Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены Azure встроенные роли в категории "Безопасность".
Администратор службы автоматизации соответствия приложений
Позволяет управлять средством автоматизации соответствия приложений для Microsoft 365
Note
Эта роль включает */read действие для плоскости управления. Пользователи, которым назначена эта роль, могут читать сведения уровне управления для всех Azure ресурсов.
| Actions | Description |
|---|---|
| Майкрософт. AppComplianceAutomation/* | |
| Майкрософт. Хранилище/storageAccounts/blobServices/write | Возвращение результата настройки свойств службы BLOB-объектов. |
| Майкрософт. Хранилище/storageAccounts/fileservices/write | Запись свойств службы файлов |
| Майкрософт. Хранилище/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Майкрософт. Хранилище/storageAccounts/write | Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
| Майкрософт. Хранилище/storageAccounts/blobServices/generateUserDelegationKey/action | Возвращает ключ делегирования пользователя для службы BLOB-объектов |
| Майкрософт. Хранилище/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/read | Возвращает список контейнеров. |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/write | Возвращает результат размещения контейнера больших двоичных объектов. |
| Майкрософт. Хранилище/storageAccounts/blobServices/read | Возвращение свойств или статистики службы BLOB-объектов. |
| Майкрософт. PolicyInsights/policyStates/queryResults/action | Запрашивает сведения о состояниях политики. |
| Майкрософт. PolicyInsights/policyStates/triggerEvaluation/action | Активирует новую оценку соответствия для выбранной области. |
| Майкрософт. Ресурсы/resources/read | Возвращает список ресурсов на основе фильтров. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/resources/read | Возвращает ресурсы группы ресурсов. |
| Майкрософт. Ресурсы/subscriptions/resources/read | Возвращает ресурсы подписки. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/delete | Удаляет группу ресурсов со всеми ресурсами. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/write | Создает или обновляет группу ресурсов. |
| Майкрософт. Ресурсы/tags/read | Получает все теги ресурса. |
| Майкрософт. Ресурсы/deployments/validate/action | Проверяет развертывание. |
| Майкрософт. Безопасность/automations/read | Получение автоматизаций для области |
| Майкрософт. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Майкрософт. Безопасность/automations/delete | Удаляет автоматизацию для области |
| Майкрософт. Безопасность/automations/write | Создает или обновляет автоматизацию для области |
| Майкрософт. Безопасность/register/action | Регистрирует подписку для Центр безопасности Azure |
| Майкрософт. Безопасность/отмена регистрации/действие | Отменяет регистрацию подписки из Центр безопасности Azure |
| */read | Чтение сведений о плоскости управления для всех Azure ресурсов. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows managing App Compliance Automation tool for Microsoft 365",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения автоматизации соответствия приложений
Разрешает доступ только для чтения к средству автоматизации соответствия приложений для Microsoft 365
Note
Эта роль включает */read действие для плоскости управления. Пользователи, которым назначена эта роль, могут читать сведения уровне управления для всех Azure ресурсов.
| Actions | Description |
|---|---|
| */read | Чтение сведений о плоскости управления для всех Azure ресурсов. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to App Compliance Automation tool for Microsoft 365",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник аттестации
Может читать, записывать или удалять экземпляр поставщика аттестации.
| Actions | Description |
|---|---|
| Майкрософт. Аттестация/attestationProviders/аттестация/чтение | Возвращает состояние службы аттестации. |
| Майкрософт. Аттестация/attestationProviders/аттестация/запись | Добавляет службу аттестации. |
| Майкрософт. Аттестация/attestationProviders/attestation/attestation/delete | Удаляет службу аттестации. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Чтение аттестации
Может считывать свойства поставщика аттестации.
| Actions | Description |
|---|---|
| Майкрософт. Аттестация/attestationProviders/аттестация/чтение | Возвращает состояние службы аттестации. |
| Майкрософт. Аттестация/attestationProviders/read | Возвращает состояние службы аттестации. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор Key Vault
Выполняет все операции с плоскостью данных в хранилище ключей и всех его объектах, включая сертификаты, ключи и секреты. Не может управлять ресурсами хранилища ключей или назначениями ролей. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| Майкрософт. KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Майкрософт. KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Майкрософт. KeyVault/locations/*/read | |
| Майкрософт. KeyVault/vaults/*/read | |
| Майкрософт. KeyVault/operations/read | Выводит список операций, доступных в Майкрософт. Поставщик ресурсов KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
пользователь сертификата Key Vault
Чтение содержимого сертификата. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/certificates/read | Вывод списка сертификатов в указанном хранилище ключей или получение сведений о сертификате. |
| Майкрософт. KeyVault/vaults/secret/getSecret/action | Получает значение секрета. |
| Майкрософт. KeyVault/vaults/secret/readMetadata/action | Выводит в списке или отображает свойства секрета, но не его значение. |
| Майкрософт. KeyVault/vaults/key/read | Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
сотрудник по сертификатам Key Vault
Выполняет любые действия с сертификатами в хранилище ключей, за исключением предоставления разрешений на управление. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| Майкрософт. KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Майкрософт. KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Майкрософт. KeyVault/locations/*/read | |
| Майкрософт. KeyVault/vaults/*/read | |
| Майкрософт. KeyVault/operations/read | Выводит список операций, доступных в Майкрософт. Поставщик ресурсов KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/certificatecas/* | |
| Майкрософт. KeyVault/vaults/certificates/* | |
| Майкрософт. KeyVault/vaults/certificatecontacts/write | Управление контактом сертификата |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
участник Key Vault
Управление хранилищами ключей, но не позволяет назначать роли в Azure RBAC и не позволяет получать доступ к секретам, ключам или сертификатам.
Warning
Для повышения безопасности используйте модель разрешений Role-Based контроль доступа (RBAC вместо политик доступа при управлении Azure Key Vault. RBAC ограничивает управление разрешениями только ролям "Владелец" и "Администратор доступа пользователей", обеспечивая четкое разделение между задачами безопасности и администрирования. Дополнительные сведения см. в разделе Несколько Azure RBAC? и руководство по Key Vault.
С помощью модели разрешений политики доступа пользователи с разрешениями Contributor, Key Vault Contributor или любая роль, включающая разрешения Майкрософт.KeyVault/vaults/write, могут предоставить себе доступ к плоскости данных, настроив политику доступа Key Vault. Это может привести к несанкционированным доступу и управлению хранилищами ключей, ключами, секретами и сертификатами. Чтобы уменьшить этот риск, ограничьте доступ роли участника к хранилищам ключей при использовании модели политики доступа.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. KeyVault/* | |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Майкрософт. KeyVault/locations/deletedVaults/purge/action | Очищает обратимо удаленное хранилище Key Vault. |
| Майкрософт. KeyVault/hsmPools/* | |
| Майкрософт. KeyVault/managedHsms/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Сотрудник по шифрованию Key Vault
Выполняет любые действия с ключами в хранилище ключей, за исключением предоставления разрешений на управление. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| Майкрософт. KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Майкрософт. KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Майкрософт. KeyVault/locations/*/read | |
| Майкрософт. KeyVault/vaults/*/read | |
| Майкрософт. KeyVault/operations/read | Выводит список операций, доступных в Майкрософт. Поставщик ресурсов KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/keys/* | |
| Майкрософт. KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
пользователь шифрования службы шифрования Key Vault
Считывает метаданные ключей и выполняет операции упаковки и распаковки. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| Майкрософт. EventGrid/eventSubscriptions/write | Создание или обновление eventSubscription |
| Майкрософт. EventGrid/eventSubscriptions/read | Чтение eventSubscription |
| Майкрософт. EventGrid/eventSubscriptions/delete | Удаление eventSubscription. |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/key/read | Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются. |
| Майкрософт. KeyVault/vaults/key/wrap/action | Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что если ключ Key Vault асимметричный, эта операция может выполняться субъектами с доступом на чтение. |
| Майкрософт. KeyVault/vaults/keys/unwrap/action | Распаковывает симметричный ключ с помощью ключа Key Vault. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
пользователь выпуска службы шифрования Key Vault
Отпустите клавиши. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/key/release/action | Выпускает ключ, используя открытую часть KEK из токена аттестации. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
пользователь шифрования Key Vault
Выполняет криптографические операции с помощью ключей. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/key/read | Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются. |
| Майкрософт. KeyVault/vaults/key/update/action | Обновление указанных атрибутов, связанных с определенным ключом. |
| Майкрософт. KeyVault/vaults/key/backup/action | Создает файл резервной копии ключа. Файл может использоваться для восстановления ключа в Key Vault одной подписки. Могут применяться определенные ограничения. |
| Майкрософт. KeyVault/vaults/key/encrypt/action | Шифрует открытый текст с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение. |
| Майкрософт. KeyVault/vaults/key/decrypt/action | Расшифровывает зашифрованные данные с помощью ключа. |
| Майкрософт. KeyVault/vaults/key/wrap/action | Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что если ключ Key Vault асимметричный, эта операция может выполняться субъектами с доступом на чтение. |
| Майкрософт. KeyVault/vaults/keys/unwrap/action | Распаковывает симметричный ключ с помощью ключа Key Vault. |
| Майкрософт. KeyVault/vaults/key/sign/action | Подписывает хэш с помощью ключа. |
| Майкрософт. KeyVault/vaults/key/verify/action | Проверяет сигнатуру хэша с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор доступа к данным Key Vault
Управление доступом к Azure Key Vault путем добавления или удаления назначений ролей администратора Key Vault, Key Vault сотрудника по сертификатам, Key Vault сотрудника по шифрованию криптографии Key Vault, Key Vault криптопользователя, Key Vault Читатель, Key Vault офицер секретов или роли пользователя секретов Key Vault. Включает условие ABAC для ограничения назначений ролей.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/roleAssignments/write | Создает назначение роли в указанной области. |
| Майкрософт. Авторизация/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Управление/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| Майкрософт. KeyVault/vaults/*/read | |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Condition | |
| ((! (ActionMatches{'Майкрософт. Authorization/roleAssignments/write'}) OR (@Request[Майкрософт. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 463458b-17de-408a-b874-0445c86b69e6}) AND (!( ActionMatches{'Майкрософт. Authorization/roleAssignments/delete'}) OR (@Resource[Майкрософт. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 463458b-17de-408a-b874-0445c86b69e6})) | Добавьте или удалите назначения ролей для следующих ролей: Администратор Key Vault сотрудник по сертификатам Key Vault Сотрудник по шифрованию Key Vault пользователь шифрования службы шифрования Key Vault пользователь шифрования Key Vault средство чтения Key Vault сотрудник по секретам Key Vault Пользователь секретов Key Vault |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
средство чтения Key Vault
Считывает метаданные хранилищ ключей и их сертификатов, ключей и секретов. Не может считывать конфиденциальные значения, такие как содержимое секрета или материал ключа. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| Майкрософт. KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Майкрософт. KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Майкрософт. KeyVault/locations/*/read | |
| Майкрософт. KeyVault/vaults/*/read | |
| Майкрософт. KeyVault/operations/read | Выводит список операций, доступных в Майкрософт. Поставщик ресурсов KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/*/read | |
| Майкрософт. KeyVault/vaults/secret/readMetadata/action | Выводит в списке или отображает свойства секрета, но не его значение. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
сотрудник по секретам Key Vault
Выполняет любые действия с секретами в хранилище ключей, за исключением предоставления разрешений на управление. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| Майкрософт. KeyVault/checkNameAvailability/read | Проверяет, является ли имя Key Vault допустимым и неиспользуемым. |
| Майкрософт. KeyVault/deletedVaults/read | Отображает свойства обратимо удаленных хранилищ Key Vault. |
| Майкрософт. KeyVault/locations/*/read | |
| Майкрософт. KeyVault/vaults/*/read | |
| Майкрософт. KeyVault/operations/read | Выводит список операций, доступных в Майкрософт. Поставщик ресурсов KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/secret/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь секретов Key Vault
Считывает содержимое секретов. Работает только для хранилищ ключей, использующих модель разрешений на основе ролей Azure.
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Майкрософт. KeyVault/vaults/secret/getSecret/action | Получает значение секрета. |
| Майкрософт. KeyVault/vaults/secret/readMetadata/action | Выводит в списке или отображает свойства секрета, но не его значение. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник блокировки
Может управлять операциями блокировки.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/locks/read | Возвращает блокировки в указанной области. |
| Майкрософт. Авторизация/locks/write | Добавляет блокировки в указанной области. |
| Майкрософт. Авторизация/locks/delete | Удаляет блокировки в указанной области. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can Manage Locks Operations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/28bf596f-4eb7-45ce-b5bc-6cf482fec137",
"name": "28bf596f-4eb7-45ce-b5bc-6cf482fec137",
"permissions": [
{
"actions": [
"Microsoft.Authorization/locks/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Locks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого устройства HSM
Позволяет управлять управляемыми модулями HSM, но не доступом к ним.
| Actions | Description |
|---|---|
| Майкрософт. KeyVault/managedHSMs/* | |
| Майкрософт. KeyVault/deletedManagedHsms/read | Просмотр свойств удаленного управляемого устройства HSM |
| Майкрософт. KeyVault/locations/deletedManagedHsms/read | Просмотр свойств удаленного управляемого устройства HSM |
| Майкрософт. KeyVault/locations/deletedManagedHsms/purge/action | Очистка обратимо удаленного управляемого устройства HSM |
| Майкрософт. KeyVault/locations/managedHsmOperationResults/read | Проверяет результат длительной операции. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник службы автоматизации Microsoft Sentinel
Участник службы автоматизации Microsoft Sentinel
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Логика/workflows/triggers/read | Считывает триггер. |
| Майкрософт. Логика/workflows/triggers/listCallbackUrl/action | Возвращает URL-адрес обратного вызова для триггера. |
| Майкрософт. Логика/workflows/runs/read | Считывает данные о выполнении рабочего процесса. |
| Майкрософт. Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Вывод списка триггеров рабочего процесса hostruntime веб-приложения. |
| Майкрософт. Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Получение URI триггера рабочего процесса hostruntime веб-приложения. |
| Майкрософт. Web/sites/hostruntime/webhooks/api/workflows/runs/read | Вывод списка запусков веб-приложения рабочих процессов Hostruntime. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
участник Microsoft Sentinel
участник Microsoft Sentinel
| Actions | Description |
|---|---|
| Майкрософт. SecurityInsights/* | |
| Майкрософт. OperationsInsights/workspaces/analytics/query/action | Поиск с помощью нового механизма. |
| Майкрософт. OperationsInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Майкрософт. OperationsInsights/workspaces/savedSearches/* | |
| Майкрософт. OperationsManagement/solutions/read | Получение существующего решения OMS |
| Майкрософт. OperationsInsights/workspaces/query/read | Выполнение запросов к данным в рабочей области |
| Майкрософт. OperationsInsights/workspaces/query/*/read | |
| Майкрософт. OperationsInsights/workspaces/dataSources/read | Получение источника данных в рабочей области. |
| Майкрософт. OperationsInsights/querypacks/*/read | |
| Майкрософт. Insights/workbooks/* | |
| Майкрософт. Insights/myworkbooks/read | |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Майкрософт. SecurityInsights/ConfidentialWatchlists/* | |
| Майкрософт. OperationsInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор сборника схем Microsoft Sentinel
Оператор сборника схем Microsoft Sentinel
| Actions | Description |
|---|---|
| Майкрософт. Логика/workflows/read | Считывает рабочий процесс. |
| Майкрософт. Логика/workflows/triggers/listCallbackUrl/action | Возвращает URL-адрес обратного вызова для триггера. |
| Майкрософт. Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Получение URI триггера рабочего процесса hostruntime веб-приложения. |
| Майкрософт. Web/sites/read | Возвращает свойства веб-приложения. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
средство чтения Microsoft Sentinel
средство чтения Microsoft Sentinel
| Actions | Description |
|---|---|
| Майкрософт. SecurityInsights/*/read | |
| Майкрософт. SecurityInsights/dataConnectorsCheckRequirements/action | Проверка авторизации и лицензии пользователя |
| Майкрософт. SecurityInsights/threatIntelligence/indicators/query/action | Запрос индикаторов аналитики угроз. |
| Майкрософт. SecurityInsights/threatIntelligence/queryIndicator/action | Запрос индикаторов аналитики угроз. |
| Майкрософт. OperationsInsights/workspaces/analytics/query/action | Поиск с помощью нового механизма. |
| Майкрософт. OperationsInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Майкрософт. OperationsInsights/workspaces/LinkedServices/read | Получение связанных служб в заданной рабочей области. |
| Майкрософт. OperationsInsights/workspaces/savedSearches/read | Возвращает сохраненный поисковый запрос. |
| Майкрософт. OperationsManagement/solutions/read | Получение существующего решения OMS |
| Майкрософт. OperationsInsights/workspaces/query/read | Выполнение запросов к данным в рабочей области |
| Майкрософт. OperationsInsights/workspaces/query/*/read | |
| Майкрософт. OperationsInsights/querypacks/*/read | |
| Майкрософт. OperationsInsights/workspaces/dataSources/read | Получение источника данных в рабочей области. |
| Майкрософт. Insights/workbooks/read | Чтение книги |
| Майкрософт. Insights/myworkbooks/read | |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Ресурсы/templateSpecs/*/read | Получение или перечисление спецификаций шаблонов и версий спецификаций шаблонов |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Майкрософт. SecurityInsights/ConfidentialWatchlists/* | |
| Майкрософт. OperationsInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ответчик Microsoft Sentinel
ответчик Microsoft Sentinel
| Actions | Description |
|---|---|
| Майкрософт. SecurityInsights/*/read | |
| Майкрософт. SecurityInsights/dataConnectorsCheckRequirements/action | Проверка авторизации и лицензии пользователя |
| Майкрософт. SecurityInsights/automationRules/* | |
| Майкрософт. SecurityInsights/cases/* | |
| Майкрософт. SecurityInsights/incidents/* | |
| Майкрософт. SecurityInsights/entities/runPlaybook/action | Запуск сборника схем в сущности |
| Майкрософт. SecurityInsights/threatIntelligence/indicators/appendTags/action | Добавление тегов к индикатору аналитики угроз. |
| Майкрософт. SecurityInsights/threatIntelligence/indicators/query/action | Запрос индикаторов аналитики угроз. |
| Майкрософт. SecurityInsights/threatIntelligence/bulkTag/action | Аналитика угроз, связанных с групповыми тегами. |
| Майкрософт. SecurityInsights/threatIntelligence/indicators/appendTags/action | Добавление тегов к индикатору аналитики угроз. |
| Майкрософт. SecurityInsights/threatIntelligence/indicators/replaceTags/action | Замена тегов индикатора анализа угроз. |
| Майкрософт. SecurityInsights/threatIntelligence/queryIndicator/action | Запрос индикаторов аналитики угроз. |
| Майкрософт. SecurityInsights/businessApplicationAgents/systems/undoAction/action | |
| Майкрософт. OperationsInsights/workspaces/analytics/query/action | Поиск с помощью нового механизма. |
| Майкрософт. OperationsInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Майкрософт. OperationsInsights/workspaces/dataSources/read | Получение источника данных в рабочей области. |
| Майкрософт. OperationsInsights/workspaces/savedSearches/read | Возвращает сохраненный поисковый запрос. |
| Майкрософт. OperationsManagement/solutions/read | Получение существующего решения OMS |
| Майкрософт. OperationsInsights/workspaces/query/read | Выполнение запросов к данным в рабочей области |
| Майкрософт. OperationsInsights/workspaces/query/*/read | |
| Майкрософт. OperationsInsights/workspaces/dataSources/read | Получение источника данных в рабочей области. |
| Майкрософт. OperationsInsights/querypacks/*/read | |
| Майкрософт. Insights/workbooks/read | Чтение книги |
| Майкрософт. Insights/myworkbooks/read | |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| Майкрософт. SecurityInsights/cases/*/Delete | |
| Майкрософт. SecurityInsights/incidents/*/Delete | |
| Майкрософт. SecurityInsights/ConfidentialWatchlists/* | |
| Майкрософт. OperationsInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор безопасности
Просмотр и обновление разрешений для Microsoft Defender для облака. Те же разрешения, что и роль читателя безопасности, но могут создавать, обновлять и удалять соединители безопасности, обновлять политику безопасности и отклонять оповещения и рекомендации.
Сведения о Microsoft Defender для Интернета вещей см. в разделе Azure роли пользователей для мониторинга OT и Enterprise IoT.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Авторизация/policyAssignments/* | Создание назначений политик и управление ими |
| Майкрософт. Авторизация/policyDefinitions/* | Создание определений политик и управление ими |
| Майкрософт. Авторизация/policyExemptions/* | Создание исключений политик и управление ими. |
| Майкрософт. Авторизация/policySetDefinitions/* | Создание наборов политик и управление ими |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Управление/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Майкрософт.operationalInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Безопасность/* | Создание компонентов и политик безопасности и управление ими |
| Майкрософт. IoTSecurity/* | |
| Майкрософт. IoTFirmwareDefense/* | |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник оценки безопасности
Позволяет отправлять оценки в Microsoft Defender для облака
| Actions | Description |
|---|---|
| Майкрософт. Безопасность/assessments/write | Создание или обновление оценок безопасности в подписке |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Диспетчер безопасности (устаревший)
Это устаревшая роль. Используйте вместо нее роль администратора безопасности.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. ClassicCompute/*/read | Чтение сведений о конфигурации классических виртуальных машин |
| Майкрософт. ClassicCompute/virtualMachines/*/write | Запись сведений о конфигурации классических виртуальных машин |
| Майкрософт. ClassicNetwork/*/read | Чтение сведений о конфигурации для классической сети |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. ResourceHealth/availabilityStatuses/read | Возвращает состояния доступности для всех ресурсов в указанной области. |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Безопасность/* | Создание компонентов и политик безопасности и управление ими |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Обозреватель безопасности
Просмотр разрешений для Microsoft Defender для облака. Может просматривать рекомендации, оповещения, политику и состояние безопасности, но не может вносить изменения.
Сведения о Microsoft Defender для Интернета вещей см. в разделе Azure роли пользователей для мониторинга OT и Enterprise IoT.
| Actions | Description |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/read | Чтение классического оповещения метрики. |
| Майкрософт.operationalInsights/workspaces/*/read | Просмотр данных Log Analytics |
| Майкрософт. Ресурсы/deployments/*/read | |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Безопасность/*/read | Чтение компонентов и политик безопасности |
| Майкрософт. IoTSecurity/*/read | |
| Майкрософт. Поддержка/*/read | |
| Майкрософт. Безопасность/iotDefenderSettings/packageDownloads/action | Возвращает сведения о скачиваемых пакетах IoT Defender |
| Майкрософт. Безопасность/iotDefenderSettings/downloadManagerActivation/action | Скачивает файл активации диспетчера с данными квоты подписки. |
| Майкрософт. Безопасность/iotSensors/downloadResetPassword/action | Скачивает файл сброса пароля для датчиков Интернета вещей. |
| Майкрософт. IoTSecurity/defenderSettings/packageDownloads/action | Возвращает сведения о скачиваемых пакетах IoT Defender |
| Майкрософт. IoTSecurity/defenderSettings/downloadManagerActivation/action | Скачивает файл активации диспетчера |
| Майкрософт. Управление/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Дальнейшие шаги
- роли Azure Assign с помощью портала Azure