Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены встроенные роли Azure в категории миграции.
Эксперт по принятию решений и планированию миграции Azure
Предоставляет ограниченный доступ к проекту "Миграция Azure" только для выполнения операций планирования, включая обнаружение на основе устройств, управление инвентаризацией, определение зависимостей сервера, создание бизнес-случаев и отчетов об оценке.
| Действия | Description |
|---|---|
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/locations/read | Возвращает список поддерживаемых расположений. |
| Microsoft.Resources/checkResourceName/action | Проверьте имя ресурса для допустимости. |
| Microsoft.Resources/deploymentScripts/write | Создает или обновляет скрипт развертывания |
| Microsoft.Resources/deploymentScripts/read | Возвращает или перечисляет скрипты развертывания |
| Microsoft.Resources/links/write | Создает или обновляет ссылку на ресурс. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Authorization/locks/write | Добавляет блокировки в указанной области. |
| Microsoft.Authorization/locks/delete | Удаляет блокировки в указанной области. |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Migrate/* | |
| Microsoft.ApplicationMigration/* | |
| Microsoft.OffAzure/* | |
| Microsoft.MySQLDiscovery/* | |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.DependencyMap/* | |
| Microsoft.KeyVault/vaults/* | |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя хранилища ключей допустимым и не используется |
| Microsoft.HybridCompute/machines/read | Чтение всех компьютеров ARC в Azure |
| Microsoft.HybridCompute/machines/write | Запись компьютеров ARC в Azure |
| Microsoft.HybridCompute/machines/delete | Удаление компьютеров ARC в Azure |
| Microsoft.HybridCompute/register/action | Регистрирует подписку для поставщика ресурсов Microsoft.HybridCompute |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Network/виртуальныеСети/подсети/соединение/действие | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/privateEndpoints/read | Возвращает ресурс частной конечной точки. |
| Microsoft.Network/privateEndpoints/write | Создает частную конечную точку или обновляет существующую. |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | Размещает группу частных зон DNS |
| Microsoft.Network/privateDnsZones/write | Создает или обновляет Частную зону DNS в группе ресурсов. Обратите внимание, что эту команду невозможно использовать для создания или обновления связей виртуальных сетей или наборов записей в зоне. |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | Создает или обновляет ссылку Частной зоны DNS на виртуальную сеть. |
| Microsoft.Network/privateDnsZones/join/action | Присоединение к Частной зоне DNS. |
| Microsoft.Network/privateDnsZones/A/write | Создает или обновляет набор записей типа A в Частной зоне DNS. Указанные записи заменят текущие записи в наборе записей. |
| Microsoft.Network/register/action | Регистрирует подписку. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | Возвращает группу частных зон DNS |
| Microsoft.Storage/storageAccounts/*/read | |
| Microsoft.Storage/storageAccounts/*/write | |
| Microsoft.Storage/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.GuestConfiguration/register/action | Регистрирует подписку для поставщика ресурсов Microsoft.GuestConfiguration. |
| Microsoft.HybridConnectivity/register/action | Регистрация подписки для Microsoft.HybridConnectivity |
| Microsoft.DataReplication/*/read | |
| Microsoft.DataReplication/register/action | Регистрирует подписку для поставщика ресурсов Microsoft.DataReplication |
| Microsoft.DataReplication/replicationVaults/write | Обновляет любое хранилище |
| Microsoft.RecoveryServices/vaults/* | |
| Microsoft.RecoveryServices/register/action | Регистрирует подписку для данного поставщика ресурсов |
| Microsoft.KeyVault/register/action | Регистрирует подписку |
| Microsoft.AzureArcData/register/action | Регистрация подписки для Microsoft.AzureArcData |
| Microsoft.Resources/links/read | Возвращает или перечисляет ссылки на ресурсы. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants restricted access on Azure Migrate project to only perform planning operations including appliance-based discovery, managing inventory, identifying server dependencies, creation of business case & assessment reports.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7859c0b0-0bb9-4994-bd12-cd529af7d646",
"name": "7859c0b0-0bb9-4994-bd12-cd529af7d646",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Resources/checkResourceName/action",
"Microsoft.Resources/deploymentScripts/write",
"Microsoft.Resources/deploymentScripts/read",
"Microsoft.Resources/links/write",
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete",
"Microsoft.Insights/alertRules/*",
"Microsoft.Migrate/*",
"Microsoft.ApplicationMigration/*",
"Microsoft.OffAzure/*",
"Microsoft.MySQLDiscovery/*",
"Microsoft.Support/*",
"Microsoft.DependencyMap/*",
"Microsoft.KeyVault/vaults/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.HybridCompute/machines/read",
"Microsoft.HybridCompute/machines/write",
"Microsoft.HybridCompute/machines/delete",
"Microsoft.HybridCompute/register/action",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/register/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Storage/storageAccounts/*/read",
"Microsoft.Storage/storageAccounts/*/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.GuestConfiguration/register/action",
"Microsoft.HybridConnectivity/register/action",
"Microsoft.DataReplication/*/read",
"Microsoft.DataReplication/register/action",
"Microsoft.DataReplication/replicationVaults/write",
"Microsoft.RecoveryServices/vaults/*",
"Microsoft.RecoveryServices/register/action",
"Microsoft.KeyVault/register/action",
"Microsoft.AzureArcData/register/action",
"Microsoft.Resources/links/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Migrate Decide and Plan Expert",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Эксперт по реализации миграции Azure
Предоставляет ограниченный доступ к проекту службы "Миграция Azure" только для выполнения операций, связанных с миграцией, включая репликацию, выполнение тестовой миграции, отслеживание и мониторинг хода миграции, а также запуск миграции без агента и на основе агента.
Включает условие ABAC для ограничения назначений ролей.
| Действия | Description |
|---|---|
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/write | Создает или обновляет группу ресурсов. |
| Microsoft.Resources/subscriptions/locations/read | Возвращает список поддерживаемых расположений. |
| Microsoft.Resources/checkResourceName/action | Проверьте имя ресурса для допустимости. |
| Microsoft.Resources/deploymentScripts/write | Создает или обновляет скрипт развертывания |
| Microsoft.Resources/deploymentScripts/read | Возвращает или перечисляет скрипты развертывания |
| Microsoft.Resources/links/write | Создает или обновляет ссылку на ресурс. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Authorization/locks/write | Добавляет блокировки в указанной области. |
| Microsoft.Authorization/locks/delete | Удаляет блокировки в указанной области. |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Migrate/*/read | |
| Microsoft.ApplicationMigration/*/read | |
| Microsoft.OffAzure/*/read | |
| Microsoft.MySQLDiscovery/*/read | |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft.Network/networkInterfaces/delete | Удаляет сетевой интерфейс. |
| Microsoft.Network/virtualNetworks/read | Получите определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Storage/storageAccounts/*/read | |
| Microsoft.Storage/storageAccounts/*/write | |
| Microsoft.Storage/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Compute/register/action | Регистрирует подписку в поставщике ресурсов Microsoft.Compute. |
| Microsoft.Compute/availabilitySets/read | Возвращает свойства группы доступности. |
| Microsoft.Compute/availabilitySets/vmSizes/read | Выводит список доступных размеров для создания или обновления виртуальной машины в группе доступности. |
| Microsoft.Compute/diskEncryptionSets/read | Получение свойств набора шифрования дисков |
| Microsoft.Compute/skus/read | Получение списка номеров SKU Microsoft.Compute для вашей подписки. |
| Microsoft.Compute/disks/read | Возвращает свойства диска. |
| Microsoft.Compute/disks/write | Создает новый диск или обновляет существующий. |
| Microsoft.Compute/диски/удалить | Удаляет диск. |
| Microsoft.Compute/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft.Compute/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Microsoft.Compute/виртуальныеМашины/удалить | Удаляет виртуальную машину. |
| Microsoft.RecoveryServices/vaults/* | |
| Microsoft.RecoveryServices/register/action | Регистрирует подписку для данного поставщика ресурсов |
| Microsoft.RecoveryServices/operations/read | Получение списка операций для поставщика ресурсов. |
| Microsoft.Resources/links/read | Возвращает или перечисляет ссылки на ресурсы. |
| Microsoft.DependencyMap/*/read | |
| Microsoft.DependencyMap/maps/*/action | |
| NotActions | |
| Microsoft.OffAzure/hypervSites/machines/inventoryinsights/pendingupdates/* | |
| Microsoft.OffAzure/hypervSites/machines/inventoryinsights/уязвимости/* | |
| Microsoft.OffAzure/serverSites/machines/inventoryinsights/pendingupdates/* | |
| Microsoft.OffAzure/serverSites/machines/inventoryinsights/уязвимости/* | |
| Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/уязвимости/* | |
| Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/pendingupdates/* | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none | |
| Действия | |
| Microsoft.Authorization/roleAssignments/write (запись назначения ролей) | Создайте назначение роли в указанной области. |
| Microsoft.Authorization/назначенияРолей/удалить | Удалите назначение роли в указанной области. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none | |
| Условие | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{17d1049b-9a84-46fb-8f53-86981c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe}) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe})) | Добавьте или удалите назначения ролей для следующих ролей: Участник аккаунта хранилища Вкладчик данных хранилища BLOB |
{
"assignableScopes": [
"/"
],
"description": "Grants restricted access on an Azure Migrate project to only perform migration related operations, including replication, execution of test migrations, tracking and monitoring of migration progress, and initiation of agentless and agent-based migrations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1cfa4eac-9a23-481c-a793-bfb6958e836b",
"name": "1cfa4eac-9a23-481c-a793-bfb6958e836b",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Resources/checkResourceName/action",
"Microsoft.Resources/deploymentScripts/write",
"Microsoft.Resources/deploymentScripts/read",
"Microsoft.Resources/links/write",
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete",
"Microsoft.Insights/alertRules/*",
"Microsoft.Migrate/*/read",
"Microsoft.ApplicationMigration/*/read",
"Microsoft.OffAzure/*/read",
"Microsoft.MySQLDiscovery/*/read",
"Microsoft.Support/*",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Storage/storageAccounts/*/read",
"Microsoft.Storage/storageAccounts/*/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Compute/register/action",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/vmSizes/read",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.RecoveryServices/vaults/*",
"Microsoft.RecoveryServices/register/action",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.Resources/links/read",
"Microsoft.DependencyMap/*/read",
"Microsoft.DependencyMap/maps/*/action"
],
"notActions": [
"Microsoft.OffAzure/hypervSites/machines/inventoryinsights/pendingupdates/*",
"Microsoft.OffAzure/hypervSites/machines/inventoryinsights/vulnerabilities/*",
"Microsoft.OffAzure/serverSites/machines/inventoryinsights/pendingupdates/*",
"Microsoft.OffAzure/serverSites/machines/inventoryinsights/vulnerabilities/*",
"Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/vulnerabilities/*",
"Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/pendingupdates/*"
],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe}))"
}
],
"roleName": "Azure Migrate Execute Expert",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец Azure Migrate
Предоставляет полный доступ к созданию проектов службы "Миграция Azure" и управлению ими, включая обнаружение на основе устройств, создание бизнес-дела и отчет об оценке и выполнение миграций; Также предоставляет возможность назначать определенные роли службы "Миграция Azure" в Azure RBAC.
Включает условие ABAC для ограничения назначений ролей.
| Действия | Description |
|---|---|
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/write | Создает или обновляет группу ресурсов. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/locations/read | Возвращает список поддерживаемых расположений. |
| Microsoft.Resources/checkResourceName/action | Проверьте имя ресурса для допустимости. |
| Microsoft.Resources/deploymentScripts/write | Создает или обновляет скрипт развертывания |
| Microsoft.Resources/deploymentScripts/read | Возвращает или перечисляет скрипты развертывания |
| Microsoft.Resources/links/write | Создает или обновляет ссылку на ресурс. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Authorization/locks/write | Добавляет блокировки в указанной области. |
| Microsoft.Authorization/locks/delete | Удаляет блокировки в указанной области. |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Migrate/* | |
| Microsoft.ApplicationMigration/* | |
| Microsoft.OffAzure/* | |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.MySQLDiscovery/* | |
| Microsoft.DependencyMap/* | |
| Microsoft.KeyVault/vaults/* | |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя хранилища ключей допустимым и не используется |
| Microsoft.HybridCompute/machines/read | Чтение всех компьютеров ARC в Azure |
| Microsoft.HybridCompute/machines/write | Запись компьютеров ARC в Azure |
| Microsoft.HybridCompute/machines/delete | Удаление компьютеров ARC в Azure |
| Microsoft.HybridCompute/register/action | Регистрирует подписку для поставщика ресурсов Microsoft.HybridCompute |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft.Network/networkInterfaces/delete | Удаляет сетевой интерфейс. |
| Microsoft.Network/virtualNetworks/read | Получите определение виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Network/виртуальныеСети/подсети/соединение/действие | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/privateEndpoints/read | Возвращает ресурс частной конечной точки. |
| Microsoft.Network/privateEndpoints/write | Создает частную конечную точку или обновляет существующую. |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | Размещает группу частных зон DNS |
| Microsoft.Network/privateDnsZones/write | Создает или обновляет Частную зону DNS в группе ресурсов. Обратите внимание, что эту команду невозможно использовать для создания или обновления связей виртуальных сетей или наборов записей в зоне. |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | Создает или обновляет ссылку Частной зоны DNS на виртуальную сеть. |
| Microsoft.Network/privateDnsZones/join/action | Присоединение к Частной зоне DNS. |
| Microsoft.Network/privateDnsZones/A/write | Создает или обновляет набор записей типа A в Частной зоне DNS. Указанные записи заменят текущие записи в наборе записей. |
| Microsoft.Network/register/action | Регистрирует подписку. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | Возвращает группу частных зон DNS |
| Microsoft.Storage/storageAccounts/* | Создание учетных записей хранения и управление ими |
| Microsoft.GuestConfiguration/register/action | Регистрирует подписку для поставщика ресурсов Microsoft.GuestConfiguration. |
| Microsoft.Compute/register/action | Регистрирует подписку в поставщике ресурсов Microsoft.Compute. |
| Microsoft.Compute/availabilitySets/read | Возвращает свойства группы доступности. |
| Microsoft.Compute/availabilitySets/vmSizes/read | Выводит список доступных размеров для создания или обновления виртуальной машины в группе доступности. |
| Microsoft.Compute/diskEncryptionSets/read | Получение свойств набора шифрования дисков |
| Microsoft.Compute/skus/read | Получение списка номеров SKU Microsoft.Compute для вашей подписки. |
| Microsoft.Compute/disks/read | Возвращает свойства диска. |
| Microsoft.Compute/disks/write | Создает новый диск или обновляет существующий. |
| Microsoft.Compute/диски/удалить | Удаляет диск. |
| Microsoft.Compute/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft.Compute/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Microsoft.Compute/виртуальныеМашины/удалить | Удаляет виртуальную машину. |
| Microsoft.HybridConnectivity/register/action | Регистрация подписки для Microsoft.HybridConnectivity |
| Microsoft.RecoveryServices/vaults/* | |
| Microsoft.RecoveryServices/register/action | Регистрирует подписку для данного поставщика ресурсов |
| Microsoft.RecoveryServices/operations/read | Получение списка операций для поставщика ресурсов. |
| Microsoft.DataReplication/*/read | |
| Microsoft.DataReplication/register/action | Регистрирует подписку для поставщика ресурсов Microsoft.DataReplication |
| Microsoft.DataReplication/replicationVaults/write | Обновляет любое хранилище |
| Microsoft.KeyVault/register/action | Регистрирует подписку |
| Microsoft.AzureArcData/register/action | Регистрация подписки для Microsoft.AzureArcData |
| Microsoft.Resources/links/read | Возвращает или перечисляет ссылки на ресурсы. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none | |
| Действия | |
| Microsoft.Authorization/roleAssignments/write (запись назначения ролей) | Создайте назначение роли в указанной области. |
| Microsoft.Authorization/назначенияРолей/удалить | Удалите назначение роли в указанной области. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none | |
| Условие | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{7859c0b0-0bb9-4994-bd12-cd529af7d646, 1cfa4eac-9a23-481c-a793-bfb6958e836b, 17d1049b-9a84-46fb-8f53-86981c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe, ba480ccd-6499-4709-b581-8f38bb215c63}) AND (!( (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{7859c0b0-0bb9-4994-bd12-cd529af7d646, 1cfa4eac-9a23-481c-a793-bfb6958e836b, 17d1049b-9a84-46fb-8f53-86981c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe, ba480ccd-6499-4709-b581-8f38bb215c63})) | Добавьте или удалите назначения ролей для следующих ролей: Эксперт по принятию решений и планированию миграции Azure Эксперт по реализации миграции Azure Участник аккаунта хранилища Вкладчик данных хранилища BLOB Средство чтения службы "Миграция Azure" |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to create and manage Azure Migrate projects including appliance-based discovery, creation of business case & assessment report and execution of migrations; Also grants ability to assign Azure Migrate specific roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd8ea4d5-6509-4db0-bada-356ab233b4fa",
"name": "fd8ea4d5-6509-4db0-bada-356ab233b4fa",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Resources/checkResourceName/action",
"Microsoft.Resources/deploymentScripts/write",
"Microsoft.Resources/deploymentScripts/read",
"Microsoft.Resources/links/write",
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete",
"Microsoft.Insights/alertRules/*",
"Microsoft.Migrate/*",
"Microsoft.ApplicationMigration/*",
"Microsoft.OffAzure/*",
"Microsoft.Support/*",
"Microsoft.MySQLDiscovery/*",
"Microsoft.DependencyMap/*",
"Microsoft.KeyVault/vaults/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.HybridCompute/machines/read",
"Microsoft.HybridCompute/machines/write",
"Microsoft.HybridCompute/machines/delete",
"Microsoft.HybridCompute/register/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/register/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.GuestConfiguration/register/action",
"Microsoft.Compute/register/action",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/vmSizes/read",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.HybridConnectivity/register/action",
"Microsoft.RecoveryServices/vaults/*",
"Microsoft.RecoveryServices/register/action",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.DataReplication/*/read",
"Microsoft.DataReplication/register/action",
"Microsoft.DataReplication/replicationVaults/write",
"Microsoft.KeyVault/register/action",
"Microsoft.AzureArcData/register/action",
"Microsoft.Resources/links/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{7859c0b0-0bb9-4994-bd12-cd529af7d646, 1cfa4eac-9a23-481c-a793-bfb6958e836b, 17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe, ba480ccd-6499-4709-b581-8f38bb215c63})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{7859c0b0-0bb9-4994-bd12-cd529af7d646, 1cfa4eac-9a23-481c-a793-bfb6958e836b, 17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe, ba480ccd-6499-4709-b581-8f38bb215c63}))"
}
],
"roleName": "Azure Migrate Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения службы "Миграция Azure"
Предоставляет необходимый доступ к управляемому удостоверению, назначенному системой, ресурсу проекта службы "Миграция Azure".
| Действия | Description |
|---|---|
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.ApplicationMigration/*/read | |
| Microsoft.Migrate/*/read | |
| Microsoft.OffAzure/*/read | |
| Microsoft.MySQLDiscovery/*/read | |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectableItems/read | Чтение любых защищенных элементов |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/read | Чтение защищенных элементов |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems/read | Чтение любых элементов миграции |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants required access to the system assigned managed identity of Azure Migrate project resource.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ba480ccd-6499-4709-b581-8f38bb215c63",
"name": "ba480ccd-6499-4709-b581-8f38bb215c63",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.ApplicationMigration/*/read",
"Microsoft.Migrate/*/read",
"Microsoft.OffAzure/*/read",
"Microsoft.MySQLDiscovery/*/read",
"Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectableItems/read",
"Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/read",
"Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Migrate Service Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Миграция средства чтения обнаружения Arc — предварительная версия
Чтение метаданных ресурсов сервера с поддержкой Azure Arc и метаданных, производительности и миграции ресурсов SQL Server с поддержкой Arc. Пользователям, создающим проект службы "Миграция Azure", использующего обнаружение ресурсов Arc, требуется эта роль в области Arc проекта. Чтобы включить периодическую синхронизацию, управляемое удостоверением проекта "Миграция Azure" необходимо назначить эту роль. Эта роль находится на этапе предварительной версии и может быть изменена.
| Действия | Description |
|---|---|
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.AzureArcData/sqlServerInstances/read | Получение ресурса экземпляра SQL Server |
| Microsoft.AzureArcData/sqlServerInstances/database/read | чтение баз данных |
| Microsoft.AzureArcData/sqlServerInstances/availabilityGroups/read | службы доступности read |
| Microsoft.AzureArcData/sqlServerInstances/getTelemetry/action | Получение данных телеметрии экземпляра SQL Server |
| Microsoft.AzureArcData/sqlServerInstances/availabilityGroups/getDetailView/action | Извлекает подробные свойства группы доступности. |
| Microsoft.HybridCompute/machines/read | Чтение всех компьютеров ARC в Azure |
| Microsoft.HybridCompute/machines/extensions/read | Считывает расширения Azure Arc |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of Azure Arc enabled server resources and metadata, performance and migration suitability of Arc enabled SQL server resources. Users creating Azure Migrate project that uses Arc resource discovery require this role on Arc scope of the project. To enable periodic sync, Azure Migrate project managed identity must be assigned this role. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d5dddae-e124-4753-972d-aae60b37deb4",
"name": "5d5dddae-e124-4753-972d-aae60b37deb4",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.AzureArcData/sqlServerInstances/read",
"Microsoft.AzureArcData/sqlServerInstances/databases/read",
"Microsoft.AzureArcData/sqlServerInstances/availabilityGroups/read",
"Microsoft.AzureArcData/sqlServerInstances/getTelemetry/action",
"Microsoft.AzureArcData/sqlServerInstances/availabilityGroups/getDetailView/action",
"Microsoft.HybridCompute/machines/read",
"Microsoft.HybridCompute/machines/extensions/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Migrate Arc Discovery Reader - Preview",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}