Service 連線or 的許可權需求
服務連線或使用 代理權杖 在 Azure 服務之間建立連線。 建立特定 Azure 資源的連線需要其對應的許可權。
App Service
動作 |
描述 |
Microsoft.Web/sites/config/write |
更新 Web 應用程式的組態設定 |
Microsoft.web/sites/config/delete |
刪除 Web Apps 設定。 |
Microsoft.Web/sites/config/list/action |
列出 Web 應用程式的安全性敏感性設定,例如發佈認證、應用程式設定和連接字串 |
Microsoft.Web/sites/config/Read |
取得 Web 應用程式組態設定 |
Microsoft.Web/sites/write |
建立新的 Web 應用程式或更新現有的 Web 應用程式 |
Microsoft.Web/sites/read |
取得 Web 應用程式的屬性 |
Webapp 位置
動作 |
描述 |
Microsoft.Web/sites/slots/Write |
建立新的 Web 應用程式位置或更新現有的 Web 應用程式位置 |
Microsoft.Web/sites/slots/Read |
取得 Web 應用程式部署位置的屬性 |
Microsoft.Web/sites/slots/config/Read |
取得 Web 應用程式位置的組態設定 |
Microsoft.Web/sites/slots/config/Write |
更新 Web 應用程式位置的組態設定 |
microsoft.web/sites/slots/config/delete |
刪除 Web Apps 位置設定。 |
Microsoft.Web/sites/slots/config/list/Action |
列出 Web 應用程式位置的安全性敏感性設定,例如發佈認證、應用程式設定和連接字串 |
Azure Spring 應用程式
動作 |
描述 |
Microsoft.AppPlatform/Spring/read |
取得 Azure Spring Apps 服務實例(s) |
Microsoft.AppPlatform/Spring/apps/read |
取得特定 Azure Spring Apps 服務實例的應用程式 |
Microsoft.AppPlatform/Spring/apps/write |
建立或更新特定 Azure Spring Apps 服務實例的應用程式 |
Microsoft.AppPlatform/Spring/apps/deployments/*/read |
取得特定應用程式的部署 |
Microsoft.AppPlatform/Spring/apps/deployments/*/write |
建立或更新特定應用程式的部署 |
Microsoft.AppPlatform/Spring/apps/deployments/*/delete |
刪除特定應用程式的部署 |
Azure 容器應用程式
動作 |
描述 |
Microsoft.App/containerApps/read |
取得容器應用程式 |
Microsoft.App/containerApps/write |
建立或更新容器應用程式 |
Microsoft.App/containerApps/listsecrets/action |
列出容器應用程式的秘密 |
Microsoft.App/managedEnvironments/read |
取得受控環境 |
Microsoft.App/locations/managedEnvironmentOperationStatuses/read |
取得受控環境長時間執行的作業狀態 |
microsoft.app/locations/containerappoperationstatuses/read |
取得容器應用程式長時間執行的作業狀態 |
microsoft.app/locations/containerappoperationresults/read |
取得容器應用程式長時間執行的作業結果 |
microsoft.app/locations/managedenvironmentoperationresults/read |
取得受控環境長時間執行的作業結果 |
Azure Container Apps 中的 Dapr
動作 |
描述 |
Microsoft.App/managedEnvironments/daprComponents/read |
讀取受控環境 Dapr 元件 |
Microsoft.App/managedEnvironments/daprComponents/write |
建立或更新受控環境 Dapr 元件 |
Microsoft.App/managedEnvironments/daprComponents/delete |
刪除受控環境 Dapr 元件 |
Azure Cache for Redis
動作 |
描述 |
Microsoft.Cache/redis/read |
在管理入口網站中檢視 Redis 快取的設定和組態 |
Microsoft.Cache/redis/firewallRules/read |
取得 Redis 快取的 IP 防火牆規則 |
Microsoft.Cache/redis/firewallRules/write |
編輯 Redis 快取的 IP 防火牆規則 |
Microsoft.Cache/redis/firewallRules/delete |
刪除 Redis 快取的 IP 防火牆規則 |
Microsoft.Cache/redis/listKeys/action |
在管理入口網站中檢視 Redis 快取存取金鑰的值 |
Azure Cache for Redis Enterprise
動作 |
描述 |
Microsoft.Cache/redisEnterprise/read |
在管理入口網站中檢視 Redis Enterprise 快取的設定和組態 |
Microsoft.Cache/redisEnterprise/databases/read |
在管理入口網站中檢視 Redis Enterprise 快取資料庫的設定和組態 |
Microsoft.Cache/redisEnterprise/databases/listKeys/action |
在管理入口網站中檢視 Redis Enterprise 資料庫存取金鑰的值 |
適用於 PostgreSQL 的 Azure 資料庫
適用於 PostgreSQL 的 Azure 資料庫
動作 |
描述 |
Microsoft.DBforPostgreSQL/servers/firewallRules/read |
傳回伺服器的防火牆規則清單,或取得指定防火牆規則的屬性。 |
Microsoft.DBforPostgreSQL/servers/firewallRules/write |
使用指定的參數建立防火牆規則,或更新現有的規則。 |
Microsoft.DBforPostgreSQL/servers/firewallRules/delete |
刪除現有的防火牆規則。 |
Microsoft.DBForPostgreSQL/servers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.DBForPostgreSQL/servers/databases/read |
傳回 Postgre 的清單SQL 資料庫或取得指定之資料庫的屬性。 |
Microsoft.DBforPostgreSQL/servers/write |
使用指定的參數建立伺服器,或更新指定伺服器的屬性或標籤。 |
適用於 PostgreSQL 的 Azure 資料庫 (服務端點)
動作 |
描述 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read |
傳回虛擬網路規則的清單,或取得指定之虛擬網路規則的屬性。 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write |
使用指定的參數建立虛擬網路規則,或更新指定虛擬網路規則的屬性或標籤。 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete |
刪除現有的虛擬網絡規則 |
適用於 PostgreSQL 的 Azure 資料庫 - 彈性伺服器
動作 |
描述 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read |
傳回伺服器的防火牆規則清單,或取得指定防火牆規則的屬性。 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write |
使用指定的參數建立防火牆規則,或更新現有的規則。 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete |
刪除現有的防火牆規則。 |
Microsoft.DBForPostgreSQL/flexibleServers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.DBForPostgreSQL/flexibleServers/databases/read |
傳回 PostgreSQL 伺服器資料庫清單,或取得指定伺服器的資料庫。 |
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read |
傳回 PostgreSQL 伺服器組態清單,或取得指定伺服器的組態。 |
適用於 MySQL 的 Azure 資料庫
動作 |
描述 |
Microsoft.DBforMySQL/servers/firewallRules/read |
傳回伺服器的防火牆規則清單,或取得指定防火牆規則的屬性。 |
Microsoft.DBforMySQL/servers/firewallRules/write |
使用指定的參數建立防火牆規則,或更新現有的規則。 |
Microsoft.DBforMySQL/servers/firewallRules/delete |
刪除現有的防火牆規則。 |
Microsoft.DBforMySQL/servers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.DBforMySQL/servers/databases/read |
傳回 My SQL 資料庫 清單,或取得指定之資料庫的屬性。 |
Microsoft.DBforMySQL/servers/write |
使用指定的參數建立伺服器,或更新指定伺服器的屬性或標籤。 |
適用於 MySQL 的 Azure 資料庫 (服務端點)
動作 |
描述 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/read |
傳回虛擬網路規則的清單,或取得指定之虛擬網路規則的屬性。 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/write |
使用指定的參數建立虛擬網路規則,或更新指定虛擬網路規則的屬性或標籤。 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete |
刪除現有的虛擬網絡規則 |
適用於 MySQL 的 Azure 資料庫 - 彈性伺服器
動作 |
描述 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/read |
傳回伺服器的防火牆規則清單,或取得指定防火牆規則的屬性。 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/write |
使用指定的參數建立防火牆規則,或更新現有的規則。 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete |
刪除現有的防火牆規則。 |
Microsoft.DBforMySQL/flexibleServers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.DBforMySQL/flexibleServers/databases/read |
傳回伺服器的資料庫清單,或取得指定資料庫的屬性。 |
Microsoft.DBforMySQL/flexibleServers/configurations/read |
傳回 MySQL 伺服器組態清單,或取得指定伺服器的組態。 |
Azure 應用程式組態
動作 |
描述 |
Microsoft.AppConfiguration/configurationStores/ListKeys/action |
列出指定組態存放區的 API 金鑰。 |
Microsoft.AppConfiguration/configurationStores/read |
取得指定組態存放區的屬性,或列出指定資源群組或訂用帳戶下的所有組態存放區。 |
Azure 事件中樞
動作 |
描述 |
Microsoft.EventHub/namespaces/read |
取得命名空間資源描述的清單 |
Microsoft.EventHub/namespaces/ipFilterRules/read |
取得 IP 篩選資源 |
Microsoft.EventHub/namespaces/ipFilterRules/write |
建立 IP 篩選資源 |
Microsoft.EventHub/namespaces/ipFilterRules/delete |
刪除 IP 篩選資源 |
Microsoft.EventHub/namespaces/networkrulesets/read |
取得 NetworkRuleSet 資源 |
Microsoft.EventHub/namespaces/networkrulesets/write |
建立 VNET 規則資源 |
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action |
取得命名空間的連線字串 |
Azure 服務匯流排
動作 |
描述 |
Microsoft.ServiceBus/namespaces/read |
取得命名空間資源描述的清單 |
Microsoft.ServiceBus/namespaces/ipFilterRules/read |
取得 IP 篩選資源 |
Microsoft.ServiceBus/namespaces/ipFilterRules/write |
建立 IP 篩選資源 |
Microsoft.ServiceBus/namespaces/ipFilterRules/delete |
刪除 IP 篩選資源 |
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action |
取得命名空間的連線字串 |
Microsoft.ServiceBus/namespaces/networkrulesets/read |
取得 NetworkRuleSet 資源 |
Microsoft.ServiceBus/namespaces/networkrulesets/write |
建立 VNET 規則資源 |
Azure Blob 儲存體
動作 |
描述 |
Microsoft.Storage/storageAccounts/read |
傳回儲存體帳戶的清單,或取得指定之儲存體帳戶的屬性。 |
Microsoft.Storage/storageAccounts/write |
使用指定的參數建立儲存體帳戶,或更新屬性或標記,或為指定的儲存體帳戶新增自訂網域。 |
Microsoft.Storage/storageAccounts/listkeys/action |
傳回指定儲存體帳戶的存取金鑰。 |
Azure SignalR Service
動作 |
描述 |
Microsoft.SignalRService/SignalR/read |
在管理入口網站或透過 API 檢視 SignalR 的設定和組態 |
Microsoft.SignalRService/SignalR/write |
在管理入口網站或透過 API 修改 SignalR 的設定和組態 |
Microsoft.SignalRService/locations/operationresults/signalr/read |
查詢以位置為基礎的非同步作業結果 |
Microsoft.SignalRService/locations/operationStatuses/signalr/read |
查詢以位置為基礎的非同步作業狀態 |
Microsoft.SignalRService/SignalR/operationResults/read |
|
Microsoft.SignalRService/SignalR/operationStatuses/read |
|
Microsoft.SignalRService/SignalR/listkeys/action |
在管理入口網站或透過 API 檢視 SignalR 存取金鑰的值 |
Azure Web PubSub 服務
動作 |
描述 |
Microsoft.SignalRService/WebPubSub/read |
在管理入口網站或透過 API 檢視 WebPubSub 的設定和組態 |
Microsoft.SignalRService/WebPubSub/write |
在管理入口網站或透過 API 修改 WebPubSub 的設定和組態 |
Microsoft.SignalRService/locations/operationresults/webpubsub/read |
查詢以位置為基礎的非同步作業結果 |
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read |
查詢以位置為基礎的非同步作業狀態 |
Microsoft.SignalRService/WebPubSub/operationResults/read |
|
Microsoft.SignalRService/WebPubSub/operationStatuses/read |
在管理入口網站或透過 API 檢視 WebPubSub 存取金鑰的值 |
Microsoft.SignalRService/WebPubSub/listkeys/action |
在管理入口網站或透過 API 檢視 WebPubSub 存取金鑰的值 |
Azure Cosmos DB
動作 |
描述 |
Microsoft.DocumentDB/databaseAccounts/read |
讀取資料庫帳戶。 |
Microsoft.DocumentDB/databaseAccounts/write |
更新資料庫帳戶。 |
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action |
取得資料庫帳戶的連接字串 |
Microsoft.DocumentDB/databaseAccounts/listKeys/action |
列出資料庫帳戶的金鑰 |
Azure SQL Database
動作 |
描述 |
Microsoft.Sql/servers/firewallRules/read |
傳回伺服器防火牆規則的清單,或取得指定之伺服器防火牆規則的屬性。 |
Microsoft.Sql/servers/firewallRules/write |
使用指定的參數建立伺服器防火牆規則、更新指定規則的屬性,或使用新的伺服器防火牆規則覆寫所有現有的規則。 |
Microsoft.Sql/servers/firewallRules/delete |
刪除現有的伺服器防火牆規則。 |
Microsoft.Sql/servers/databases/read |
傳回資料庫清單,或取得指定資料庫的屬性。 |
Microsoft.Sql/servers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.Sql/servers/virtualNetworkRules/read |
傳回虛擬網路規則的清單,或取得指定之虛擬網路規則的屬性。 |
Microsoft.Sql/servers/virtualNetworkRules/write |
使用指定的參數建立虛擬網路規則,或更新指定虛擬網路規則的屬性或標籤。 |
Microsoft.Sql/servers/virtualNetworkRules/delete |
刪除現有的虛擬網絡規則 |
Azure Key Vault
動作 |
描述 |
Microsoft.KeyVault/vaults/write |
建立新的金鑰保存庫,或更新現有金鑰保存庫的屬性。 某些屬性可能需要更多許可權。 |
Microsoft.KeyVault/vaults/read |
檢視金鑰保存庫的屬性 |
Microsoft.KeyVault/vaults/secrets/write |
建立新的秘密,或更新現有秘密的值。 |
Microsoft.KeyVault/vaults/accessPolicies/write |
更新現有的存取原則,方法是合併或取代,或將新的存取原則新增至金鑰保存庫。 |
Azure Cosmos DB
動作 |
描述 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read |
讀取 SQL 角色定義 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write |
建立或更新 SQL 角色定義 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete |
刪除 SQL 角色指派 |
如果以驗證類型建立連線,服務連線或服務主體可能需要將許可權授與受控識別或服務主體。 下表列出在此案例中建立連線的許可權需求。
動作 |
描述 |
Microsoft.Authorization/roleAssignments/read |
取得角色指派的相關資訊。 |
Microsoft.Authorization/roleAssignments/write |
在指定的範圍建立角色指派。 |
Microsoft.Authorization/roleAssignments/delete |
刪除指定範圍的角色指派。 |
使用者指派的受控識別連線
如果建立連線做為驗證類型,服務連線者可能需要將許可權授與使用者指派的受控識別。 下表列出在此案例中建立連線的許可權需求。
動作 |
描述 |
Microsoft.ManagedIdentity/userAssignedIdentities/read |
取得現有的使用者指派身分識別 |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
將現有使用者指派的身分識別指派給資源的 RBAC 動作 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read |
取得或列出同盟身分識別認證 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write |
新增或更新同盟身分識別認證 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete |
刪除同盟身分識別認證 |
如果以私人端點或服務端點作為網路解決方案建立連線,服務連線器可能需要將許可權授與您的身分識別。 下表列出在此案例中建立連線的許可權需求。
動作 |
描述 |
Microsoft.Network/publicIPAddresses/read |
取得公用 IP 位址定義。 |
Microsoft.Network/virtualNetworks/subnets/read |
取得虛擬網路子網定義 |
Microsoft.Network/virtualNetworks/subnets/write |
建立虛擬網路子網或更新現有的虛擬網路子網 |
Microsoft.Network/privateEndpoints/read |
取得私人端點資源。 |
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action |
將儲存體帳戶或 SQL 資料庫等資源聯結至子網。 不可警示。 |
Microsoft.Network/networkSecurityGroups/join/action |
加入網路安全性群組。 不可警示。 |
Microsoft.Network/serviceEndpointPolicies/join/action |
加入服務端點原則。 不可警示。 |
Microsoft.Network/natGateways/join/action |
聯結 NAT 閘道 |
Microsoft.Network/networkIntentPolicies/join/action |
加入網路意圖原則。 不可警示。 |
Microsoft.Network/networkSecurityGroups/join/action |
加入網路安全性群組。 不可警示。 |
Microsoft.Network/routeTables/join/action |
聯結路由表。 不可警示。 |