服務連接器的權限需求
服務連接器會使用代表權杖在 Azure 服務之間建立連線。 建立特定 Azure 資源的連線需要其對應的權限。
應用程式服務
| 動作 |
描述 |
Microsoft.Web/sites/config/write |
更新 Web 應用程式的組態設定 |
Microsoft.web/sites/config/delete |
刪除 Web Apps 設定。 |
Microsoft.Web/sites/config/list/action |
列出 Web 應用程式的安全性機密設定,例如發佈認證、應用程式設定和連接字串 |
Microsoft.Web/sites/config/Read |
取得 Web 應用程式的組態設定 |
Microsoft.Web/sites/write |
建立新的 Web 應用程式,或更新現有 Web 應用程式 |
Microsoft.Web/sites/read |
取得 Web 應用程式的屬性 |
Webapp 位置
| 動作 |
描述 |
Microsoft.Web/sites/slots/Write |
建立新的 Web 應用程式位置,或更新現有的 Web 應用程式位置 |
Microsoft.Web/sites/slots/Read |
取得 Web 應用程式部署位置的屬性 |
Microsoft.Web/sites/slots/config/Read |
取得 Web 應用程式位置的組態設定 |
Microsoft.Web/sites/slots/config/Write |
更新 Web 應用程式位置的組態設定 |
microsoft.web/sites/slots/config/delete |
刪除 Web Apps 的位置設定。 |
Microsoft.Web/sites/slots/config/list/Action |
列出 Web 應用程式位置的安全性機密設定,例如發佈認證、應用程式設定和連接字串 |
Azure Spring App
| 動作 |
描述 |
Microsoft.AppPlatform/Spring/read |
取得 Azure Spring Apps 服務執行個體 |
Microsoft.AppPlatform/Spring/apps/read |
取得特定 Azure Spring Apps 服務執行個體的應用程式 |
Microsoft.AppPlatform/Spring/apps/write |
建立或更新特定 Azure Spring Apps 服務執行個體的應用程式 |
Microsoft.AppPlatform/Spring/apps/deployments/*/read |
取得特定應用程式的部署 |
Microsoft.AppPlatform/Spring/apps/deployments/*/write |
建立或更新特定應用程式的部署 |
Microsoft.AppPlatform/Spring/apps/deployments/*/delete |
刪除特定應用程式的部署 |
Azure 容器應用程式
| 動作 |
描述 |
Microsoft.App/containerApps/read |
取得容器應用程式 |
Microsoft.App/containerApps/write |
建立或更新容器應用程式 |
Microsoft.App/containerApps/listsecrets/action |
列出容器應用程式的秘密 |
Microsoft.App/managedEnvironments/read |
取得受控環境 |
Microsoft.App/locations/managedEnvironmentOperationStatuses/read |
取得受控環境長時間執行的作業狀態 |
microsoft.app/locations/containerappoperationstatuses/read |
取得容器應用程式長時間執行的作業狀態 |
microsoft.app/locations/containerappoperationresults/read |
取得容器應用程式長時間執行的作業結果 |
microsoft.app/locations/managedenvironmentoperationresults/read |
取得受控環境長時間執行的作業結果 |
Azure 容器應用程式中的 Dapr
| 動作 |
描述 |
Microsoft.App/managedEnvironments/daprComponents/read |
讀取受控環境 Dapr 元件 |
Microsoft.App/managedEnvironments/daprComponents/write |
建立或更新受控環境 Dapr 元件 |
Microsoft.App/managedEnvironments/daprComponents/delete |
刪除受控環境 Dapr 元件 |
Azure Cache for Redis
| 動作 |
描述 |
Microsoft.Cache/redis/read |
在管理入口網站中檢視 Redis 快取的設定和組態 |
Microsoft.Cache/redis/firewallRules/read |
取得 Redis 快取的 IP 防火牆規則 |
Microsoft.Cache/redis/firewallRules/write |
編輯 Redis 快取的 IP 防火牆規則 |
Microsoft.Cache/redis/firewallRules/delete |
刪除 Redis 快取的 IP 防火牆規則 |
Microsoft.Cache/redis/listKeys/action |
在管理入口網站中檢視 Redis 快取存取金鑰的值 |
Azure Cache for Redis Enterprise
| 動作 |
描述 |
Microsoft.Cache/redisEnterprise/read |
在管理入口網站中檢視 Redis Enterprise 快取的設定和組態 |
Microsoft.Cache/redisEnterprise/databases/read |
在管理入口網站中檢視 Redis Enterprise 快取資料庫的設定和組態 |
Microsoft.Cache/redisEnterprise/databases/listKeys/action |
在管理入口網站中,檢視 Redis Enterprise 資料庫存取金鑰的值 |
適用於 PostgreSQL 的 Azure 資料庫
適用於 PostgreSQL 的 Azure 資料庫
| 動作 |
描述 |
Microsoft.DBforPostgreSQL/servers/firewallRules/read |
傳回伺服器的防火牆規則清單,或取得指定防火牆規則的屬性。 |
Microsoft.DBforPostgreSQL/servers/firewallRules/write |
使用指定參數建立防火牆規則,或更新現有的規則。 |
Microsoft.DBforPostgreSQL/servers/firewallRules/delete |
刪除現有防火牆規則。 |
Microsoft.DBForPostgreSQL/servers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.DBForPostgreSQL/servers/databases/read |
傳回資料庫清單,或取得指定資料庫的屬性。 |
Microsoft.DBforPostgreSQL/servers/write |
使用指定參數建立伺服器,或更新指定伺服器的屬性或標記。 |
適用於 PostgreSQL 的 Azure 資料庫 (服務端點)
| 動作 |
描述 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read |
傳回虛擬網路規則的清單,或取得指定虛擬網路規則的屬性。 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write |
使用指定參數建立虛擬網路規則,或更新指定虛擬網路規則的屬性或標記。 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete |
刪除現有虛擬網路規則 |
Azure PostgreSQL Database - 彈性伺服器
| 動作 |
描述 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read |
傳回伺服器的防火牆規則清單,或取得指定防火牆規則的屬性。 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write |
使用指定參數建立防火牆規則,或更新現有的規則。 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete |
刪除現有防火牆規則。 |
Microsoft.DBForPostgreSQL/flexibleServers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.DBForPostgreSQL/flexibleServers/databases/read |
傳回 PostgreSQL 伺服器資料庫清單,或取得指定伺服器的資料庫。 |
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read |
傳回 PostgreSQL 伺服器組態清單,或取得指定伺服器的組態。 |
適用於 MySQL 的 Azure 資料庫
| 動作 |
描述 |
Microsoft.DBforMySQL/servers/firewallRules/read |
傳回伺服器的防火牆規則清單,或取得指定防火牆規則的屬性。 |
Microsoft.DBforMySQL/servers/firewallRules/write |
使用指定參數建立防火牆規則,或更新現有的規則。 |
Microsoft.DBforMySQL/servers/firewallRules/delete |
刪除現有防火牆規則。 |
Microsoft.DBforMySQL/servers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.DBforMySQL/servers/databases/read |
傳回 MySQL 資料庫清單,或取得指定資料庫的屬性。 |
Microsoft.DBforMySQL/servers/write |
使用指定參數建立伺服器,或更新指定伺服器的屬性或標記。 |
適用於 MySQL 的 Azure 資料庫 (服務端點)
| 動作 |
描述 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/read |
傳回虛擬網路規則的清單,或取得指定虛擬網路規則的屬性。 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/write |
使用指定參數建立虛擬網路規則,或更新指定虛擬網路規則的屬性或標記。 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete |
刪除現有虛擬網路規則 |
適用於 MySQL 的 Azure 資料庫 - 彈性伺服器
| 動作 |
描述 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/read |
傳回伺服器的防火牆規則清單,或取得指定防火牆規則的屬性。 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/write |
使用指定參數建立防火牆規則,或更新現有的規則。 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete |
刪除現有防火牆規則。 |
Microsoft.DBforMySQL/flexibleServers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.DBforMySQL/flexibleServers/databases/read |
傳回伺服器的資料庫清單,或取得指定資料庫的屬性。 |
Microsoft.DBforMySQL/flexibleServers/configurations/read |
傳回 MySQL 伺服器組態清單,或取得指定伺服器的組態。 |
Azure 應用程式組態
| 動作 |
描述 |
Microsoft.AppConfiguration/configurationStores/ListKeys/action |
列出指定設定存放區的 API 金鑰。 |
Microsoft.AppConfiguration/configurationStores/read |
取得指定設定存放區的屬性,或列出指定資源群組或訂用帳戶下的所有設定存放區。 |
Azure 事件中樞
| 動作 |
描述 |
Microsoft.EventHub/namespaces/read |
取得命名空間資源描述的清單 |
Microsoft.EventHub/namespaces/ipFilterRules/read |
取得 IP 篩選資源 |
Microsoft.EventHub/namespaces/ipFilterRules/write |
建立 IP 篩選資源 |
Microsoft.EventHub/namespaces/ipFilterRules/delete |
刪除 IP 篩選資源 |
Microsoft.EventHub/namespaces/networkrulesets/read |
取得 NetworkRuleSet 資源 |
Microsoft.EventHub/namespaces/networkrulesets/write |
建立 VNET 規則資源 |
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action |
取得命名空間的連接字串 |
Azure 服務匯流排
| 動作 |
描述 |
Microsoft.ServiceBus/namespaces/read |
取得命名空間資源描述的清單 |
Microsoft.ServiceBus/namespaces/ipFilterRules/read |
取得 IP 篩選資源 |
Microsoft.ServiceBus/namespaces/ipFilterRules/write |
建立 IP 篩選資源 |
Microsoft.ServiceBus/namespaces/ipFilterRules/delete |
刪除 IP 篩選資源 |
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action |
取得命名空間的連接字串 |
Microsoft.ServiceBus/namespaces/networkrulesets/read |
取得 NetworkRuleSet 資源 |
Microsoft.ServiceBus/namespaces/networkrulesets/write |
建立 VNET 規則資源 |
Azure Blob 儲存體
| 動作 |
描述 |
Microsoft.Storage/storageAccounts/read |
傳回儲存體帳戶的清單,或取得指定之儲存體帳戶的屬性。 |
Microsoft.Storage/storageAccounts/write |
使用指定參數來建立儲存體帳戶、更新指定儲存體帳戶的屬性或標記,或新增指定儲存體帳戶的自訂網域。 |
Microsoft.Storage/storageAccounts/listkeys/action |
傳回指定儲存體帳戶的存取金鑰。 |
Azure SignalR Service
| 動作 |
描述 |
Microsoft.SignalRService/SignalR/read |
在管理入口網站中或透過 API 檢視 SignalR 的設定和組態 |
Microsoft.SignalRService/SignalR/write |
在管理入口網站中或透過 API 修改 SignalR 的設定和組態 |
Microsoft.SignalRService/locations/operationresults/signalr/read |
查詢以位置為基礎的非同步作業結果 |
Microsoft.SignalRService/locations/operationStatuses/signalr/read |
查詢以位置為基礎的非同步作業狀態 |
Microsoft.SignalRService/SignalR/operationResults/read |
|
Microsoft.SignalRService/SignalR/operationStatuses/read |
|
Microsoft.SignalRService/SignalR/listkeys/action |
在管理入口網站中或透過 API 檢視 SignalR 存取金鑰 |
Azure Web PubSub 服務
| 動作 |
描述 |
Microsoft.SignalRService/WebPubSub/read |
在管理入口網站中或透過 API 檢視 WebPubSub 的設定和組態 |
Microsoft.SignalRService/WebPubSub/write |
在管理入口網站中或透過 API 修改 WebPubSub 的設定和組態 |
Microsoft.SignalRService/locations/operationresults/webpubsub/read |
查詢以位置為基礎的非同步作業結果 |
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read |
查詢以位置為基礎的非同步作業狀態 |
Microsoft.SignalRService/WebPubSub/operationResults/read |
|
Microsoft.SignalRService/WebPubSub/operationStatuses/read |
在管理入口網站中或透過 API 檢視 WebPubSub 存取金鑰 |
Microsoft.SignalRService/WebPubSub/listkeys/action |
在管理入口網站中或透過 API 檢視 WebPubSub 存取金鑰 |
Azure Cosmos DB
警告
Microsoft 建議您使用最安全的可用驗證流程。 這個程序描述的驗證流程需要在應用程式中具備極高的信任度,且伴隨著其他流程並未面臨的風險。 請僅在其他較安全的流程 (例如受控身分識別) 皆不具可行性的情況下,才使用這個流程。
| 動作 |
描述 |
Microsoft.DocumentDB/databaseAccounts/read |
讀取資料庫帳戶。 |
Microsoft.DocumentDB/databaseAccounts/write |
更新資料庫帳戶。 |
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action |
取得資料庫帳戶的連接字串 |
Microsoft.DocumentDB/databaseAccounts/listKeys/action |
列出資料庫帳戶的金鑰 |
Azure SQL Database
| 動作 |
描述 |
Microsoft.Sql/servers/firewallRules/read |
傳回伺服器防火牆規則的清單,或取得指定伺服器防火牆規則的屬性。 |
Microsoft.Sql/servers/firewallRules/write |
使用指定參數建立伺服器防火牆規則、更新指定規則的屬性,或使用新的伺服器防火牆規則覆寫所有現有的規則。 |
Microsoft.Sql/servers/firewallRules/delete |
刪除現有的伺服器防火牆規則。 |
Microsoft.Sql/servers/databases/read |
傳回資料庫清單,或取得指定資料庫的屬性。 |
Microsoft.Sql/servers/read |
傳回伺服器清單,或取得指定伺服器的屬性。 |
Microsoft.Sql/servers/virtualNetworkRules/read |
傳回虛擬網路規則的清單,或取得指定虛擬網路規則的屬性。 |
Microsoft.Sql/servers/virtualNetworkRules/write |
使用指定參數建立虛擬網路規則,或更新指定虛擬網路規則的屬性或標記。 |
Microsoft.Sql/servers/virtualNetworkRules/delete |
刪除現有虛擬網路規則 |
Azure Key Vault
| 動作 |
描述 |
Microsoft.KeyVault/vaults/write |
建立新的金鑰保存庫,或更新現有金鑰保存庫的屬性。 某些屬性可能需要更多權限。 |
Microsoft.KeyVault/vaults/read |
檢視 Key Vault 的屬性 |
Microsoft.KeyVault/vaults/secrets/write |
建立新的祕密,或更新現有祕密的值。 |
Microsoft.KeyVault/vaults/accessPolicies/write |
透過合併或取代以更新現有的存取原則,或將新的存取原則新增至金鑰保存庫。 |
Azure Cosmos DB
| 動作 |
描述 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read |
讀取 SQL 角色定義 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write |
建立或更新 SQL 角色定義 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete |
刪除 SQL 角色指派 |
如果以受控識別或服務主體作為驗證類型建立連線,則服務連接器可能需要向這些受控識別或服務主體授與權限。 下表列出在此案例中建立連線的權限需求。
| 動作 |
描述 |
Microsoft.Authorization/roleAssignments/read |
取得關於角色指派的資訊。 |
Microsoft.Authorization/roleAssignments/write |
建立指定範圍的角色指派。 |
Microsoft.Authorization/roleAssignments/delete |
刪除指定範圍內的角色指派。 |
使用者指派的受控識別連線
如果以使用者指派的受控識別作為驗證類型建立連線,則服務連接器可能需要向此使用者指派的受控識別授與權限。 下表列出在此案例中建立連線的權限需求。
| 動作 |
描述 |
Microsoft.ManagedIdentity/userAssignedIdentities/read |
取得現有已指派使用者的身分識別 |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
用來將現有已指派使用者的身分識別指派給資源的 RBAC 動作 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read |
取得或列出同盟身分識別認證 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write |
新增或更新同盟身分識別認證 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete |
刪除同盟身分識別認證 |
如果以私人端點或服務端點作為網路解決方案建立連線,則服務連接器可能需要向您的身分識別授與權限。 下表列出在此案例中建立連線的權限需求。
| 動作 |
描述 |
Microsoft.Network/publicIPAddresses/read |
取得公用 IP 位址定義。 |
Microsoft.Network/virtualNetworks/subnets/read |
取得虛擬網路子網路定義 |
Microsoft.Network/virtualNetworks/subnets/write |
建立虛擬網路子網路,或更新現有的虛擬網路子網路 |
Microsoft.Network/privateEndpoints/read |
取得私人端點資源。 |
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action |
將資源 (例如,儲存體帳戶或 SQL Database) 加入至子網路。 不可警示。 |
Microsoft.Network/networkSecurityGroups/join/action |
加入網路安全性群組。 不可警示。 |
Microsoft.Network/serviceEndpointPolicies/join/action |
加入服務端點原則。 不可警示。 |
Microsoft.Network/natGateways/join/action |
加入 NAT 閘道 |
Microsoft.Network/networkIntentPolicies/join/action |
加入網路意圖原則。 不可警示。 |
Microsoft.Network/networkSecurityGroups/join/action |
加入網路安全性群組。 不可警示。 |
Microsoft.Network/routeTables/join/action |
加入路由表。 不可警示。 |