Поделиться через


Встроенные роли Azure для удостоверений

В этой статье перечислены встроенные роли Azure в категории удостоверений.

Участник доменных служб

Может управлять доменными службами Azure AD и связанными конфигурациями сети

Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/read Возвращает развернутые службы или выводит их список.
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Resources/deployments/delete Удаляет развертывание.
Microsoft.Resources/deployments/cancel/action Отменяет развертывание.
Microsoft.Resources/deployments/validate/action Проверяет развертывание.
Microsoft.Resources/deployments/whatIf/action Прогнозирует изменения в развертывании шаблона.
Microsoft.Resources/deployments/exportTemplate/action Экспорт шаблона для развертывания
Microsoft.Resources/deployments/operations/read Возвращает операции развертывания или выводит их список.
Microsoft.Resources/deployments/operationstatuses/read Возвращает состояния операций развертывания или выводит их список.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft. Аналитика/AlertRules/Write Создание или изменение классического оповещения метрики.
Microsoft. Аналитика/AlertRules/Delete Удаление классического оповещения метрики.
Microsoft. Аналитика/AlertRules/Read Чтение классического оповещения метрики.
Microsoft. Аналитика/AlertRules/Activated/Action Активировано классическое оповещение метрики.
Microsoft. Аналитика/AlertRules/Resolved/Action Классическое оповещение метрики разрешено.
Microsoft. Аналитика/AlertRules/Throttled/Action Правило классического оповещения метрики отрегулировано.
Microsoft. Аналитика/AlertRules/Incidents/Read Чтение инцидента классического оповещения метрики.
Microsoft. Аналитика/Logs/Read Чтение данных из всех журналов.
Microsoft. Аналитика/метрики/чтение Считывает метрики.
Microsoft.Insights/DiagnosticSettings/* Создание, обновление или считывание параметра диагностики для сервера анализа данных.
Microsoft. Аналитика/Диагностика Параметры категории/чтение Чтение категорий параметров диагностики
Microsoft.AAD/register/action Регистрация службы домена
Microsoft.AAD/unregister/action Отмена регистрации службы домена
Microsoft.AAD/domainServices/*
Microsoft.Network/register/action Регистрирует подписку.
Microsoft.Network/unregister/action Отменяет регистрацию подписки.
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.Network/virtualNetworks/write Создает новую виртуальную сеть или обновляет существующую.
Microsoft.Network/virtualNetworks/delete Удаляет виртуальную сеть.
Microsoft.Network/virtualNetworks/peer/action Создает пиринг между виртуальными сетями.
Microsoft.Network/virtualNetworks/join/action Присоединяет виртуальную сеть. Не предусматривает отправку оповещений.
Microsoft.Network/virtualNetworks/subnets/read Возвращает определение подсети виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/write Создает новую подсеть пиринг виртуальной сети или обновляет существующую.
Microsoft.Network/virtualNetworks/subnets/delete Удаляет подсеть виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/join/action Присоединяет виртуальную сеть. Не предусматривает отправку оповещений.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read Возвращает определение пиринга виртуальной сети.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write Создает новый пиринг виртуальной сети или обновляет существующий.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete Удаляет пиринг виртуальной сети.
Microsoft.Network/virtualNetworks/providers/Microsoft.Аналитика/diagnostic Параметры/read Получение параметров диагностики виртуальной сети.
Microsoft.Network/virtualNetworks/providers/Microsoft.Аналитика/metricDefinitions/read Получает доступные метрики для PingMesh.
Microsoft.Network/azureFirewalls/read Получает службу "Брандмауэр Azure".
Microsoft.Network/ddosProtectionPlans/read Получение плана защиты от атак DDoS.
Microsoft.Network/ddosProtectionPlans/join/action Присоединение плана защиты от атак DDoS. Не предусматривает отправку оповещений.
Microsoft.Network/loadBalancers/read Возвращает определение подсистемы балансировки нагрузки.
Microsoft.Network/loadBalancers/delete Удаляет подсистему балансировки нагрузки.
Microsoft.Network/loadBalancers/*/read
Microsoft.Network/loadBalancers/backendAddressPools/join/action Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений.
Microsoft.Network/loadBalancers/inboundNatRules/join/action Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений.
Microsoft.Network/natGateways/join/action Присоединяет шлюз NAT
Microsoft.Network/networkInterfaces/read Возвращает определение сетевого интерфейса.
Microsoft.Network/networkInterfaces/write Создает новый сетевой интерфейс или обновляет существующий.
Microsoft.Network/networkInterfaces/delete Удаляет сетевой интерфейс.
Microsoft.Network/networkInterfaces/join/action Подключает виртуальную машину к сетевому интерфейсу. Не предусматривает отправку оповещений.
Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read Возвращает определение правила безопасности по умолчанию.
Microsoft.Network/networkSecurityGroups/read Возвращает определение группы безопасности сети.
Microsoft.Network/networkSecurityGroups/write Создает новую группу безопасности сети или обновляет существующую.
Microsoft.Network/networkSecurityGroups/delete Удаляет группу безопасности сети.
Microsoft.Network/networkSecurityGroups/join/action Присоединяет группу безопасности сети. Не предусматривает отправку оповещений.
Microsoft.Network/networkSecurityGroups/securityRules/read Возвращает определение правила безопасности.
Microsoft.Network/networkSecurityGroups/securityRules/write Создает новое правило безопасности или обновляет существующее.
Microsoft.Network/networkSecurityGroups/securityRules/delete Удаляет правило безопасности.
Microsoft.Network/routeTables/read Возвращает определение таблицы маршрутов.
Microsoft.Network/routeTables/write Создает новую таблицу маршрутов или обновляет существующую.
Microsoft.Network/routeTables/delete Удаляет определение таблицы маршрутов.
Microsoft.Network/routeTables/join/action Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений.
Microsoft.Network/routeTables/routeTables/route/read Возвращает определение маршрута.
Microsoft.Network/routeTables/routetables/route/write Создает новый маршрут или обновляет существующий.
Microsoft.Network/routeTables/routeTables/route/delete Удаляет определение маршрута.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can manage Azure AD Domain Services and related network configurations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/eeaeda52-9324-47f6-8069-5d5bade478b2",
  "name": "eeaeda52-9324-47f6-8069-5d5bade478b2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/read",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/deployments/delete",
        "Microsoft.Resources/deployments/cancel/action",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Resources/deployments/whatIf/action",
        "Microsoft.Resources/deployments/exportTemplate/action",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/deployments/operationstatuses/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Insights/AlertRules/Write",
        "Microsoft.Insights/AlertRules/Delete",
        "Microsoft.Insights/AlertRules/Read",
        "Microsoft.Insights/AlertRules/Activated/Action",
        "Microsoft.Insights/AlertRules/Resolved/Action",
        "Microsoft.Insights/AlertRules/Throttled/Action",
        "Microsoft.Insights/AlertRules/Incidents/Read",
        "Microsoft.Insights/Logs/Read",
        "Microsoft.Insights/Metrics/Read",
        "Microsoft.Insights/DiagnosticSettings/*",
        "Microsoft.Insights/DiagnosticSettingsCategories/Read",
        "Microsoft.AAD/register/action",
        "Microsoft.AAD/unregister/action",
        "Microsoft.AAD/domainServices/*",
        "Microsoft.Network/register/action",
        "Microsoft.Network/unregister/action",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/write",
        "Microsoft.Network/virtualNetworks/delete",
        "Microsoft.Network/virtualNetworks/peer/action",
        "Microsoft.Network/virtualNetworks/join/action",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/write",
        "Microsoft.Network/virtualNetworks/subnets/delete",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
        "Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write",
        "Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete",
        "Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
        "Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
        "Microsoft.Network/azureFirewalls/read",
        "Microsoft.Network/ddosProtectionPlans/read",
        "Microsoft.Network/ddosProtectionPlans/join/action",
        "Microsoft.Network/loadBalancers/read",
        "Microsoft.Network/loadBalancers/delete",
        "Microsoft.Network/loadBalancers/*/read",
        "Microsoft.Network/loadBalancers/backendAddressPools/join/action",
        "Microsoft.Network/loadBalancers/inboundNatRules/join/action",
        "Microsoft.Network/natGateways/join/action",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkInterfaces/write",
        "Microsoft.Network/networkInterfaces/delete",
        "Microsoft.Network/networkInterfaces/join/action",
        "Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
        "Microsoft.Network/networkSecurityGroups/read",
        "Microsoft.Network/networkSecurityGroups/write",
        "Microsoft.Network/networkSecurityGroups/delete",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/networkSecurityGroups/securityRules/read",
        "Microsoft.Network/networkSecurityGroups/securityRules/write",
        "Microsoft.Network/networkSecurityGroups/securityRules/delete",
        "Microsoft.Network/routeTables/read",
        "Microsoft.Network/routeTables/write",
        "Microsoft.Network/routeTables/delete",
        "Microsoft.Network/routeTables/join/action",
        "Microsoft.Network/routeTables/routes/read",
        "Microsoft.Network/routeTables/routes/write",
        "Microsoft.Network/routeTables/routes/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Domain Services Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель доменных служб

Может просматривать доменные службы Azure AD и связанные конфигурации сети

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/read Возвращает развернутые службы или выводит их список.
Microsoft.Resources/deployments/operations/read Возвращает операции развертывания или выводит их список.
Microsoft.Resources/deployments/operationstatuses/read Возвращает состояния операций развертывания или выводит их список.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft. Аналитика/AlertRules/Read Чтение классического оповещения метрики.
Microsoft. Аналитика/AlertRules/Incidents/Read Чтение инцидента классического оповещения метрики.
Microsoft. Аналитика/Logs/Read Чтение данных из всех журналов.
Microsoft.Insights/Metrics/read Считывает метрики.
Microsoft. Аналитика/диагностика Параметры/чтение Чтение параметра диагностики для ресурсов.
Microsoft. Аналитика/Диагностика Параметры категории/чтение Чтение категорий параметров диагностики
Microsoft.AAD/domainServices/*/read
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/read Возвращает определение подсети виртуальной сети.
Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read Возвращает определение пиринга виртуальной сети.
Microsoft.Network/virtualNetworks/providers/Microsoft.Аналитика/diagnostic Параметры/read Получение параметров диагностики виртуальной сети.
Microsoft.Network/virtualNetworks/providers/Microsoft.Аналитика/metricDefinitions/read Получает доступные метрики для PingMesh.
Microsoft.Network/azureFirewalls/read Получает службу "Брандмауэр Azure".
Microsoft.Network/ddosProtectionPlans/read Получение плана защиты от атак DDoS.
Microsoft.Network/loadBalancers/read Возвращает определение подсистемы балансировки нагрузки.
Microsoft.Network/loadBalancers/*/read
Microsoft.Network/natGateways/read Возвращает определение шлюза Nat
Microsoft.Network/networkInterfaces/read Возвращает определение сетевого интерфейса.
Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read Возвращает определение правила безопасности по умолчанию.
Microsoft.Network/networkSecurityGroups/read Возвращает определение группы безопасности сети.
Microsoft.Network/networkSecurityGroups/securityRules/read Возвращает определение правила безопасности.
Microsoft.Network/routeTables/read Возвращает определение таблицы маршрутов.
Microsoft.Network/routeTables/routeTables/route/read Возвращает определение маршрута.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can view Azure AD Domain Services and related network configurations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/361898ef-9ed1-48c2-849c-a832951106bb",
  "name": "361898ef-9ed1-48c2-849c-a832951106bb",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/read",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/deployments/operationstatuses/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Insights/AlertRules/Read",
        "Microsoft.Insights/AlertRules/Incidents/Read",
        "Microsoft.Insights/Logs/Read",
        "Microsoft.Insights/Metrics/read",
        "Microsoft.Insights/DiagnosticSettings/read",
        "Microsoft.Insights/DiagnosticSettingsCategories/Read",
        "Microsoft.AAD/domainServices/*/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
        "Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
        "Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
        "Microsoft.Network/azureFirewalls/read",
        "Microsoft.Network/ddosProtectionPlans/read",
        "Microsoft.Network/loadBalancers/read",
        "Microsoft.Network/loadBalancers/*/read",
        "Microsoft.Network/natGateways/read",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
        "Microsoft.Network/networkSecurityGroups/read",
        "Microsoft.Network/networkSecurityGroups/securityRules/read",
        "Microsoft.Network/routeTables/read",
        "Microsoft.Network/routeTables/routes/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Domain Services Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник управляемого удостоверения

Создание, чтение, обновление и удаление пользовательских удостоверений.

Подробнее

Действия Description
Microsoft.ManagedIdentity/userAssignedIdentities/read Получение существующего пользовательского удостоверения.
Microsoft.ManagedIdentity/userAssignedIdentities/write Создание существующего пользовательского удостоверения или обновление связанных с ним тегов.
Microsoft.ManagedIdentity/userAssignedIdentities/delete Удаление существующего пользовательского удостоверения.
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Получение или перечисление учетных данных федеративного удостоверения
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Добавление или обновление федеративных учетных данных удостоверения
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Удаление учетных данных федеративного удостоверения
Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action Отзыв всех существующих маркеров на назначенном пользователем удостоверении
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, Read, Update, and Delete User Assigned Identity",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
  "name": "e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
  "permissions": [
    {
      "actions": [
        "Microsoft.ManagedIdentity/userAssignedIdentities/read",
        "Microsoft.ManagedIdentity/userAssignedIdentities/write",
        "Microsoft.ManagedIdentity/userAssignedIdentities/delete",
        "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
        "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
        "Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete",
        "Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed Identity Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор управляемого удостоверения

Чтение и назначение пользовательских удостоверений.

Подробнее

Действия Description
Microsoft.ManagedIdentity/userAssignedIdentities/*/read
Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read and Assign User Assigned Identity",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f1a07417-d97a-45cb-824c-7a7467783830",
  "name": "f1a07417-d97a-45cb-824c-7a7467783830",
  "permissions": [
    {
      "actions": [
        "Microsoft.ManagedIdentity/userAssignedIdentities/*/read",
        "Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed Identity Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Следующие шаги