以下角色映射到确定合作伙伴是否有资格获得合作伙伴赚取的返点 (PEC) 的权限级别。
重要
这些角色和权限与用户在合作伙伴中心工作所需的角色和权限不同。
| 角色 | 说明 | 符合 PEC 要求 |
|---|---|---|
| 所有者 | 您可以管理所有内容,包括对资源的访问。 | 是的 |
| 贡献者 | 您可以管理除授予资源访问权限之外的所有内容。 | 是的 |
| 读取者 | 您可以查看所有内容,但不能进行任何更改 | 否 |
| ACRDelete | ACR 删除 | 是的 |
| ACRImageSigner | ACR 图像签名者 | 是的 |
| ACRPull | ACR 拉取 | 是的 |
| AcrPush | ACR 推送 | 是的 |
| AcrQuarantineReader | ACR 隔离数据读取器 | 否 |
| AcrQuarantineWriter | ACR 隔离数据写入器 | 是的 |
| API 管理服务参与者 | 可以管理服务和 API | 是的 |
| API 管理服务作员角色 | 可以管理服务,但不可管理 API | 是的 |
| API 管理服务读取者角色 | 对服务和 API 的只读访问权限 | 否 |
| Application Insights 组件参与者 | 管理 Application Insights 组件 | 是的 |
| Application Insights Snapshot Debugger | 授予用户查看和下载使用 Application Insights Snapshot Debugger 收集的调试快照的权限。 这些权限不包含在 Owner (所有者) 或 Contributor (参与者) 角色中。 | 是的 |
| 自动化作业操作员 | 使用自动化 Runbook 创建和管理作业。 | 是的 |
| 自动化操作员 | 自动化操作员能够启动、停止、暂停和恢复作业。 | 是的 |
| 自动化 Runbook 操作员 | 读取 Runbook 属性 - 以能够创建 runbook 的作业。 | 是的 |
| Avere 参与者 | 可以创建和管理 Avere vFXT 集群。 | 是的 |
| Avere 操作员 | Avere vFXT 群集用来管理群集 | 是的 |
| Azure 事件中心数据所有者 | 允许完全访问 Azure 事件中心资源。 | 是的 |
| Azure 事件中心数据接收器 | 允许接收对 Azure 事件中心资源的访问权限。 | 是的 |
| Azure 事件中心数据发送方 | 允许以发送方式访问 Azure 事件中心资源。 | 是的 |
| Azure Kubernetes 服务群集管理员角色 | 列出群集管理员凭据操作。 | 是的 |
| Azure Kubernetes 服务群集用户角色 | 列出群集用户凭据操作。 | 是的 |
| Azure Maps 数据读取者(预览版) | 授予从 Azure Maps 帐户中读取地图相关数据的权限。 | 否 |
| Azure 服务总线数据所有者 | 允许完全访问 Azure 服务总线资源。 | 是的 |
| Azure 服务总线数据接收器 | 允许对 Azure 服务总线资源进行接收访问。 | 是的 |
| Azure 服务总线数据发送方 | 允许对 Azure 服务总线资源进行发送访问。 | 是的 |
| Azure Stack 注册所有者 | 允许管理 Azure Stack 注册。 | 是的 |
| 备份贡献者 | 允许管理备份服务,但不允许创建保管库以及授予其他人访问权限 | 是的 |
| 备份操作员 | 允许您管理备份服务,但不包括删除备份、创建保管库和给予他人访问权限。 | 是的 |
| 备份读取者 | 可以查看备份服务,但是不能进行更改 | 否 |
| 计费读者 | 允许读取账单数据 | 否 |
| BizTalk 参与者 | 允许管理 BizTalk 服务,但不允许访问这些服务。 | 是的 |
| 区块链成员节点访问(预览版) | 允许访问 Blockchain Member 节点 | 是的 |
| 蓝图贡献者 | 可以管理蓝图定义,但不能分配它们。 | 是的 |
| 蓝图操作员 | 可以分配现有的已发布蓝图,但不能创建新蓝图。 注意:仅当使用用户分配的托管标识完成分配时,此选项才有效。 | 是的 |
| CDN 终结点参与者 | 可以管理 CDN 终结点,但不能向其他用户授予访问权限。 | 是的 |
| CDN 节点读取器 | 可以查看 CDN 终结点,但不能进行更改。 | 否 |
| CDN 配置文件参与者 | 可以管理 CDN 配置文件及其终端节点,但不能向其他用户授予访问权限。 | 是的 |
| CDN 配置文件读取者 | 可以查看CDN配置文件及其端点,但无法进行更改。 | 否 |
| 经典网络参与者 | 允许您管理经典网络,但不能访问它们。 | 是的 |
| 经典存储帐户参与者 | 此功能允许您管理经典存储帐户,但无法访问这些帐户。 | 是的 |
| 经典存储帐户密钥操作员服务角色 | 允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥 | 是的 |
| 经典虚拟机参与者 | 允许您管理经典虚拟机,但不能访问它们,也不能管理与之连接的虚拟网络或存储帐户。 | 是的 |
| 认知服务贡献者 | 允许创建、读取、更新、删除和管理认知服务的密钥。 | 是的 |
| 认知服务数据读取器(预览版) | 允许读取认知服务数据。 | 否 |
| 认知服务用户 | 允许读取和列出认知服务的密钥。 | 否 |
| Cosmos DB 帐户读取者角色 | 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。 | 否 |
| Cosmos DB 操作员 | 允许管理 Azure Cosmos DB 帐户,但不能访问其中的数据。 防止访问账户密钥和连接字符串。 | 是的 |
| CosmosBackupOperator | 可以为帐户提交 Cosmos DB 数据库或容器的还原请求 | 是的 |
| 成本管理参与者 | 可以查看成本并管理成本配置 (例如,预算、导出) | 是的 |
| 成本管理读本 | 可以查看成本数据和配置(例如,预算、导出) | 否 |
| Data Box 贡献者 | 允许您管理 Data Box 服务中的所有内容,但无法为他人授予访问权限。 | 是的 |
| 数据盒读取器 | 允许您管理 Data Box 服务,但不能创建订单、编辑订单详情或给予他人访问权限。 | 否 |
| 数据工厂参与者 | 创建和管理数据工厂及其中的子资源。 | 是的 |
| Data Lake Analytics 开发人员 | 允许您提交、监控和管理您自己的作业,但不能创建或删除数据湖分析账户。 | 是的 |
| 数据清除器 | 可以清除分析数据 | 是的 |
| DevTest 实验室用户 | 允许你连接、启动、重启和关闭 Azure 开发测试实验室中的虚拟机。 | 是的 |
| DNS 区域参与者 | 允许您在 Azure DNS 中管理 DNS 区域和记录集,但不允许控制谁有权访问它们。 | 是的 |
| DocumentDB 帐户参与者 | 可以管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。 | 是的 |
| 事件网格 EventSubscription 参与者 | 可以管理事件网格事件订阅操作。 | 是的 |
| 事件网格 EventSubscription 读取者 | 可以读取事件网格事件订阅。 | 否 |
| HDInsight 群集作员 | 允许你读取和修改 HDInsight 群集配置。 | 是的 |
| HDInsight Domain Services 参与者 | 可以读取、创建、修改和删除 HDInsight 企业安全性套餐所需的域服务相关操作 | 是的 |
| Intelligent Systems 帐户参与者 | 允许管理智能系统帐户,但不允许访问这些帐户。 | 是的 |
| 密钥库贡献者 | 允许您管理 Key Vault,但不能访问它们。 | 是的 |
| 实验室创建者 | 允许你在 Azure 实验室帐户下创建、管理和删除托管实验室。 | 是的 |
| Log Analytics 参与者 | Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括将 VM 扩展添加到 VM、读取存储帐户密钥以便能够配置从 Azure 存储收集日志、创建和配置自动化帐户、添加解决方案以及在所有 Azure 资源上配置 Azure 诊断。 | 是的 |
| Log Analytics 读者 | Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。 | 否 |
| Logic App 贡献者 | 允许管理逻辑应用,但不允许更改其访问权限。 | 是的 |
| 逻辑应用操作员 | 允许读取、启用和禁用逻辑应用,但不允许编辑或更新它们。 | 是的 |
| 托管应用程序操作员角色 | 允许您读取和执行对托管应用程序资源的操作 | 是的 |
| 托管应用程序读取者 | 让您可以读取托管应用程序中的资源,并请求 JIT 访问权限。 | 否 |
| 托管的标识参与者 | 创建、读取、更新和删除用户分配的标识 | 是的 |
| 托管的标识操作员 | 读取和分配用户分配的标识 | 是的 |
| 管理组参与者 | 管理组参与者角色 | 是的 |
| 管理组读取者 | 管理组读取者角色 | 否 |
| 监视参与者 | 可以读取所有监视数据和编辑监视设置。 另请参阅 Azure Monitor 的角色、权限和安全性入门。 | 是的 |
| 监控指标发布者 | 允许针对 Azure 资源发布指标 | 是的 |
| 监视读取者 | 可以读取所有监视数据(指标、日志等)。 另请参阅 Azure Monitor 的角色、权限和安全性入门。 | 否 |
| 网络参与者 | 允许管理网络,但不允许访问这些网络。 | 是的 |
| New elic APM 帐户参与者 | 允许您管理 New Relic 应用性能管理的账户和应用程序,但无法访问它们。 | 是的 |
| 读取器和数据访问 | 允许您查看所有内容,但不允许删除或创建存储帐户或包含的资源。 它还允许通过访问存储帐户密钥对存储帐户中包含的所有数据进行读/写访问。 | 是的 |
| Redis 缓存参与者 | 允许您管理 Redis 缓存,但无法访问它们。 | 是的 |
| 资源策略参与者(预览版) | (预览)来自 EA 的回填用户,有权创建/修改资源策略、创建支持票证和读取资源/层次结构。 | 是的 |
| 计划程序作业集合参与者 | 允许管理计划程序作业集合,但不允许访问这些集合。 | 是的 |
| 搜索服务参与者 | 允许管理搜索服务,但不允许访问这些服务。 | 是的 |
| 安全管理员 | 仅在 Defender for Cloud 中:可以查看安全策略、查看安全状态、编辑安全策略、查看警报和建议、消除警报和建议 | 是的 |
| 安全管理器(旧版) | 安全管理员是旧角色。 请改用 Security Administrator | 是的 |
| 安全读取器 | 仅在 Defender for Cloud 中:可以查看建议和警报、查看安全策略、查看安全状态,但无法进行更改 | 否 |
| Site Recovery 参与者 | 允许管理除保管库创建和角色分配外的 Site Recovery 服务 | 是的 |
| 站点恢复操作员 | 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作 | 是的 |
| Site Recovery 读取者 | 该功能允许您查看站点恢复状态,但无法执行其他管理操作。 | 否 |
| 空间定位点帐户参与者 | 允许管理帐户中的空间定位点,但不能删除它们 | 是的 |
| 空间定位点帐户所有者 | 允许管理帐户中的空间定位点,包括删除它们 | 是的 |
| Spatial Anchors Account Reader | 允许查找并读取帐户中的空间定位点的属性 | 否 |
| SQL DB 参与者 | 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,您无法管理他们的安全相关策略或其父 SQL 服务器。 | 是的 |
| SQL 托管实例参与者 | 允许您管理 SQL 托管实例和所需的网络配置,但无法将访问权限授予其他人。 | 是的 |
| SQL 安全管理器 | 您可以管理与 SQL 服务器和数据库相关的安全策略,但不能访问它们。 | 是的 |
| SQL Server 贡献者 | 允许您管理 SQL Server 和数据库,但不能访问它们,也不能管理其安全 -related 策略。 | 是的 |
| 存储帐户参与者 | 允许管理存储帐户。 提供访问账户密钥的权限,可以通过共享密钥授权访问数据。 | 是的 |
| 存储帐户密钥操作员服务角色 | 允许列出和重新生成存储帐户访问密钥. | 是的 |
| 存储 Blob 数据参与者 | 读取、写入和删除 Azure 存储容器和 Blob。 要了解给定数据作需要执行哪些作,请参阅调用 blob 和队列数据作的权限。 | 是的 |
| 存储 Blob 数据所有者 | 提供对 Azure 存储 Blob 容器和数据的完全访问权限,包括分配 POSIX 访问控制。 要了解给定数据作需要执行哪些作,请参阅调用 blob 和队列数据作的权限。 | 是的 |
| 存储 Blob 数据读取者 | 读取和列出 Azure 存储容器和 Blob。 要了解给定数据作需要执行哪些作,请参阅调用 blob 和队列数据作的权限。 | 否 |
| 存储 Blob 委托者 | 获取用户委派密钥,然后可以使用该密钥为使用 Microsoft Entra 凭据签名的容器或 blob 创建共享访问签名。 有关详细信息,请参阅“创建用户委托 SAS”。 | 是的 |
| 存储文件数据 SMB 共享参与者 | 允许通过 SMB 在 Azure 存储文件共享中进行读取、写入和删除访问 | 是的 |
| 存储文件数据 SMB 共享特权参与者 | 允许通过 SMB 对 Azure 存储文件共享进行读取、写入、删除和修改 NTFS 权限访问 | 是的 |
| 存储文件数据 SMB 共享读取者 | 允许通过 SMB 对 Azure 文件共享进行读取访问 | 否 |
| 存储队列数据贡献者 | 读取、写入和删除 Azure 存储队列和队列消息。 要了解给定数据作需要执行哪些作,请参阅调用 blob 和队列数据作的权限。 | 是的 |
| 存储队列数据消息处理者 | 查看、检索并删除 Azure 存储队列中的消息。 要了解给定数据作需要执行哪些作,请参阅调用 blob 和队列数据作的权限。 | 是的 |
| 存储队列数据消息发送者 | 将消息添加到 Azure 存储队列中。 要了解给定数据作需要执行哪些作,请参阅调用 blob 和队列数据作的权限。 | 是的 |
| 存储队列数据读取者 | 读取和列出 Azure 存储队列及队列消息。 要了解给定数据作需要执行哪些作,请参阅调用 blob 和队列数据作的权限。 | 否 |
| 支持请求参与者 | 让您创建和管理支持请求 | 是的 |
| 流量管理器参与者 | 允许您管理流量管理器配置文件,但不允许您控制谁有权访问它们。 | 是的 |
| 用户访问管理员 | 允许您管理对 Azure 资源的用户访问。 | 是的 |
| 虚拟机管理员登录 | 在门户中查看虚拟机并以管理员身份登录 | 是的 |
| 虚拟机参与者 | 允许您管理虚拟机,但不能访问它们,也不能访问它们连接到的虚拟网络或存储帐户。 | 是的 |
| 虚拟机用户登录 | 在门户中查看虚拟机并以普通用户身份登录。 | 是的 |
| Web 计划参与者 | 允许您管理网站的 Web 计划,但不能访问它们。 | 是的 |
| 网站参与者 | 允许您管理网站(不是 Web 计划),但不能访问它们 | 是的 |