Встроенные роли Azure для безопасности
В этой статье перечислены встроенные роли Azure в категории "Безопасность".
Администратор службы автоматизации соответствия приложений
Создание, чтение, скачивание, изменение и удаление объектов отчетов и связанных с ними объектов ресурсов.
| Действия | Description |
|---|---|
| Microsoft.AppComplianceAutomation/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | Возвращение результата настройки свойств службы BLOB-объектов. |
| Microsoft.Storage/storageAccounts/fileservices/write | Запись свойств службы файлов |
| Microsoft.Storage/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/write | Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Возвращает ключ делегирования пользователя для службы BLOB-объектов |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Возвращает список контейнеров. |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Возвращает результат размещения контейнера больших двоичных объектов. |
| Microsoft.Storage/storageAccounts/blobServices/read | Возвращение свойств или статистики службы BLOB-объектов. |
| Microsoft.PolicyInsights/policyStates/queryResults/action | Запрашивает сведения о состояниях политики. |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | Активирует новую оценку соответствия для выбранной области. |
| Microsoft.Resources/resources/read | Возвращает список ресурсов на основе фильтров. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | Возвращает ресурсы группы ресурсов. |
| Microsoft.Resources/subscriptions/resources/read | Возвращает ресурсы подписки. |
| Microsoft.Resources/subscriptions/resourceGroups/delete | Удаляет группу ресурсов со всеми ресурсами. |
| Microsoft.Resources/subscriptions/resourceGroups/write | Создает или обновляет группу ресурсов. |
| Microsoft.Resources/tags/read | Получает все теги ресурса. |
| Microsoft.Resources/deployments/validate/action | Проверяет развертывание. |
| Microsoft.Security/automations/read | Получение автоматизаций для области |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Security/automations/delete | Удаляет автоматизацию для области |
| Microsoft.Security/automations/write | Создает или обновляет автоматизацию для области |
| Microsoft.Security/register/action | Регистрация подписки в центре безопасности Azure. |
| Microsoft.Security/unregister/action | Отменяет регистрацию подписки в центре безопасности Azure |
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения автоматизации соответствия приложений
Чтение, скачивание объектов отчетов и связанных с ними объектов ресурсов.
| Действия | Описание |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник аттестации
Может читать, записывать или удалять экземпляр поставщика аттестации.
| Действия | Description |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | Возвращает состояние службы аттестации. |
| Microsoft.Attestation/attestationProviders/attestation/write | Добавляет службу аттестации. |
| Microsoft.Attestation/attestationProviders/attestation/delete | Удаляет службу аттестации. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель аттестации
Может считывать свойства поставщика аттестации.
| Действия | Description |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | Возвращает состояние службы аттестации. |
| Microsoft.Attestation/attestationProviders/read | Возвращает состояние службы аттестации. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор хранилища ключей
Выполняет все операции с плоскостью данных в хранилище ключей и всех его объектах, включая сертификаты, ключи и секреты. Не может управлять ресурсами хранилища ключей или назначениями ролей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь сертификата Key Vault
Чтение содержимого сертификата. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/certificates/read | Вывод списка сертификатов в указанном хранилище ключей или получение сведений о сертификате. |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Получает значение секрета. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Выводит в списке или отображает свойства секрета, но не его значение. |
| Microsoft.KeyVault/vaults/keys/read | Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Специалист по сертификатам хранилища ключей
Выполняет любые действия с сертификатами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | Управление контактом сертификата |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник Key Vault
Предоставляет разрешения на управление хранилищами ключей, но не позволяет назначать роли в Azure RBAC или получать доступ к секретам, ключам или сертификатам.
Внимание
При использовании модели разрешений политики доступа пользователь с ContributorKey Vault Contributorлюбой другой ролью, включающей Microsoft.KeyVault/vaults/write разрешения для плоскости управления хранилища ключей, может предоставить себе доступ к плоскости данных, задав политику доступа Key Vault. Чтобы предотвратить несанкционированный доступ и управление хранилищами ключей, ключами, секретами и сертификатами, необходимо ограничить доступ роли участника к хранилищам ключей в модели разрешений политики доступа. Чтобы устранить этот риск, рекомендуется использовать модель разрешений на основе ролей контроль доступа (RBAC), которая ограничивает управление разрешениями ролями "Владелец" и "Администратор доступа пользователей", что позволяет четко разделить операции безопасности и административные обязанности. Дополнительные сведения см. в руководстве по RBAC Key Vault и что такое Azure RBAC?
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | Очищает обратимо удаленное хранилище Key Vault. |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Специалист по шифрованию хранилища ключей
Выполняет любые действия с ключами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь службы шифрования хранилища ключей
Считывает метаданные ключей и выполняет операции упаковки и распаковки. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Description |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | Создание или обновление eventSubscription |
| Microsoft.EventGrid/eventSubscriptions/read | Чтение eventSubscription |
| Microsoft.EventGrid/eventSubscriptions/delete | Удаление eventSubscription. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/keys/read | Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что, если используется асимметричный ключ Key Vault, эту операцию могут выполнять субъекты с доступом на чтение. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Распаковывает симметричный ключ с помощью ключа Key Vault. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь выпуска службы шифрования Key Vault
Ключи выпуска. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/keys/release/action | Выпускает ключ, используя открытую часть KEK из токена аттестации. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь шифрования хранилища ключей
Выполняет криптографические операции с помощью ключей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/keys/read | Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются. |
| Microsoft.KeyVault/vaults/keys/update/action | Обновление указанных атрибутов, связанных с определенным ключом. |
| Microsoft.KeyVault/vaults/keys/backup/action | Создает файл резервной копии ключа. Этот файл может использоваться для восстановления ключа в Key Vault для той же подписки. Могут применяться определенные ограничения. |
| Microsoft.KeyVault/vaults/keys/encrypt/action | Шифрует открытый текст с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | Расшифровывает зашифрованные данные с помощью ключа. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что, если используется асимметричный ключ Key Vault, эту операцию могут выполнять субъекты с доступом на чтение. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Распаковывает симметричный ключ с помощью ключа Key Vault. |
| Microsoft.KeyVault/vaults/keys/sign/action | Подписывает хэш с помощью ключа. |
| Microsoft.KeyVault/vaults/keys/verify/action | Проверяет сигнатуру хэша с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор доступа к данным Key Vault
Управление доступом к Azure Key Vault путем добавления или удаления назначений ролей администратора Key Vault, сотрудника по сертификатам Key Vault, офицера шифрования key Vault, пользователя шифрования шифрования key Vault, пользователя шифрования key Vault, средства чтения ключей, сотрудника секретов Key Vault или роли пользователя секретов Key Vault. Включает условие ABAC для ограничения назначений ролей.
| Действия | Description |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Создает назначение роли в указанной области. |
| Microsoft.Authorization/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Management/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none | |
| Условие | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Добавьте или удалите назначения ролей для следующих ролей: Администратор хранилища ключей Специалист по сертификатам хранилища ключей Специалист по шифрованию хранилища ключей Пользователь службы шифрования хранилища ключей Пользователь шифрования хранилища ключей Читатель Key Vault Специалист по секретам хранилища ключей Пользователь секретов хранилища ключей |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель Key Vault
Считывает метаданные хранилищ ключей и их сертификатов, ключей и секретов. Не может считывать конфиденциальные значения, такие как содержимое секрета или материал ключа. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Выводит в списке или отображает свойства секрета, но не его значение. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Специалист по секретам хранилища ключей
Выполняет любые действия с секретами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Microsoft.KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/secrets/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь секретов хранилища ключей
Считывает содержимое секретов. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".
| Действия | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Получает значение секрета. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Выводит в списке или отображает свойства секрета, но не его значение. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого устройства HSM
Позволяет управлять управляемыми модулями HSM, но не доступом к ним.
| Действия | Description |
|---|---|
| Microsoft.KeyVault/managedHSMs/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | Просмотр свойств удаленного управляемого устройства HSM |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | Просмотр свойств удаленного управляемого устройства HSM |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Очистка обратимо удаленного управляемого устройства HSM |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | Проверяет результат длительной операции. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник службы автоматизации Microsoft Sentinel
Участник службы автоматизации Microsoft Sentinel
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Logic/workflows/triggers/read | Считывает триггер. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Возвращает URL-адрес обратного вызова для триггера. |
| Microsoft.Logic/workflows/runs/read | Считывает данные о выполнении рабочего процесса. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Вывод списка триггеров рабочего процесса hostruntime веб-приложения. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Получение URI триггера рабочего процесса hostruntime веб-приложения. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Вывод списка запусков веб-приложения рабочих процессов Hostruntime. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник Microsoft Sentinel
Участник Microsoft Sentinel
| Действия | Description |
|---|---|
| Microsoft.SecurityInsights/* | |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Поиск с помощью нового механизма. |
| Microsoft.OperationalInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | |
| Microsoft.OperationsManagement/solutions/read | Получение существующего решения OMS |
| Microsoft.OperationalInsights/workspaces/query/read | Выполнение запросов к данным в рабочей области |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Получение источника данных в рабочей области. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/* | |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор сборника схем Microsoft Sentinel
Оператор сборника схем Microsoft Sentinel
| Действия | Description |
|---|---|
| Microsoft.Logic/workflows/read | Считывает рабочий процесс. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Возвращает URL-адрес обратного вызова для триггера. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Получение URI триггера рабочего процесса hostruntime веб-приложения. |
| Microsoft.Web/sites/read | Возвращает свойства веб-приложения. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель Microsoft Sentinel
Читатель Microsoft Sentinel
| Действия | Description |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Проверка авторизации и лицензии пользователя |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Запрос индикаторов аналитики угроз. |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Запрос индикаторов аналитики угроз. |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Поиск с помощью нового механизма. |
| Microsoft.OperationalInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Microsoft.OperationalInsights/workspaces/LinkedServices/read | Получение связанных служб в заданной рабочей области. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Возвращает сохраненный поисковый запрос. |
| Microsoft.OperationsManagement/solutions/read | Получение существующего решения OMS |
| Microsoft.OperationalInsights/workspaces/query/read | Выполнение запросов к данным в рабочей области |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Получение источника данных в рабочей области. |
| Microsoft.Insights/workbooks/read | Чтение книги |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/templateSpecs/*/read | Получение или перечисление спецификаций шаблонов и версий спецификаций шаблонов |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Респондент Microsoft Sentinel
Респондент Microsoft Sentinel
| Действия | Description |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Проверка авторизации и лицензии пользователя |
| Microsoft.SecurityInsights/automationRules/* | |
| Microsoft.SecurityInsights/cases/* | |
| Microsoft.SecurityInsights/incidents/* | |
| Microsoft.SecurityInsights/entities/runPlaybook/action | Запуск сборника схем в сущности |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Добавление тегов к индикатору аналитики угроз. |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Запрос индикаторов аналитики угроз. |
| Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | Аналитика угроз, связанных с групповыми тегами. |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Добавление тегов к индикатору аналитики угроз. |
| Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | Замена тегов индикатора анализа угроз. |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Запрос индикаторов аналитики угроз. |
| Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | Отменяет действие |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Поиск с помощью нового механизма. |
| Microsoft.OperationalInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Получение источника данных в рабочей области. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Возвращает сохраненный поисковый запрос. |
| Microsoft.OperationsManagement/solutions/read | Получение существующего решения OMS |
| Microsoft.OperationalInsights/workspaces/query/read | Выполнение запросов к данным в рабочей области |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Получение источника данных в рабочей области. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/read | Чтение книги |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Microsoft.SecurityInsights/cases/*/Delete | |
| Microsoft.SecurityInsights/incidents/*/Delete | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор безопасности;
Просмотр и обновление разрешений для Microsoft Defender для облака. Имеет те же права, что и читатель сведений о безопасности, но также может изменять политику безопасности, отклонять рекомендации и оповещения.
Сведения о microsoft Defender для Интернета вещей см. в разделе "Роли пользователей Azure" для мониторинга OT и Enterprise IoT.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Authorization/policyAssignments/* | Создание назначений политик и управление ими |
| Microsoft.Authorization/policyDefinitions/* | Создание определений политик и управление ими |
| Microsoft.Authorization/policyExemptions/* | Создание исключений политик и управление ими. |
| Microsoft.Authorization/policySetDefinitions/* | Создание наборов политик и управление ими |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Management/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Microsoft.operationalInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Security/* | Создание компонентов и политик безопасности и управление ими |
| Microsoft.IoTSecurity/* | |
| Microsoft.IoTFirmwareDefense/* | |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник оценки безопасности
Позволяет отправлять оценки в Microsoft Defender для облака
| Действия | Description |
|---|---|
| Microsoft.Security/assessments/write | Создание или обновление оценок безопасности в подписке |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Диспетчер безопасности (устаревший)
Это устаревшая роль. Используйте вместо нее роль администратора безопасности.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ClassicCompute/*/read | Чтение сведений о конфигурации классических виртуальных машин |
| Microsoft.ClassicCompute/virtualMachines/*/write | Запись сведений о конфигурации классических виртуальных машин |
| Microsoft.ClassicNetwork/*/read | Чтение сведений о конфигурации для классической сети |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Security/* | Создание компонентов и политик безопасности и управление ими |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель сведений о безопасности
Просмотр разрешений для Microsoft Defender для облака. Может просматривать рекомендации, оповещения, политику и состояние безопасности, но не может вносить изменения.
Сведения о microsoft Defender для Интернета вещей см. в разделе "Роли пользователей Azure" для мониторинга OT и Enterprise IoT.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/read | Чтение классического оповещения метрики. |
| Microsoft.operationalInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Microsoft.Resources/deployments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Security/*/read | Чтение компонентов и политик безопасности |
| Microsoft.IoTSecurity/*/read | |
| Microsoft.Support/*/read | |
| Microsoft.Security/iotDefenderSettings/packageDownloads/action | Получает сведения о загружаемых пакетах Defender для Интернета вещей. |
| Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | Скачивает файл активации диспетчера с данными квоты подписки. |
| Microsoft.Security/iotSensors/downloadResetPassword/action | Скачивает файл сброса пароля для датчиков Интернета вещей. |
| Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | Получает сведения о загружаемых пакетах Defender для Интернета вещей. |
| Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | Скачивает файл активации диспетчера |
| Microsoft.Management/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}