При использовании соединителя служб для создания подключений между службами Azure необходимо обеспечить предоставление необходимых разрешений. В этом документе описаны требования к разрешениям для различных ресурсов Azure для упрощения простого создания соединений.
Соединитель служб создает подключения между службами Azure с помощью маркеров от имени.
Для создания подключений к ресурсам Azure требуются соответствующие разрешения.
Служба приложений
| Действие |
Description |
Microsoft.Web/sites/config/write |
Обновляет параметры конфигурации веб-приложения. |
Microsoft.web/sites/config/delete |
Удаляет конфигурацию веб-приложений. |
Microsoft.Web/sites/config/list/action |
Отображает влияющие на безопасность параметры веб-приложения, такие как учетные данные для публикации, параметры приложения и строки подключения. |
Microsoft.Web/sites/config/Read |
Возвращает параметры конфигурации веб-приложения. |
Microsoft.Web/sites/write |
Создает новое веб-приложение или обновляет существующее. |
Microsoft.Web/sites/read |
Возвращает свойства веб-приложения. |
Слот Webapp
| Действие |
Description |
Microsoft.Web/sites/slots/Write |
Создает новый слот веб-приложения или обновляет существующий. |
Microsoft.Web/sites/slots/Read |
Возвращает свойства слота развертывания веб-приложения. |
Microsoft.Web/sites/slots/config/Read |
Возвращает параметры конфигурации слота веб-приложения. |
Microsoft.Web/sites/slots/config/Write |
Обновляет параметры конфигурации слота веб-приложения. |
microsoft.web/sites/slots/config/delete |
Удаляет конфигурацию слотов веб-приложений. |
Microsoft.Web/sites/slots/config/list/Action |
Отображает влияющие на безопасность параметры слота веб-приложения, такие как учетные данные для публикации, параметры приложения и строки подключения. |
Приложение Azure Spring
| Действие |
Description |
Microsoft.AppPlatform/Spring/read |
Получение экземпляров службы Azure Spring Apps |
Microsoft.AppPlatform/Spring/apps/read |
Получение приложений для определенного экземпляра службы Azure Spring Apps |
Microsoft.AppPlatform/Spring/apps/write |
Создание или обновление приложения для определенного экземпляра службы Azure Spring Apps |
Microsoft.AppPlatform/Spring/apps/listConnectorProps/action |
Получить свойства соединителя приложения Azure Spring Apps |
Microsoft.AppPlatform/Spring/apps/deployments/*/read |
Получение развертываний для указанного приложения |
Microsoft.AppPlatform/Spring/apps/deployments/*/write |
Создание или обновление развертывания для указанного приложения |
Microsoft.AppPlatform/Spring/apps/deployments/*/delete |
Удаление развертывания для указанного приложения |
Microsoft.AppPlatform/Spring/apps/deployments/listConnectorProps/action |
Получите свойства соединителя для развертывания конкретного приложения |
Приложения-контейнеры Azure
| Действие |
Description |
Microsoft.App/containerApps/read |
Получение приложения-контейнера |
Microsoft.App/containerApps/write |
Создание или обновление приложения-контейнера |
Microsoft.App/containerApps/listsecrets/action |
Перечисление секретов приложения-контейнера |
Microsoft.App/managedEnvironments/read |
Получение управляемой среды |
Microsoft.App/locations/managedEnvironmentOperationStatuses/read |
Получение состояния длительной операции управляемой среды |
microsoft.app/locations/containerappoperationstatuses/read |
Получение состояния длительной операции приложения-контейнера |
microsoft.app/locations/containerappoperationresults/read |
Получение результата длительной операции приложения-контейнера |
microsoft.app/locations/managedenvironmentoperationresults/read |
Получение результата длительной операции управляемой среды |
Dapr в приложениях контейнеров Azure
| Действие |
Description |
Microsoft.App/managedEnvironments/daprComponents/read |
Чтение компонента Dapr управляемой среды |
Microsoft.App/managedEnvironments/daprComponents/write |
Создание или обновление компонента Dapr управляемой среды |
Microsoft.App/managedEnvironments/daprComponents/delete |
Удаление компонента Dapr управляемой среды |
Кэш Azure для Redis
| Действие |
Description |
Microsoft.Cache/redis/read |
Отображает параметры и конфигурацию кэша Redis на портале управления. |
Microsoft.Cache/redis/firewallRules/read |
Возвращает правила брандмауэра для IP-адресов для кэша Redis. |
Microsoft.Cache/redis/firewallRules/write |
Изменяет правила брандмауэра для IP-адресов для кэша Redis. |
Microsoft.Cache/redis/firewallRules/delete |
Удаляет правила брандмауэра для IP-адресов для кэша Redis. |
Microsoft.Cache/redis/listKeys/action |
Отображает значения ключей доступа к кэшу Redis на портале управления. |
Кэш Azure для Redis Enterprise
| Действие |
Description |
Microsoft.Cache/redisEnterprise/read |
Просмотр параметров и конфигурации кэша Redis Enterprise на портале управления |
Microsoft.Cache/redisEnterprise/databases/read |
Просмотр параметров и конфигурации базы данных кэша Redis Enterprise на портале управления |
Microsoft.Cache/redisEnterprise/databases/listKeys/action |
Просмотр значений ключей доступа к базе данных Redis Enterprise на портале управления |
База данных Azure для PostgreSQL
База данных Azure для PostgreSQL
| Действие |
Description |
Microsoft.DBforPostgreSQL/servers/firewallRules/read |
Возвращение списка правил брандмауэра для сервера или получение свойств для указанного правила брандмауэра. |
Microsoft.DBforPostgreSQL/servers/firewallRules/write |
Создание правила брандмауэра с указанными параметрами или обновление существующего правила. |
Microsoft.DBforPostgreSQL/servers/firewallRules/delete |
Удаление существующего правила брандмауэра. |
Microsoft.DBForPostgreSQL/servers/read |
Возвращение списка серверов или получение свойств для указанного сервера. |
Microsoft.DBForPostgreSQL/servers/databases/read |
Возвращает список баз данных PostgreSQL или свойства указанной базы данных. |
Microsoft.DBforPostgreSQL/servers/write |
Создание сервера с указанными параметрами либо обновление свойств или тегов указанного сервера. |
База данных Azure для PostgreSQL (конечная точка службы)
| Действие |
Description |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read |
Возвращение списка правил виртуальной сети или свойств указанного правила виртуальной сети. |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write |
Создание правила виртуальной сети с указанными параметрами либо обновление свойств или тегов указанного правила виртуальной сети. |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete |
Удаление существующего правила виртуальной сети. |
Гибкий сервер Базы данных Azure для PostgreSQL
| Действие |
Description |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read |
Возвращение списка правил брандмауэра для сервера или получение свойств для указанного правила брандмауэра. |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write |
Создание правила брандмауэра с указанными параметрами или обновление существующего правила. |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete |
Удаление существующего правила брандмауэра. |
Microsoft.DBForPostgreSQL/flexibleServers/read |
Возвращение списка серверов или получение свойств для указанного сервера. |
Microsoft.DBForPostgreSQL/flexibleServers/databases/read |
Возвращает список баз данных сервера PostgreSQL или возвращает базу данных для указанного сервера. |
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read |
Возвращает список конфигураций сервера PostgreSQL или получает конфигурации для указанного сервера. |
База данных Azure для MySQL
| Действие |
Description |
Microsoft.DBforMySQL/servers/firewallRules/read |
Возвращение списка правил брандмауэра для сервера или получение свойств для указанного правила брандмауэра. |
Microsoft.DBforMySQL/servers/firewallRules/write |
Создание правила брандмауэра с указанными параметрами или обновление существующего правила. |
Microsoft.DBforMySQL/servers/firewallRules/delete |
Удаление существующего правила брандмауэра. |
Microsoft.DBforMySQL/servers/read |
Возвращение списка серверов или получение свойств для указанного сервера. |
Microsoft.DBforMySQL/servers/databases/read |
Возвращает список баз данных MySQL или свойства указанной базы данных. |
Microsoft.DBforMySQL/servers/write |
Создание сервера с указанными параметрами либо обновление свойств или тегов указанного сервера. |
База данных Azure для MySQL (конечная точка службы)
| Действие |
Description |
Microsoft.DBforMySQL/servers/virtualNetworkRules/read |
Возвращение списка правил виртуальной сети или свойств указанного правила виртуальной сети. |
Microsoft.DBforMySQL/servers/virtualNetworkRules/write |
Создание правила виртуальной сети с указанными параметрами либо обновление свойств или тегов указанного правила виртуальной сети. |
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete |
Удаление существующего правила виртуальной сети. |
База данных Azure для MySQL — гибкий сервер
| Действие |
Description |
Microsoft.DBforMySQL/flexibleServers/firewallRules/read |
Возвращает список правил брандмауэра для сервера или получает свойства для указанного правила брандмауэра. |
Microsoft.DBforMySQL/flexibleServers/firewallRules/write |
Создает правило брандмауэра с указанными параметрами или обновляет существующее правило. |
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete |
Удаление существующего правила брандмауэра. |
Microsoft.DBforMySQL/flexibleServers/read |
Возвращает список серверов или получает свойства для указанного сервера. |
Microsoft.DBforMySQL/flexibleServers/databases/read |
Возвращает список баз данных для сервера или получает свойства для указанной базы данных. |
Microsoft.DBforMySQL/flexibleServers/configurations/read |
Возвращает список конфигураций сервера MySQL или получает конфигурации для указанного сервера. |
Настройка приложения Azure
| Действие |
Description |
Microsoft.AppConfiguration/configurationStores/ListKeys/action |
Выводит список ключей API для указанного хранилища конфигураций. |
Microsoft.AppConfiguration/configurationStores/read |
Получение свойств указанного хранилища конфигураций или вывод списка всех хранилищ конфигураций в указанной группе ресурсов или подписке. |
Центры событий Azure
| Действие |
Description |
Microsoft.EventHub/namespaces/read |
Возвращает список описаний ресурсов пространства имен. |
Microsoft.EventHub/namespaces/ipFilterRules/read |
Получение ресурса фильтра IP-адресов |
Microsoft.EventHub/namespaces/ipFilterRules/write |
Создание ресурса фильтра IP-адресов |
Microsoft.EventHub/namespaces/ipFilterRules/delete |
Удаление ресурса фильтра IP-адресов |
Microsoft.EventHub/namespaces/networkrulesets/read |
Получает ресурс NetworkRuleSet |
Microsoft.EventHub/namespaces/networkrulesets/write |
Создание ресурса правила виртуальной сети |
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action |
Возвращает строку подключения к пространству имен. |
Служебная шина Azure
| Действие |
Description |
Microsoft.ServiceBus/namespaces/read |
Возвращает список описаний ресурсов пространства имен. |
Microsoft.ServiceBus/namespaces/ipFilterRules/read |
Получение ресурса фильтра IP-адресов |
Microsoft.ServiceBus/namespaces/ipFilterRules/write |
Создание ресурса фильтра IP-адресов |
Microsoft.ServiceBus/namespaces/ipFilterRules/delete |
Удаление ресурса фильтра IP-адресов |
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action |
Возвращает строку подключения к пространству имен. |
Microsoft.ServiceBus/namespaces/networkrulesets/read |
Получает ресурс NetworkRuleSet |
Microsoft.ServiceBus/namespaces/networkrulesets/write |
Создание ресурса правила виртуальной сети |
Хранилище BLOB-объектов Azure
| Действие |
Description |
Microsoft.Storage/storageAccounts/read |
Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
Microsoft.Storage/storageAccounts/write |
Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
Microsoft.Storage/storageAccounts/listkeys/action |
Возвращает ключи доступа для указанной учетной записи хранения. |
Служба Azure SignalR
| Действие |
Description |
Microsoft.SignalRService/SignalR/read |
Просмотр параметров и конфигураций SignalR на портале управления или с помощью API. |
Microsoft.SignalRService/SignalR/write |
Изменяет параметры и конфигурации SignalR на портале управления или с помощью API. |
Microsoft.SignalRService/locations/operationresults/signalr/read |
Запрос результата асинхронной операции на основе расположения |
Microsoft.SignalRService/locations/operationStatuses/signalr/read |
Запрос состояния асинхронной операции на основе расположения |
Microsoft.SignalRService/SignalR/operationResults/read |
|
Microsoft.SignalRService/SignalR/operationStatuses/read |
|
Microsoft.SignalRService/SignalR/listkeys/action |
Просмотр значений ключей доступа SignalR на портале управления или с помощью API. |
Служба Azure Web PubSub
| Действие |
Description |
Microsoft.SignalRService/WebPubSub/read |
Просмотр параметров и конфигураций WebPubSub на портале управления или с помощью API |
Microsoft.SignalRService/WebPubSub/write |
Изменение параметров и конфигураций WebPubSub на портале управления или с помощью API |
Microsoft.SignalRService/locations/operationresults/webpubsub/read |
Запрос результата асинхронной операции на основе расположения |
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read |
Запрос состояния асинхронной операции на основе расположения |
Microsoft.SignalRService/WebPubSub/operationResults/read |
|
Microsoft.SignalRService/WebPubSub/operationStatuses/read |
Просмотр значений ключей доступа WebPubSub на портале управления или с помощью API |
Microsoft.SignalRService/WebPubSub/listkeys/action |
Просмотр значений ключей доступа WebPubSub на портале управления или с помощью API |
Azure Cosmos DB
Предупреждение
Корпорация Майкрософт рекомендует использовать самый безопасный поток проверки подлинности. Поток проверки подлинности, описанный в этой процедуре, требует очень высокого уровня доверия к приложению и несет риски, которые отсутствуют в других потоках. Этот поток следует использовать только в том случае, если другие более безопасные потоки, такие как управляемые удостоверения, не являются жизнеспособными.
| Действие |
Description |
Microsoft.DocumentDB/databaseAccounts/read |
Считывает учетную запись базы данных. |
Microsoft.DocumentDB/databaseAccounts/write |
Обновляет учетные записи базы данных. |
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action |
Возвращает строки подключения для учетной записи базы данных. |
Microsoft.DocumentDB/databaseAccounts/listKeys/action |
Выводит список ключей учетной записи базы данных. |
База данных SQL Azure
| Действие |
Description |
Microsoft.Sql/servers/firewallRules/read |
Возвращение списка правил брандмауэра сервера или получение свойства для указанного правила. |
Microsoft.Sql/servers/firewallRules/write |
Создание правила брандмауэра сервера с указанными параметрами, обновление свойств указанного правила или перезапись всех существующих правил новыми правилами брандмауэра сервера. |
Microsoft.Sql/servers/firewallRules/delete |
Удаление существующего правила брандмауэра сервера. |
Microsoft.Sql/servers/databases/read |
Возвращение списка баз данных или возвращение свойств указанной базы данных. |
Microsoft.Sql/servers/read |
Возвращение списка серверов или получение свойств для указанного сервера. |
Microsoft.Sql/servers/virtualNetworkRules/read |
Возвращение списка правил виртуальной сети или свойств указанного правила виртуальной сети. |
Microsoft.Sql/servers/virtualNetworkRules/write |
Создание правила виртуальной сети с указанными параметрами либо обновление свойств или тегов указанного правила виртуальной сети. |
Microsoft.Sql/servers/virtualNetworkRules/delete |
Удаление существующего правила виртуальной сети. |
Azure Key Vault
| Действие |
Description |
Microsoft.KeyVault/vaults/write |
Создает новое хранилище ключей или обновляет свойства существующего. Для некоторых свойств могут потребоваться дополнительные разрешения. |
Microsoft.KeyVault/vaults/read |
Отображает свойства Key Vault. |
Microsoft.KeyVault/vaults/secrets/write |
Создает секрет или изменяет значение существующего секрета. |
Microsoft.KeyVault/vaults/accessPolicies/write |
Изменяет существующую политику доступа путем слияния или замены или же добавляет новую политику доступа в хранилище ключей. |
Azure Cosmos DB
| Действие |
Description |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read |
Чтение определения роли SQL. |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write |
Создание или обновление определения роли SQL. |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete |
Удаление назначения роли SQL. |
Соединитель служб может потребоваться предоставить разрешения управляемому удостоверению или субъекту-службе, если соединение создается с этими типами проверки подлинности. В следующей таблице перечислены требования к разрешениям для создания подключения в этом сценарии.
| Действие |
Description |
Microsoft.Authorization/roleAssignments/read |
Возвращает сведения о назначении роли. |
Microsoft.Authorization/roleAssignments/write |
Создает назначение роли в указанной области. |
Microsoft.Authorization/roleAssignments/delete |
Здесь описывается удаление назначения роли в указанной области. |
Подключение управляемых удостоверений, назначаемых пользователем
Соединитель служб может потребоваться предоставить разрешения на управляемое удостоверение, назначаемое пользователем, если соединение создается с ним в качестве типа проверки подлинности. В следующей таблице перечислены требования к разрешениям для создания подключения в этом сценарии.
| Действие |
Description |
Microsoft.ManagedIdentity/userAssignedIdentities/read |
Получение существующего пользовательского удостоверения. |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
Действие RBAC для назначения существующего пользовательского удостоверения для ресурса. |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read |
Получение или перечисление учетных данных федеративного удостоверения |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write |
Добавление или обновление федеративных учетных данных удостоверения |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete |
Удаление учетных данных федеративного удостоверения |
Соединитель служб может потребоваться предоставить удостоверениям разрешения, если подключение создается с частной конечной точкой или конечной точкой службы в качестве сетевого решения. В следующей таблице перечислены требования к разрешениям для создания подключения в этом сценарии.
| Действие |
Description |
Microsoft.Network/publicIPAddresses/read |
Возвращает определение общедоступного IP-адреса. |
Microsoft.Network/virtualNetworks/subnets/read |
Возвращает определение подсети виртуальной сети. |
Microsoft.Network/virtualNetworks/subnets/write |
Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
Microsoft.Network/privateEndpoints/read |
Возвращает ресурс частной конечной точки. |
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action |
Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
Microsoft.Network/networkSecurityGroups/join/action |
Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
Microsoft.Network/serviceEndpointPolicies/join/action |
Присоединение политики конечной точки службы. Не предусматривает отправку оповещений. |
Microsoft.Network/natGateways/join/action |
Присоединяет шлюз NAT |
Microsoft.Network/networkIntentPolicies/join/action |
Присоединяет политику намерений сети Не предусматривает отправку оповещений. |
Microsoft.Network/networkSecurityGroups/join/action |
Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
Microsoft.Network/routeTables/join/action |
Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |