获取合作伙伴赚取的返点所需的角色和权限
以下角色映射到权限级别,这些级别决定合作伙伴是否有资格获得合作伙伴赚取的返点 (PEC)。
重要
这些角色和权限与用户需要在合作伙伴中心工作的角色和权限不同。
| 角色 | 描述 | 符合 PEC 条件 |
|---|---|---|
| “所有者” | 你管理所有内容,包括对资源的访问权限。 | 是 |
| 参与者 | 你管理所有内容(授予对资源的访问权限除外)。 | 是 |
| 读者 | 你可以查看所有内容,但不能进行任何更改。 | 否 |
| ACRDelete | acr 删除 | 是 |
| ACRImageSigner | ACR 映像签名程序 | 是 |
| ACRPull | acr 拉取 | 是 |
| AcrPush | acr 推送 | 是 |
| AcrQuarantineReader | ACR 隔离数据读取器 | 否 |
| AcrQuarantineWriter | ACR 隔离数据编写器 | 是 |
| API 管理服务参与者 | 可以管理服务和 API | 是 |
| API 管理服务操作员角色 | 可以管理服务,但不可管理 API | 是 |
| API 管理服务读者角色 | 对服务和 API 的只读访问权限 | 否 |
| Application Insights 组件参与者 | 管理 Application Insights 组件 | 是 |
| Application Insights 快照调试器 | 授予用户查看和下载使用 Application Insights Snapshot Debugger 收集的调试快照的权限。 这些权限不包括在“所有者”或“参与者”角色中。 | 是 |
| 自动化作业操作员 | 使用自动化 Runbook 创建和管理作业。 | 是 |
| 自动化操作员 | 自动化操作员能够启动、停止、暂停和恢复作业 | 是 |
| 自动化 Runbook 操作员 | 读取 Runbook 属性 - 以能够创建 runbook 的作业。 | 是 |
| Avere 参与者 | 可以创建和管理 Avere vFXT 群集。 | 是 |
| Avere 操作员 | Avere vFXT 群集用来管理群集 | 是 |
| Azure 事件中心数据所有者 | 允许完全访问 Azure 事件中心资源。 | 是 |
| Azure 事件中心数据接收方 | 允许接收对 Azure 事件中心资源的访问权限。 | 是 |
| Azure 事件中心数据发送方 | 允许以发送方式访问 Azure 事件中心资源。 | 是 |
| Azure Kubernetes 服务群集管理员角色 | 列出群集管理员凭据操作。 | 是 |
| Azure Kubernetes 服务群集用户角色 | 列出群集用户凭据操作。 | 是 |
| Azure Maps 数据读取器(预览版) | 授予从 Azure Maps 帐户中读取地图相关数据的权限。 | 否 |
| Azure 服务总线数据所有者 | 允许完全访问 Azure 服务总线资源。 | 是 |
| Azure 服务总线数据接收方 | 允许对 Azure 服务总线资源进行接收访问。 | 是 |
| Azure 服务总线数据发送方 | 允许对 Azure 服务总线资源进行发送访问。 | 是 |
| Azure Stack 注册所有者 | 允许管理 Azure Stack 注册。 | 是 |
| 备份参与者 | 允许管理备份服务,但不允许创建保管库以及授予其他人访问权限 | 是 |
| 备份操作员 | 允许管理备份服务,但删除备份、创建保管库以及授予其他人访问权限除外 | 是 |
| 备份读者 | 可以查看备份服务,但是不能进行更改 | 否 |
| 计费读者 | 允许对帐单数据进行读取访问 | 否 |
| BizTalk 参与者 | 允许管理 BizTalk 服务,但不允许访问这些服务。 | 是 |
| 区块链成员节点访问(预览版) | 允许对区块链成员节点的访问 | 是 |
| 蓝图参与者 | 可以管理蓝图定义,但不能对其进行分配。 | 是 |
| 蓝图操作员 | 可以指定现有已发布的蓝图,但不能创建新的蓝图。 注意:仅当分配是使用用户分配的托管标识完成的时才有效。 | 是 |
| CDN 终结点参与者 | 可以管理 CDN 终结点,但不能向其他用户授予访问权限。 | 是 |
| CDN 终结点读者 | 可以查看 CDN 终结点,但不能进行更改。 | 否 |
| CDN 配置文件参与者 | 可以管理 CDN 配置文件及其终结点,但不能向其他用户授予访问权限。 | 是 |
| CDN 配置文件读者 | 可以查看 CDN 配置文件及其终结点,但不能进行更改。 | 否 |
| 经典网络参与者 | 允许管理经典网络,但不允许访问这些网络。 | 是 |
| 经典存储帐户参与者 | 允许管理经典存储帐户,但不允许对其进行访问。 | 是 |
| 经典存储帐户密钥操作员服务角色 | 允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥 | 是 |
| 经典虚拟机参与者 | 允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 | 是 |
| 认知服务参与者 | 允许创建、读取、更新、删除和管理认知服务的密钥。 | 是 |
| 认知服务数据读取者(预览版) | 允许读取认知服务数据。 | 否 |
| 认知服务用户 | 允许读取和列出认知服务的密钥。 | 否 |
| Cosmos DB 帐户读者角色 | 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。 | 否 |
| Cosmos DB 操作员 | 允许管理 Azure Cosmos DB 帐户,但不能访问其中的数据。 阻止访问帐户密钥和连接字符串。 | 是 |
| CosmosBackupOperator | 可以为帐户提交 Cosmos DB 数据库或容器的还原请求 | 是 |
| 成本管理参与者 | 可以查看成本并管理成本配置(例如,预算、导出) | 是 |
| 成本管理读者 | 可以查看成本数据和配置(例如,预算、导出) | 否 |
| Data Box 参与者 | 可让你管理 Data Box 服务下的所有内容,但不能向其他人授予访问权限。 | 是 |
| Data Box 读者 | 可让你管理 Data Box 服务,但不能创建订单或编辑订单详细信息,以及向其他人授予访问权限。 | 否 |
| 数据工厂参与者 | 创建和管理数据工厂,以及它们包含的子资源。 | 是 |
| Data Lake Analytics 开发人员 | 允许提交、监视和管理自己的作业,但是不允许创建或删除 Data Lake Analytics 帐户。 | 是 |
| 数据清除程序 | 可清除分析数据 | 是 |
| DevTest 实验室用户 | 允许你连接、启动、重启和关闭 Azure 开发测试实验室中的虚拟机。 | 是 |
| DNS 区域参与者 | 允许你管理 Azure DNS 中的 DNS 区域和记录集,但不允许你控制对其访问的人员。 | 是 |
| DocumentDB 帐户参与者 | 可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。 | 是 |
| 事件网格 EventSubscription 参与者 | 可以管理事件网格事件订阅操作。 | 是 |
| 事件网格 EventSubscription 读取者 | 可以读取事件网格事件订阅。 | 否 |
| HDInsight 群集操作员 | 允许你读取和修改 HDInsight 群集配置。 | 是 |
| HDInsight 域服务参与者 | 可以读取、创建、修改和删除 HDInsight 企业安全性套餐所需的域服务相关操作 | 是 |
| Intelligent Systems 帐户参与者 | 允许管理智能系统帐户,但不允许访问这些帐户。 | 是 |
| 密钥保管库参与者 | 允许管理密钥保管库,但不允许对其进行访问。 | 是 |
| 实验室创建者 | 允许在 Azure 实验室帐户下创建、管理、删除托管实验室。 | 是 |
| Log Analytics 参与者 | Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志收集、创建和配置自动化帐户、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。 | 是 |
| Log Analytics 读者 | Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。 | 否 |
| 逻辑应用参与者 | 允许管理逻辑应用,但不允许更改其访问权限。 | 是 |
| 逻辑应用操作员 | 允许读取、启用和禁用逻辑应用,但不允许编辑或更新它们。 | 是 |
| 托管应用程序操作员角色 | 可让你在托管应用程序资源上读取和执行操作 | 是 |
| 托管应用程序读者 | 允许读取托管应用中的资源并请求 JIT 访问。 | 否 |
| 托管的标识参与者 | 创建、读取、更新和删除用户分配的标识 | 是 |
| 托管的标识操作员 | 读取和分配用户分配的标识 | 是 |
| 管理组参与者 | 管理组参与者角色 | 是 |
| 管理组读取者 | 管理组读取者角色 | 否 |
| 监视参与者 | 可以读取所有监视数据和编辑监视设置。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 是 |
| 监视指标发布者 | 允许针对 Azure 资源发布指标 | 是 |
| 监视读取者 | 可以读取所有监视数据(指标、日志等)。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 否 |
| 网络参与者 | 允许管理网络,但不允许访问这些网络。 | 是 |
| New elic APM 帐户参与者 | 允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。 | 是 |
| 读取器和数据访问 | 允许查看所有内容,但不允许删除或创建存储帐户或包含的资源。 它还允许使用存储帐户密钥对存储帐户中包含的所有数据进行读/写访问。 | 是 |
| Redis 缓存参与者 | 允许管理 Redis 缓存,但不允许访问这些缓存。 | 是 |
| 资源策略参与者(预览) | (预览)通过 EA 回填的 用户,具有创建/修改资源策略、创建支持票证和读取资源/层次结构的权限。 | 是 |
| 计划程序作业集合参与者 | 允许管理计划程序作业集合,但不允许访问这些集合。 | 是 |
| 搜索服务参与者 | 允许管理搜索服务,但不允许访问这些服务。 | 是 |
| 安全管理员 | 仅在 Defender for Cloud 内:可以查看安全策略、查看安全状态、编辑安全策略、查看警报和建议、关闭警报和建议 | 是 |
| 安全管理器(旧版) | 安全性管理人员是一个旧角色。 改用安全管理员 | 是 |
| 安全读取者 | 仅在 Defender for Cloud 内:可以查看建议和警报、查看安全策略、查看安全状态,但不能进行更改 | 否 |
| Site Recovery 参与者 | 允许管理除保管库创建和角色分配外的 Site Recovery 服务 | 是 |
| Site Recovery 操作员 | 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作 | 是 |
| Site Recovery 读取者 | 允许查看 Site Recovery 状态,但不允许执行其他管理操作 | 否 |
| 空间定位点帐户参与者 | 允许管理帐户中的空间定位点,但不能删除它们 | 是 |
| 空间定位点帐户所有者 | 允许管理帐户中的空间定位点,包括删除它们 | 是 |
| 空间定位点帐户读取者 | 允许查找并读取帐户中的空间定位点的属性 | 否 |
| SQL DB 参与者 | 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。 | 是 |
| SQL 托管实例参与者 | 允许你管理 SQL 托管实例和必需的网络配置,但无法向其他人授予访问权限。 | 是 |
| SQL 安全管理器 | 允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。 | 是 |
| SQL Server 参与者 | 允许管理 SQL 服务器和数据库,但不允许访问它们及其安全相关的策略。 | 是 |
| 存储帐户参与者 | 允许管理存储帐户。 提供对帐户密钥的访问权限,而帐户密钥可以用来通过共享密钥授权对数据进行访问。 | 是 |
| 存储帐户密钥操作员服务角色 | 允许列出和重新生成存储帐户访问密钥。 | 是 |
| 存储 Blob 数据参与者 | 读取、写入和删除 Azure 存储容器和 Blob。 若要了解需要对给定的数据执行哪些操作,请参阅用于调用 Blob 和队列数据操作的权限。 | 是 |
| 存储 Blob 数据所有者 | 提供对 Azure 存储 Blob 容器和数据的完全访问权限,包括分配 POSIX 访问控制。 若要了解需要对给定的数据执行哪些操作,请参阅用于调用 Blob 和队列数据操作的权限。 | 是 |
| 存储 Blob 数据读者 | 读取和列出 Azure 存储容器和 Blob。 若要了解需要对给定的数据执行哪些操作,请参阅用于调用 Blob 和队列数据操作的权限。 | 否 |
| 存储 Blob 委托者 | 获取用户委托密钥,该密钥随后可用于为使用 Microsoft Entra 凭据签名的容器或 blob 创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | 是 |
| 存储文件数据 SMB 共享参与者 | 允许通过 SMB 在Azure 存储文件共享中读取、写入和删除访问权限 | 是 |
| 存储文件数据 SMB 共享提升参与者 | 允许通过 SMB 在Azure 存储文件共享中读取、写入、删除和修改 NTFS 权限访问权限 | 是 |
| 存储文件数据 SMB 共享读取者 | 允许通过 SMB 对 Azure 文件共享进行读取访问 | 否 |
| 存储队列数据参与者 | 读取、写入和删除 Azure 存储队列和队列消息。 若要了解需要对给定的数据执行哪些操作,请参阅用于调用 Blob 和队列数据操作的权限。 | 是 |
| 存储队列数据消息处理器 | 速览、检索和删除 Azure 存储队列中的消息。 若要了解需要对给定的数据执行哪些操作,请参阅用于调用 Blob 和队列数据操作的权限。 | 是 |
| 存储队列数据消息发送方 | 将消息添加到 Azure 存储队列。 若要了解需要对给定的数据执行哪些操作,请参阅用于调用 Blob 和队列数据操作的权限。 | 是 |
| 存储队列数据读取者 | 读取并列出 Azure 存储队列和队列消息。 若要了解需要对给定的数据执行哪些操作,请参阅用于调用 Blob 和队列数据操作的权限。 | 否 |
| 支持请求参与者 | 允许创建和管理支持请求 | 是 |
| 流量管理器参与者 | 允许你管理流量管理器配置文件,但不允许你控制对其访问的人员。 | 是 |
| 用户访问管理员 | 允许管理用户对 Azure 资源的访问权限。 | 是 |
| 虚拟机管理员登录 | 在门户中查看虚拟机,并以管理员身份登录 | 是 |
| 虚拟机参与者 | 允许管理虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 | 是 |
| 虚拟机用户登录 | 在门户中查看虚拟机,并以常规用户身份登录。 | 是 |
| Web 计划参与者 | 允许管理网站的 Web 计划,但不允许访问这些计划。 | 是 |
| 网站参与者 | 允许你管理网站(而非 Web 计划),但不能访问它们 | 是 |