者 | 可以查看成本和管理成本配置(例如预算、导出) | 434105ed-43f6-45c7-a02f-909b2ba83430 |
| 成本管理读者 | 可以查看成本数据和配置(例如预算、导出) | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
| 层次结构设置管理员 | 允许用户编辑和删除层次结构设置 | 350f8d15-c687-4448-8ae1-157740a3936d |
| 托管应用程序参与者角色 | 允许创建托管应用程序资源。 | 641177b8-a67a-45b9-a033-47bc880bb21e |
| 托管应用程序操作员角色 | 可让你在托管应用程序资源上读取和执行操作 | c7393b34-138c-406f-901b-d8cf2b17e6ae |
| 托管应用程序发布者操作员 | 允许发布者读取托管应用程序的托管资源组中的资源,并请求对其他操作进行 JIT 访问。 此角色仅由托管应用程序服务用来提供对发布者的访问权限。 | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
| 托管服务注册分配删除角色 | 托管服务注册分配删除角色允许管理租户用户删除分配给其租户的注册分配。 | 91c1777a-f3dc-4fae-b103-61d183457e46 |
| 管理组参与者 | 管理组参与者角色 | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| 管理组读取者 | 管理组读取者角色 | ac63b705-f282-497d-ac71-919bf39d939d |
| New elic APM 帐户参与者 | 允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。 | 5d28c62d-5b37-4476-8438-e587778df237 |
| 策略见解数据编写者(预览) | 允许对资源策略进行读取访问,并允许对资源组件策略事件进行写入访问。 | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
| 配额请求操作员 | 读取和创建配额请求,获取配额请求状态并创建支持票证。 | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
| 预留买方 | 允许你购买预留 | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
| 预留读者 | 允许用户读取租户中的所有预留 | 582fc458-8989-419f-a480-75249bc5db7e |
| 资源策略参与者 | 有权创建/修改资源策略、创建支持票证和读取资源/层次结构的用户。 | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| 储蓄计划购买者 | 让您购买储蓄计划 | 3d24a3a0-c154-4f6f-a5ed-adc8e01ddb74 |
| 计划修补参与者 | 提供访问权限以管理具有维护范围 InGuestPatch 和相应配置分配的维护配置 | cd08ab90-6b14-449c-ad9a-8f8e549482c6 |
| Site Recovery 参与者 | 允许管理除保管库创建和角色分配外的 Site Recovery 服务 | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| Site Recovery 操作员 | 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作 | 494ae006-db33-4328-bf46-533a6560a3ca |
| Site Recovery 读取者 | 允许查看 Site Recovery 状态,但不允许执行其他管理操作 | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| 支持请求参与者 | 允许创建和管理支持请求 | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| 标记参与者 | 允许你管理实体上的标记,而无需提供对实体本身的访问权限。 | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
| 模板规格参与者 | 允许在分配的范围内对模板规格操作进行完全访问。 | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
| 模板规格读取者 | 允许在分配的范围内对模板规格进行读取访问。 | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
混合 + 多云
| 内置角色 | 说明 | 身份证件 |
|---|---|---|
| Azure 资源网桥部署角色 | Azure 资源桥部署角色仅用于 Azure Stack HCI。 | 7b1f81f9-4196-4058-8aae-762e593270df |
| Azure Stack HCI 管理员 | 授予对群集及其资源的完全访问权限,包括注册 Azure Local 并将其他人分配为 Azure Stack HCI VM 参与者和/或 Azure Stack HCI VM 读者的权限 | bda0d508-adf1-4af0-9c28-88919fc3ae06 |
| Azure Stack HCI 连接的 InfraVM | Azure Stack HCI 基础结构虚拟机 Arc 集成的角色。 | c99c945f-8bd1-4fb1-a903-01460aae6068 |
| Azure Stack HCI 设备管理角色 | Microsoft.AzureStackHCI 设备管理角色 | 865ae368-6a45-4bd1-8fbf-0d5151f56fc1 |
| Azure Stack HCI VM 参与者 | 授予执行所有 VM 操作的权限 | 874d1c73-6003-4e60-a13a-cb31ea190a85 |
| Azure Stack HCI VM 读者 | 授予查看 VM 的权限 | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
| Azure Stack 注册所有者 | 允许管理 Azure Stack 注册。 | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |
| 混合式伺服器资源管理员 | 可以读取、写入、删除混合伺服器以及将混合伺服器重新载入到混合资源提供者。 | 48b40c6e-82e0-4eb3-90d5-19e40f49b624 |