Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены встроенные роли Azure в категории "Привилегированные".
Участник
Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC), управлять назначениями в Azure Blueprints или предоставлять общий доступ к галереям изображений.
| Действия | Описание |
|---|---|
| * | Создание ресурсов всех типов и управление ими |
| NotActions | |
| Microsoft.Authorization/*/Удалить | Удаление ролей, назначение политик, определение политик и определение наборов политик |
| Microsoft.Authorization/*/Запись | Создание ролей, назначение ролей, назначение политик, определение политик и определение наборов политик |
| Microsoft.Authorization/elevateAccess/Action | Предоставляет вызывающему доступ с правами администратора для области действия клиента. |
| Microsoft.Blueprint/blueprintAssignments/write | Создание или изменение любых назначений схемы |
| Microsoft.Blueprint/blueprintНазначения/удалить | Удаление любых назначений схемы |
| Microsoft.Compute/галереи/общий доступ/действие | Предоставляет общий доступ к коллекции для разных областей. |
| Microsoft.Purview/согласия/запись | Создание или обновление ресурса согласия. |
| Microsoft.Purview/согласия/удаление | Удалите ресурс согласия. |
| Microsoft.Resources/deploymentStacks/manageDenySetting/action | Управление свойством DenySettings в стеке развертывания. |
| Microsoft.Подписка/отмена/действие | Отменяет подписку |
| Microsoft.Подписка/включение/действие | Повторно активирует подписку |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action",
"Microsoft.Subscription/cancel/action",
"Microsoft.Subscription/enable/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ответственный
Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC.
| Действия | Описание |
|---|---|
| * | Создание ресурсов всех типов и управление ими |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор синхронизации файлов Azure
Эта роль предоставляет полный доступ для управления всеми ресурсами службы синхронизации файлов Azure (служба синхронизации хранилища), включая возможность назначения ролей в Azure RBAC.
При назначении роли администратора синхронизации файлов Azure выполните следующие действия, чтобы обеспечить минимальные привилегии.
На вкладке "Условия" выберите разрешить пользователям назначать выбранные роли только выбранным субъектам (меньше привилегий).
Щелкните "Выбрать роли и субъекты" , а затем выберите "Добавить действие " в разделе "Условие 1".
Выберите "Создать назначение роли" и нажмите кнопку "Выбрать".
Выберите "Добавить выражение" и выберите "Запрос".
В разделе "Источник атрибута" выберите идентификатор определения роли в разделе "Атрибут", а затем выберите ForAnyOfAnyValues:GuidEquals в разделе "Оператор".
Выберите "Добавить роли". Добавьте читателя и доступ к данным, участник привилегированных файлов хранилища и роли участника учетной записи хранения , а затем нажмите кнопку "Сохранить".
| Действия | Описание |
|---|---|
| Microsoft.StorageSync/register/action | Регистрирует сервер в службе синхронизации хранилища |
| Microsoft.StorageSync/unregister/action | Отменяет регистрацию сервера в службе синхронизации хранилища |
| Microsoft.StorageSync/locations/* | |
| Microsoft.StorageSync/deployments/preflight/action | |
| Microsoft.StorageSync/storageSyncServices/* | |
| Microsoft.StorageSync/operations/read | Возвращает состояние операций синхронизации хранилища |
| Microsoft.Insights/AlertRules/* | Создание классического оповещения метрик и управление ими |
| Microsoft.Resources/deployments/* | Создание развертывания и управление ими |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает или перечисляет группы ресурсов |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Authorization/roleAssignments/write (запись назначения ролей) | Создание и обновление назначений ролей |
| Microsoft.Authorization/roleAssignments/read | Чтение назначений ролей |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или получает свойства для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/fileServices/read | Перечисление файловой службы |
| Microsoft.Storage/storageAccounts/fileServices/shares/read | Получение общей папки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "This role provides full access to manage all Azure File Sync (Storage Sync Service) resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/92b92042-07d9-4307-87f7-36a593fc5850",
"name": "92b92042-07d9-4307-87f7-36a593fc5850",
"permissions": [
{
"actions": [
"Microsoft.StorageSync/register/action",
"Microsoft.StorageSync/unregister/action",
"Microsoft.StorageSync/locations/*",
"Microsoft.StorageSync/deployments/preflight/action",
"Microsoft.StorageSync/storageSyncServices/*",
"Microsoft.StorageSync/operations/read",
"Microsoft.Insights/AlertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure File Sync Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор резервирования
Позволяет считывать и управлять всеми резервированиями в клиенте
| Действия | Описание |
|---|---|
| Microsoft.Capacity/*/чтение | |
| Microsoft.Capacity/*/action | |
| Microsoft.Capacity/*/write | |
| Microsoft.Authorization/roleAssignments/read | Возвращает сведения о назначении роли. |
| Microsoft.Authorization/roleDefinitions/read | Возвращает сведения об определении роли. |
| Microsoft.Authorization/roleAssignments/write (запись назначения ролей) | Создает назначение роли в указанной области. |
| Microsoft.Authorization/назначенияРолей/удалить | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор контроль доступа на основе ролей
Управление доступом к ресурсам Azure путем назначения ролей с помощью Azure RBAC. Эта роль не позволяет управлять доступом с помощью других способов, таких как Политика Azure.
Замечание
Эта роль включает */read действие для плоскости управления. Пользователи, которым назначена эта роль, могут считывать сведения о плоскости управления для всех ресурсов Azure.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/roleAssignments/write (запись назначения ролей) | Создает назначение роли в указанной области. |
| Microsoft.Authorization/назначенияРолей/удалить | Здесь описывается удаление назначения роли в указанной области. |
| */чтение | Чтение сведений о плоскости управления для всех ресурсов Azure. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор доступа пользователей
Позволяет управлять доступом пользователей к ресурсам Azure.
Замечание
Эта роль включает */read действие для плоскости управления. Пользователи, которым назначена эта роль, могут считывать сведения о плоскости управления для всех ресурсов Azure.
| Действия | Описание |
|---|---|
| */чтение | Чтение сведений о плоскости управления для всех ресурсов Azure. |
| Microsoft.Авторизация/* | Управление авторизацией |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}