Встроенные роли Azure для удостоверений
В этой статье перечислены встроенные роли Azure в категории удостоверений.
Участник доменных служб
Может управлять доменными службами Azure AD и связанными конфигурациями сети
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/read | Возвращает развернутые службы или выводит их список. |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/deployments/delete | Удаляет развертывание. |
| Microsoft.Resources/deployments/cancel/action | Отменяет развертывание. |
| Microsoft.Resources/deployments/validate/action | Проверяет развертывание. |
| Microsoft.Resources/deployments/whatIf/action | Прогнозирует изменения в развертывании шаблона. |
| Microsoft.Resources/deployments/exportTemplate/action | Экспорт шаблона для развертывания |
| Microsoft.Resources/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Microsoft.Resources/deployments/operationstatuses/read | Возвращает состояния операций развертывания или выводит их список. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Аналитика/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Microsoft. Аналитика/AlertRules/Delete | Удаление классического оповещения метрики. |
| Microsoft. Аналитика/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft. Аналитика/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Microsoft. Аналитика/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Microsoft. Аналитика/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Microsoft. Аналитика/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| Microsoft. Аналитика/Logs/Read | Чтение данных из всех журналов. |
| Microsoft. Аналитика/метрики/чтение | Считывает метрики. |
| Microsoft.Insights/DiagnosticSettings/* | Создание, обновление или считывание параметра диагностики для сервера анализа данных. |
| Microsoft. Аналитика/Диагностика Параметры категории/чтение | Чтение категорий параметров диагностики |
| Microsoft.AAD/register/action | Регистрация службы домена |
| Microsoft.AAD/unregister/action | Отмена регистрации службы домена |
| Microsoft.AAD/domainServices/* | |
| Microsoft.Network/register/action | Регистрирует подписку. |
| Microsoft.Network/unregister/action | Отменяет регистрацию подписки. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/write | Создает новую виртуальную сеть или обновляет существующую. |
| Microsoft.Network/virtualNetworks/delete | Удаляет виртуальную сеть. |
| Microsoft.Network/virtualNetworks/peer/action | Создает пиринг между виртуальными сетями. |
| Microsoft.Network/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Network/virtualNetworks/subnets/delete | Удаляет подсеть виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Возвращает определение пиринга виртуальной сети. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write | Создает новый пиринг виртуальной сети или обновляет существующий. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete | Удаляет пиринг виртуальной сети. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Аналитика/diagnostic Параметры/read | Получение параметров диагностики виртуальной сети. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Аналитика/metricDefinitions/read | Получает доступные метрики для PingMesh. |
| Microsoft.Network/azureFirewalls/read | Получает службу "Брандмауэр Azure". |
| Microsoft.Network/ddosProtectionPlans/read | Получение плана защиты от атак DDoS. |
| Microsoft.Network/ddosProtectionPlans/join/action | Присоединение плана защиты от атак DDoS. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/loadBalancers/delete | Удаляет подсистему балансировки нагрузки. |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/natGateways/join/action | Присоединяет шлюз NAT |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft.Network/networkInterfaces/delete | Удаляет сетевой интерфейс. |
| Microsoft.Network/networkInterfaces/join/action | Подключает виртуальную машину к сетевому интерфейсу. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | Возвращает определение правила безопасности по умолчанию. |
| Microsoft.Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft.Network/networkSecurityGroups/write | Создает новую группу безопасности сети или обновляет существующую. |
| Microsoft.Network/networkSecurityGroups/delete | Удаляет группу безопасности сети. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/securityRules/read | Возвращает определение правила безопасности. |
| Microsoft.Network/networkSecurityGroups/securityRules/write | Создает новое правило безопасности или обновляет существующее. |
| Microsoft.Network/networkSecurityGroups/securityRules/delete | Удаляет правило безопасности. |
| Microsoft.Network/routeTables/read | Возвращает определение таблицы маршрутов. |
| Microsoft.Network/routeTables/write | Создает новую таблицу маршрутов или обновляет существующую. |
| Microsoft.Network/routeTables/delete | Удаляет определение таблицы маршрутов. |
| Microsoft.Network/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft.Network/routeTables/routeTables/route/read | Возвращает определение маршрута. |
| Microsoft.Network/routeTables/routetables/route/write | Создает новый маршрут или обновляет существующий. |
| Microsoft.Network/routeTables/routeTables/route/delete | Удаляет определение маршрута. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can manage Azure AD Domain Services and related network configurations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/eeaeda52-9324-47f6-8069-5d5bade478b2",
"name": "eeaeda52-9324-47f6-8069-5d5bade478b2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/Read",
"Microsoft.Insights/DiagnosticSettings/*",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/register/action",
"Microsoft.AAD/unregister/action",
"Microsoft.AAD/domainServices/*",
"Microsoft.Network/register/action",
"Microsoft.Network/unregister/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/peer/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/write",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/delete",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/ddosProtectionPlans/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/delete",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/networkSecurityGroups/securityRules/write",
"Microsoft.Network/networkSecurityGroups/securityRules/delete",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/write",
"Microsoft.Network/routeTables/delete",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/routeTables/routes/read",
"Microsoft.Network/routeTables/routes/write",
"Microsoft.Network/routeTables/routes/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель доменных служб
Может просматривать доменные службы Azure AD и связанные конфигурации сети
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/read | Возвращает развернутые службы или выводит их список. |
| Microsoft.Resources/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Microsoft.Resources/deployments/operationstatuses/read | Возвращает состояния операций развертывания или выводит их список. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Аналитика/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft. Аналитика/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| Microsoft. Аналитика/Logs/Read | Чтение данных из всех журналов. |
| Microsoft.Insights/Metrics/read | Считывает метрики. |
| Microsoft. Аналитика/диагностика Параметры/чтение | Чтение параметра диагностики для ресурсов. |
| Microsoft. Аналитика/Диагностика Параметры категории/чтение | Чтение категорий параметров диагностики |
| Microsoft.AAD/domainServices/*/read | |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read | Возвращает определение пиринга виртуальной сети. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Аналитика/diagnostic Параметры/read | Получение параметров диагностики виртуальной сети. |
| Microsoft.Network/virtualNetworks/providers/Microsoft.Аналитика/metricDefinitions/read | Получает доступные метрики для PingMesh. |
| Microsoft.Network/azureFirewalls/read | Получает службу "Брандмауэр Azure". |
| Microsoft.Network/ddosProtectionPlans/read | Получение плана защиты от атак DDoS. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/loadBalancers/*/read | |
| Microsoft.Network/natGateways/read | Возвращает определение шлюза Nat |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read | Возвращает определение правила безопасности по умолчанию. |
| Microsoft.Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft.Network/networkSecurityGroups/securityRules/read | Возвращает определение правила безопасности. |
| Microsoft.Network/routeTables/read | Возвращает определение таблицы маршрутов. |
| Microsoft.Network/routeTables/routeTables/route/read | Возвращает определение маршрута. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can view Azure AD Domain Services and related network configurations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/361898ef-9ed1-48c2-849c-a832951106bb",
"name": "361898ef-9ed1-48c2-849c-a832951106bb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.Insights/Logs/Read",
"Microsoft.Insights/Metrics/read",
"Microsoft.Insights/DiagnosticSettings/read",
"Microsoft.Insights/DiagnosticSettingsCategories/Read",
"Microsoft.AAD/domainServices/*/read",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/virtualNetworkPeerings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.Network/virtualNetworks/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Network/azureFirewalls/read",
"Microsoft.Network/ddosProtectionPlans/read",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/*/read",
"Microsoft.Network/natGateways/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkSecurityGroups/defaultSecurityRules/read",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/securityRules/read",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/routeTables/routes/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Domain Services Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого удостоверения
Создание, чтение, обновление и удаление пользовательских удостоверений.
| Действия | Description |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Получение существующего пользовательского удостоверения. |
| Microsoft.ManagedIdentity/userAssignedIdentities/write | Создание существующего пользовательского удостоверения или обновление связанных с ним тегов. |
| Microsoft.ManagedIdentity/userAssignedIdentities/delete | Удаление существующего пользовательского удостоверения. |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Получение или перечисление учетных данных федеративного удостоверения |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Добавление или обновление федеративных учетных данных удостоверения |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Удаление учетных данных федеративного удостоверения |
| Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action | Отзыв всех существующих маркеров на назначенном пользователем удостоверении |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete User Assigned Identity",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"name": "e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete",
"Microsoft.ManagedIdentity/userAssignedIdentities/revokeTokens/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор управляемого удостоверения
Чтение и назначение пользовательских удостоверений.
| Действия | Description |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/read | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read and Assign User Assigned Identity",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f1a07417-d97a-45cb-824c-7a7467783830",
"name": "f1a07417-d97a-45cb-824c-7a7467783830",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/*/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed Identity Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}