Azure 基于角色的访问控制 (Azure RBAC) 拥有多个 Azure 内置角色,可将其分配给用户、组、服务主体和托管标识。 角色分配是您控制对 Azure 资源访问权限的方法。 如果内置角色无法满足您组织的特定需求,您可以创建自己的 Azure 自定义角色。 有关如何分配角色的信息,请参阅分配 Azure 角色的步骤。
本文列出了 Azure 内置角色。 如果要查找 Microsoft Entra ID 的管理员角色,请参阅 Microsoft Entra 内置角色。
下表提供了每个内置角色的简短说明。 单击角色名称,查看每个角色的 Actions、NotActions、DataActions 和 NotDataActions 列表。 有关这些操作的含义以及它们如何应用于控制和数据平面的信息,请参阅了解 Azure 角色定义。
有特权
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| 参与者 | 授予完全访问权限以管理所有资源,但不允许在 Azure RBAC 中分配角色、管理 Azure 蓝图中的分配或共享映像库。 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 所有者 | 授予管理所有资源的完全访问权限,包括分配 Azure RBAC 中的角色的能力。 | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
| Azure 文件同步管理员 | 提供完全访问权限来管理所有 Azure 文件同步(存储同步服务)资源,包括能够在 Azure RBAC 中分配角色。 | 92b92042-07d9-4307-87f7-36a593fc5850 |
| 预留管理员 | 允许用户阅读和管理租户中的所有预订 | a8889054-8d42-49c9-bc1c-52486c10e7cd |
| 基于角色的访问控制管理员 | 使用 Azure RBAC 通过分配角色来管理对 Azure 资源的访问权限。 此角色不允许您使用其他方式(例如 Azure 策略)来管理访问权限。 | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
| 用户访问管理员 | 允许您管理对 Azure 资源的用户访问。 | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
概况
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| 读者 | 查看所有资源,但不允许进行任何更改。 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
计算
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| Azure Arc VMware VM 参与者 | Arc VMware VM Contributor 有權執行所有 VM 作業。 | b748a06d-6150-4f8a-aaa9-ce3940cd96cb |
| Azure Batch 帐户参与者 | 授予管理所有 Batch 资源(包括 Batch 帐户、池和作业)的完全访问权限。 | 29fe4964-1e60-436b-bd3a-77fd4c178b3c |
| Azure Batch 帐户读取者 | 允许查看 Batch 帐户中的所有资源,包括池和作业。 | 11076f67-66f6-4be0-8f6b-f0609fd05cc9 |
| Azure Batch 数据参与者 | 授予管理 Batch 池和作业的权限,但不允许修改帐户。 | 6aaa78f1-f7de-44ca-8722-c64a23943cae |
| Azure Batch 作业提交者 | 允许在 Batch 帐户中提交和管理作业。 | 48e5e92e-a480-4e71-aa9c-2778f4c13781 |
| 经典虚拟机参与者 | 允许您管理经典虚拟机,但不能访问它们,也不能管理与之连接的虚拟网络或存储帐户。 | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| 计算机群参与者 | 允许用户管理计算机群资源。 | 2bed379c-9fba-455b-99e4-6b911073bcf2 |
| Compute Gallery 工件发布者 | 这是可发布库工件的角色。 | 85a2d0d9-2eba-4c9c-b355-11c2cc0788ab |
| 计算库图像读取器 | 这是读取库映像的角色。 | cf7c76d2-98a3-4358-a134-615aa78bf44d |
| Compute Gallery 共享管理员 | 此角色允许用户将库共享给另一个订阅/租户,或共享给公众。 | 1ef6a3be-d0ac-425d-8c01-acb62866290b |
| 托管磁盘的数据操作员 | 提供使用 SAS URI 和 Azure AD 身份验证将数据上传到空托管磁盘、读取或导出托管磁盘(未附加到正在运行的 VM)的数据和快照的权限。 | 959f8984-c045-4866-89c7-12bf9737be2e |
| 桌面虚拟化应用程序组参与者 | 桌面虚拟化应用程序组的贡献者。 | 86240b0e-9422-4c43-887b-b61143f32ba8 |
| 桌面虚拟化应用程序组读取者 | 桌面虚拟化应用程序组读取者。 | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
| 桌面虚拟化参与者 | 桌面虚拟化的贡献者 | 082f0a83-3be5-4ba1-904c-961cca79b387 |
| 桌面虚拟化主机池参与者 | 桌面虚拟化主机池的贡献者。 | e307426c-f9b6-4e81-87de-d99efb3c32bc |
| 桌面虚拟化主机池读取者 | 桌面虚拟化主机池读取者。 | ceadfde2-b300-400a-ab7b-6143895aa822 |
| 桌面虚拟化启用参与者 | 向 Azure 虛擬桌面資源提供者提供啟動虛擬機器的權限。 | 489581de-a3bd-480d-9518-53dea7416b33 |
| 桌面虚拟化开/关参与者 | 向 Azure 虛擬桌面資源提供者提供啟動和停止虛擬機器的權限。 | 40c5ff49-9181-41f8-ae61-143b0e78555e |
| 桌面虚拟化读取者 | 桌面虚拟化读取者。 | 49a72310-ab8d-41df-bbb0-79b649203868 |
| 桌面虚拟化会话主机操作员 | 桌面虚拟化会话主机的操作员 | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
| 桌面虚拟化用户 | 允许用户使用应用程序组中的应用程序。 | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
| 桌面虚拟化用户会话操作员 | 桌面虚拟化用户会话的操作者 | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
| 桌面虚拟化虚拟机参与者 | 此角色处于预览版阶段,可能会有所更改。 向 Azure 虛擬桌面資源提供者提供建立、刪除、更新、啟動和停止虛擬機器的權限。 | a959dbd1-f747-45e3-8ba6-dd80f235f97c |
| 桌面虚拟化工作区参与者 | 桌面虚拟化工作区的贡献者. | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
| 桌面虚拟化工作区读取者 | 桌面虚拟化工作区读取者。 | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
| 磁盘备份读取者 | 向备份保管库提供执行磁盘备份的权限。 | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| 磁盘池操作员 | 授予 StoragePool 资源提供程序权限以管理添加到磁盘池的磁盘。 | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
| 磁盘还原操作员 | 提供权限以允许备份保管库执行磁盘恢复。 | b50d9833-a0cb-478e-945f-707fcc997c13 |
| 磁盘快照参与者 | 向备份保管库提供管理磁盘快照的权限。 | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
| 虚拟机管理员登录 | 在门户中查看虚拟机并以管理员身份登录 | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
| 虚拟机贡献者 | 创建和管理虚拟机,管理磁盘,安装和运行软件,使用虚拟机扩展重置虚拟机的根用户密码,以及使用虚拟机扩展管理本地用户账户。 您的角色不授予您对虚拟机所连接的虚拟网络或存储帐户的管理访问权限。 此角色不允许您在 Azure RBAC 中分配角色。 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 虚拟机数据访问管理员(预览版) | 管理虚拟机的访问权限,通过添加或删除角色分配来实现虚拟机管理员登录和虚拟机用户登录角色的管理。 包括 ABAC 条件用于约束角色分配。 | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
| 虚拟机本地用户登录 | 在门户中查看虚拟机,并以在 Arc 服务器上配置的本地用户身份登录。 | 602da2ba-a5c2-41da-b01d-5360126ab525 |
| 虚拟机用户登录 | 在门户中查看虚拟机并作为普通用户登录。 | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| VM 还原操作员 | 在 VM 还原期间创建和删除资源。 此角色处于预览版阶段,可能会有所更改。 | dfce8971-25e3-42e3-ba33-6055438e3080 |
| Windows 365 网络接口贡献者 | Windows 365 使用此角色來預配所需的網路資源並將 Microsoft 託管的 VM 新增至網路介面。 | 1f135831-5bbe-4924-9016-264044c00788 |
| Windows 365 网路用户 | Windows 365 使用此角色讀取虛擬網路並加入指定的虛擬網路。 | 7eabc9a4-85f7-4f71-b8ab-75daaccc1033 |
| Windows Admin Center 管理员登录 | 使您可以通过 Windows 管理中心以管理员身份管理资源的操作系统。 | a6333a3e-0164-44c3-b281-7a577aff287f |
网络
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| Azure Front Door 域参与者 | 仅供 Azure 内部使用。 可以管理 Azure Front Door 域名,但不能为其他用户授予访问权限。 | 0ab34830-df19-4f8c-b84e-aa85b8afa6e8 |
| Azure Front Door 域读取者 | 仅供 Azure 内部使用。 可以查看 Azure Front Door 域,但不能进行修改。 | 0f99d363-226e-4dca-9920-b807cf8e1a5f |
| Azure Front Door 配置文件读取者 | 可以查看AFD标准和高级配置文件及其终端,但无法进行更改。 | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
| Azure Front Door 机密参与者 | 仅供 Azure 内部使用。 可以管理 Azure Front Door 机密,但无法授予其他用户访问权限。 | 3f2eb865-5811-4578-b90a-6fc6fa0df8e5 |
| Azure Front Door 机密读取者 | 仅供 Azure 内部使用。 可以查看 Azure Front Door 机密,但无法进行更改。 | 0db238c4-885e-4c4f-a933-aa2cef684fca |
| CDN 终结点参与者 | 可以管理 CDN 终结点,但不能向其他用户授予访问权限。 | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| CDN 终结点读者 | 可以查看 CDN 终结点,但不能进行更改。 | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| CDN 配置文件参与者 | 可管理 CDN 和 Azure Front Door 的标准和高级配置文件及其终端,但无法授予其他用户访问权限。 | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
| CDN 配置文件读者 | 可以查看CDN配置文件及其端点,但无法进行更改。 | 8f96442b-4075-438f-813d-ad51ab4019af |
| 经典网络参与者 | 允许您管理经典网络,但不能访问它们。 | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| DNS 区域参与者 | 让您管理 Azure DNS 中的 DNS 区域和记录集,但不允许您控制谁可以访问它们。 | befefa01-2a29-4197-83a8-272ff33ce314 |
| 网络参与者 | 允许管理网络,但不允许访问这些网络。 此角色不授予部署或管理虚拟机的权限。 | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| 专用 DNS 区域参与者 | 允许您管理私有 DNS 区域资源,但不能管理与其关联的虚拟网络。 | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
| 流量管理器参与者 | 允许您管理流量管理器配置文件,但不允许您控制谁可以访问这些配置文件。 | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
存储
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| Avere 参与者 | 可以创建和管理 Avere vFXT 集群。 | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
| Avere 操作员 | Avere vFXT 群集用于管理群集。 | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
| Azure 文件同步读取器 | 提供对 Azure 文件同步服务的读取访问权限(存储同步服务)。 | 754c1a27-40dc-4708-8ad4-2bffdeee09e8 |
| 备份参与者 | 允许管理备份服务,但无法创建保管库并授予对其他人的访问权限。 | 5e467623-bb1f-42f4-a55d-6e525e11384b |
| 备份多用户授权管理员 | 备份多用户授权。 可以创建/删除 ResourceGuard。 | c2a970b4-16a7-4a51-8c84-8a8ea6ee0bb8 |
| 备份 MUA 操作员 | 备份多用户授权。 允許使用者執行受資源保護保護的關鍵操作 | f54b6d04-23c6-443e-b462-9c16ab7b4a52 |
| 备份操作员 | 允许管理备份服务,除了删除备份、创建保管库以及授予对其他人的访问权限。 | 00c29273-979b-4161-815c-10b084fb9324 |
| 备份读者 | 可以查看备份服务,但无法进行更改。 | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
| 经典存储帐户参与者 | 此功能允许您管理经典存储帐户,但无法访问这些帐户。 | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| 经典存储帐户密钥操作员服务角色 | 允许经典存储帐户密钥操作员在经典存储帐户上列出和重新生成密钥。 | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| Data Box 参与者 | 允许您管理 Data Box 服务中的所有内容,但无法为他人授予访问权限。 | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| Data Box 读者 | 允许您管理 Data Box 服务,但不能创建订单、编辑订单详情或给予他人访问权限。 | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| Data Lake Analytics 开发人员 | 允许您提交、监控和管理您自己的作业,但不能创建或删除数据湖分析账户。 | 47b7735b-770e-4598-a7da-8b91488b4c88 |
| Defender for Storage 数据扫描程序 | 授予用于读取 blob 和更新索引标记的访问权限。 此角色由 Defender for Storage 的数据扫描程序使用。 | 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40 |
| 弹性 SAN 网路管理员 | 允许在 SAN 资源上创建私人终端节点和读取 SAN 资源的访问权限。 | fa6cecf6-5db3-4c43-8470-c540bcb4eafa |
| 弹性 SAN 所有者 | 允许完全访问 Azure Elastic SAN 下的所有资源,包括更改网络安全策略以取消阻止数据路径访问。 | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
| 弹性 SAN 读取者 | 允许控制对 Azure 弹性 SAN 的路径读取访问权限。 | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
| 弹性 SAN 卷组所有者 | 允许完全访问 Azure Elastic SAN 中的卷组,包括更改网络安全策略以解除阻止数据路径访问。 | a8281131-f312-4f34-8d98-ae12be9f0d23 |
| 读取器和数据访问 | 允许您查看所有内容,但不允许您删除或创建存储帐户或包含的资源。 它还将允许通过访问存储账户密钥来读取和写入存储账户中包含的所有数据。 | c12c1c16-33a1-487b-954d-41c89c60f349 |
| 存储帐户备份参与者 | 允许您使用 Azure 备份在存储账户上执行备份和还原操作。 | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
| 存储帐户参与者 | 允许管理存储帐户。 提供访问账户密钥的权限,可以通过共享密钥授权访问数据。 | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
| 存储帐户密钥操作员服务角色 | 允许列出和重新生成存储帐户访问密钥. | 81a9662b-bebf-436f-a333-f67b29880f12 |
| 存储 Blob 数据参与者 | 读取、写入和删除 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| 存储 Blob 数据所有者 | 提供对 Azure 存储 Blob 容器和数据的完全访问权限,包括分配 POSIX 访问控制。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
| 存储 Blob 数据读者 | 读取和列出 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
| 存储 Blob 委托者 | 获取用户委托密钥,该密钥随后可用于为使用 Azure AD 凭据签名的容器或 Blob 创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
| 存储文件数据特权参与者 | 允许通过覆盖现有的ACLs/NTFS权限,对Azure文件共享中的文件/目录进行读取、写入、删除和修改ACLs。 此角色在 Windows 文件服务器中没有内置的等效项。 | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
| 存储文件数据特权读取者 | 通过覆盖现有的ACL/NTFS权限,允许对Azure文件共享中文件/目录的读取访问。 此角色在 Windows 文件服务器中没有内置的等效项。 | b8eda974-7b85-4f76-af95-65846b26df6d |
| 存储文件数据 SMB 共享参与者 | 允许对 Azure 文件共享中的文件/目录进行读取、写入和删除访问。 此角色在 Windows 文件服务器中没有内置的等效项。 | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
| 存储文件数据 SMB 共享提升参与者 | 允许在 Azure 文件共享中的文件/目录上进行读取、写入、删除和修改 ACL。 此角色相当于 Windows 文件服务器上的文件共享 ACL 的更改权限。 | a7264617-510b-434b-a828-9731dc254ea7 |
| 存储文件数据 SMB 共享读取者 | 允许对 Azure 文件共享中的文件/目录进行读取访问。 此角色相当于 Windows 文件服务器上文件共享的读取 ACL。 | aba4ae5f-2193-4029-9191-0cb91df5e314 |
| 存储文件委派器 | 获取用户委派密钥,该密钥随后可用于为使用 Azure AD 凭据签名的文件或 Azure 文件共享创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | 765a04e0-5de8-4bb2-9bf6-b2a30bc03e91 |
| 存储队列数据参与者 | 读取、写入和删除 Azure 存储队列和队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| 存储队列数据消息处理器 | 查看、检索并删除 Azure 存储队列中的消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
| 存储队列数据消息发送方 | 将消息添加到 Azure 存储队列中。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
| 存储队列数据读取者 | 读取和列出 Azure 存储队列及队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 19e7f393-937e-4f77-808e-94535e297925 |
| 存储队列委派器 | 获取用户委派密钥,该密钥随后可用于为使用 Azure AD 凭据签名的 Azure 存储队列创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | 7ee386e9-84f0-448e-80a6-f185f6533131 |
| 存储表数据参与者 | 允许读取、写入和删除对 Azure 存储表和实体的访问权限。 | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
| 存储表数据读取者 | 允许对 Azure 存储表和实体进行读取访问 | 76199698-9eea-4c19-bc75-cec21354c6b6 |
| 存储表委派器 | 获取用户委派密钥,该密钥随后可用于为使用 Azure AD 凭据签名的 Azure 存储表创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | 965033a5-c8eb-4f35-b82f-fef460a3606d |
Web 和移动
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| Azure Maps 数据参与者 | 从 Azure Maps 帐户中授予地图相关数据的读取、写入和删除权限。 | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
| Azure Maps 数据读取器 | 授予从 Azure Maps 帐户中读取地图相关数据的权限。 | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
| Azure Maps 搜索和呈现数据读取者 | 授予对常见可视化 Web SDK 场景的非常有限的数据 API 集的访问权限。 具体来说,是渲染和搜寻资料 API。 | 6be48352-4f82-47c9-ad5e-0acacefdb005 |
| Azure Spring Apps 应用程序配置服务配置文件模式读取器角色 | 读取 Azure Spring Apps 中应用程式设定服务的设定档模式的内容 | 25211fc6-dc78-40b6-b205-e4ac934fd9fd |
| Azure Spring Apps 应用程序配置服务日志读取者角色 | 读取 Azure Spring Apps 中应用程式设定服务的即时日志 | 6593e776-2a30-40f9-8a32-4fe28b77655d |
| Azure Spring Apps 链接角色 | Azure Spring Apps 链接角色 | 80558df3-64f9-4c0f-b32d-e5094b036b0b |
| Azure Spring Apps 作业日志读取者角色 | 读取 Azure Spring Apps 中作业的即时日志 | b459aa1d-e3c8-436f-ae21-c0531140f43e |
| Azure Spring Apps 远端侦错角色 | Azure Spring Apps 远端侦错角色 | a99b0159-1064-4c22-a57b-c9b3caa1c054 |
| Azure Spring Apps Spring Cloud Gateway 日志读取者角色 | 读取 Azure Spring Apps 中 Spring Cloud Gateway 的即时日志 | 4301dc2a-25a9-44b0-ae63-3636cf7f2bd2 |
| Azure Spring Cloud Config Server 参与者 | 允许对 Azure Spring Cloud Config Server 进行读取、写入和删除访问 | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
| Azure Spring Cloud Config Server 读者 | 允许对 Azure Spring Cloud Config Server 进行读取访问 | d04c6db6-4947-4782-9e91-30a88feb7be7 |
| Azure Spring Cloud 数据读取者 | 允许对 Azure Spring Cloud 进行读取访问 | b5537268-8956-4941-a8f0-646150406f0c |
| Azure Spring Cloud 服务注册表参与者 | 允许对 Azure Spring Cloud 服务注册表进行读取、写入和删除访问 | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
| Azure Spring Cloud 服务注册表读者 | 允许对 Azure Spring Cloud 服务注册表进行读取访问 | cff1b556-2399-4e7e-856d-a8f754be7b65 |
| 媒体服务帐户管理员 | 创建、读取、修改和删除媒体服务帐户;对其他媒体服务资源的只读访问权限。 | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
| 媒体服务实时事件管理员 | 创建、读取、修改和删除实时事件、资产、资产筛选器和流式处理定位符;对其他媒体服务资源的只读访问权限。 | 532bc159-b25e-42c0-969e-a1d439f60d77 |
| 媒体服务媒体操作员 | 创建、读取、修改和删除资产、资产筛选器、流式处理定位符和作业;对其他媒体服务资源的只读访问权限。 | e4395492-1534-4db2-bedf-88c14621589c |
| 媒体服务策略管理员 | 创建、读取、修改和删除帐户筛选器、流式处理策略、内容密钥策略和转换;对其他媒体服务资源的只读访问权限。 不能创建作业、资产或流式处理资源。 | c4bba371-dacd-4a26-b320-7250bca963ae |
| 媒体服务流式处理终结点管理员 | 创建、读取、修改和删除流式处理终结点;对其他媒体服务资源的只读访问权限。 | 99dba123-b5fe-44d5-874c-ced7199a5804 |
| SignalR AccessKey 读取者 | 读取 SignalR 服务访问密钥 | 04165923-9d83-45d5-8227-78b77b0a687e |
| SignalR 应用服务器 | 允许应用服务器使用 AAD 身份验证选项访问 SignalR 服务。 | 420fcaa2-552c-430f-98ca-3264be4806c7 |
| SignalR REST API 所有者 | 完全访问 Azure Signal 服务 REST API | fd53cd77-2268-407a-8f46-7e7863d0f521 |
| SignalR REST API 读者 | 以只读方式访问 Azure Signal 服务 REST API | ddde6b66-c0df-4114-a159-3618637b3035 |
| SignalR 服务所有者 | 完全访问 Azure Signal 服务 REST API | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
| SignalR/Web PubSub 参与者 | 创建、读取、更新和删除 SignalR 服务资源 | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
| Web 计划参与者 | 管理网站的 web 计划。 不允许在 Azure RBAC 中分配角色。 | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| Web PubSub 服务所有者 | 對 Azure Web PubSub 服務 REST API 的完全存取權限 | 12cf5a90-567b-43ae-8102-96cf46c7d9b4 |
| Web PubSub 服务阅读器 | 对 Azure Web PubSub 服务 REST API 的唯读访问 | bfb1c7d2-fb1a-466b-b2ba-aee63b92deaf |
| 网站参与者 | 管理网站,但不管理 web 计划。 不允许在 Azure RBAC 中分配角色。 | de139f84-1756-47ae-9be6-808fbbe84772 |
容器
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| AcrDelete | 从容器注册表中删除存储库、标签或清单。 | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
| AcrImageSigner | 将受信任的镜像推送到或从启用了内容信任的容器注册表中拉取受信任的镜像。 | 6cef56e8-d556-48e5-a04f-b8e64114680f |
| AcrPull | 从容器注册表拉取项目。 | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
| AcrPush | 将项目推送到容器注册表或从容器注册表拉取项目。 | 8311e382-0749-4cb8-b61a-304f252e45ec |
| AcrQuarantineReader | 从容器注册表中拉取已隔离的映像。 | cdda3590-29a3-44f6-95f2-9f980659eb04 |
| AcrQuarantineWriter | 将已隔离的映像推送到容器注册表或从容器注册表中拉取已隔离的映像。 | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
| 已启用 Azure Arc 的 Kubernetes 群集用户角色 | 列出群集用户凭据操作。 | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
| Azure Arc Kubernetes 管理员 | 允许您管理集群/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
| Azure Arc Kubernetes 群集管理员 | 让您管理集群中的所有资源。 | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
| Azure Arc Kubernetes 查看者 | 允许您查看集群/命名空间中的所有资源,但不包括密钥。 | 63f0a09d-1495-4db4-a681-037d84835eb4 |
| Azure Arc Kubernetes 写入者 | 允许更新群集/命名空间中除(群集)角色和(群集)角色绑定之外的所有内容。 | 5b999177-9696-4545-85c7-50de3797e5a1 |
| Azure 容器实例参与者角色 | 授予对 Azure 容器实例提供的容器组的读/写访问权限 | 5d977122-f97e-4b4d-a52f-6b43003ddb4d |
| Azure 容器存储参与者 | 安装 Azure 容器存储并管理其存储资源。 包括 ABAC 条件用于约束角色分配。 | 95dd08a6-00bd-4661-84bf-f6726f83a4d0 |
| Azure 容器存储操作员 | 启用托管标识以执行 Azure 容器存储操作,例如管理虚拟机和管理虚拟网络。 | 08d4c71a-cc63-4ce4-a9c8-5dd251b4d619 |
| Azure 容器存储所有者 | 安装 Azure 容器存储,授予对其存储资源的访问权限,并配置 Azure 弹性存储区域网络 (SAN)。 包括 ABAC 条件用于约束角色分配。 | 95de85bd-744d-4664-9dde-11430bc34793 |
| Azure Kubernetes 舰队管理器参与者角色 | 授予对 Azure Kubernetes 舰队管理器提供的 Azure 资源(包括舰队、舰队成员、舰队更新策略、舰队更新运行等)的读/写访问权限。 | 63bb64ad-9799-4770-b5c3-24ed299a07bf |
| Azure Kubernetes Fleet Manager Hub 代理角色 | 授予对 Azure Kubernetes Fleet Manager 中心代理所需的 Azure 资源的访问权限。 | de2b316d-7a2c-4143-b4cd-c148f6a355a1 |
| Azure Kubernetes 舰队管理器 RBAC 管理员 | 授予对舰队托管的中心群集中命名空间内的 Kubernetes 资源的读/写访问权限 - 提供对命名空间中的大多数对象的写入权限,但 ResourceQuota 对象和命名空间对象本身除外。 将此角色应用于集群范围将可访问所有命名空间。 | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
| Azure Kubernetes 舰队管理器 RBAC 群集管理员 | 授予对舰队托管的中心群集中所有 Kubernetes 资源的读/写访问权限。 | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
| Azure Kubernetes 舰队管理器 RBAC 读者 | 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的只读访问权限。 它不允许查看角色或角色绑定。 该角色不允许查看 Secrets,因为读取 Secrets 的内容可以访问命名空间中的 ServiceAccount 凭据,从而允许以命名空间中的任何 ServiceAccount 的身份进行 API 访问(这是一种权限升级形式)。 将此角色应用于集群范围将可访问所有命名空间。 | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
| Azure Kubernetes 舰队管理器 RBAC 编写者 | 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的读/写访问权限。 此角色不允许查看或修改角色或角色绑定。 这个角色允许以命名空间内的任何服务账户身份访问 Secrets,因此可以用来获取命名空间中任意服务账户的 API 访问权限。 将此角色应用于集群范围将可访问所有命名空间。 | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
| Azure Kubernetes 服务 Arc 群集管理员角色 | 列出群集管理员凭据操作。 | b29efa5f-7782-4dc3-9537-4d5bc70a5e9f |
| Azure Kubernetes 服务 Arc 群集用户角色 | 列出群集用户凭据操作。 | 233ca253-b031-42ff-9fba-87ef12d6b55f |
| Azure Kubernetes 服务 Arc 参与者角色 | 授予讀取和寫入 Azure Kubernetes 服務混合叢集的存取權限 | 5d3f1697-4507-4d08-bb4a-477695db5f82 |
| Azure Kubernetes 服务群集管理员角色 | 列出群集管理员凭据操作。 | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
| Azure Kubernetes 服务群集监视用户 | 列出群集监视用户凭据操作。 | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
| Azure Kubernetes 服务群集用户角色 | 列出群集用户凭据操作。 | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
| Azure Kubernetes 服务参与者角色 | 授予读取和写入 Azure Kubernetes 服务集群的权限 | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
| Azure Kubernetes 服务命名空间参与者 | 允许用户创建和管理 Azure Kubernetes 服务命名空间资源。 | 289d8817-ee69-43f1-a0af-43a45505b488 |
| Azure Kubernetes 服务命名空间用户 | 允许用户读取 Azure Kubernetes 服务命名空间资源。 群集内命名空间访问还需要将 Azure Kubernetes 服务 RBAC 角色分配给已启用 Entra ID 的群集的命名空间资源。 | c9f76ca8-b262-4b10-8ed2-09cf0948aa35 |
| Azure Kubernetes 服务 RBAC 管理员 | 允许您管理集群/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
| Azure Kubernetes 服务 RBAC 群集管理员 | 让您管理集群中的所有资源。 | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
| Azure Kubernetes 服务 RBAC 读取者 | 允许进行只读访问并查看命名空间中的大多数对象。 它不允许查看角色或角色绑定。 该角色不允许查看 Secrets,因为读取 Secrets 的内容可以访问命名空间中的 ServiceAccount 凭据,从而允许以命名空间中的任何 ServiceAccount 的身份进行 API 访问(这是一种权限升级形式)。 将此角色应用于集群范围将可访问所有命名空间。 | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
| Azure Kubernetes 服务 RBAC 写入者 | 允许对命名空间中的大多数对象进行读/写访问。 此角色不允许查看或修改角色或角色绑定。 然而,此角色允许以命名空间中任何 ServiceAccount 的身份访问机密和运行 Pod,因此它可以用于获取命名空间中任何 ServiceAccount 的 API 访问级别。 将此角色应用于集群范围将可访问所有命名空间。 | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
| Azure Red Hat OpenShift Cloud Controller Manager | 管理和更新部署在 OpenShift 之上的云控制器管理器。 | a1f96423-95ce-4224-ab27-4e3dc72facd4 |
| Azure Red Hat OpenShift 群集入口运算符 | 管理和配置 OpenShift 路由器。 | 0336e1d3-7a87-462b-b6db-342b63f7802c |
| Azure Red Hat OpenShift 磁盘存储作员 | 安装容器存储接口(CSI)驱动程序,使群集能够使用 Azure 磁盘。 设置 OpenShift 群集范围的存储默认值,以确保群集存在默认存储类。 | 5b7237c5-45e1-49d6-bc18-a1f62f400748 |
| Azure Red Hat OpenShift 联合凭据 | 在用户分配的托管标识上创建、更新和删除联合凭据,以便在托管标识、OpenID Connect(OIDC)和服务帐户之间建立信任关系。 | ef318e2a-8334-4a05-9e4a-295a196c6a6e |
| Azure Red Hat OpenShift 文件存储作员 | 安装容器存储接口(CSI)驱动程序,使群集能够使用 Azure 文件。 设置 OpenShift 群集范围的存储默认值,以确保群集存在默认存储类。 | 0d7aedc0-15fd-4a67-a412-efad370c947e |
| Azure Red Hat OpenShift 映像注册表作员 | 启用作员管理 OpenShift 映像注册表的单一实例的权限。 它管理注册表的所有配置,包括创建存储。 | 8b32b316-c2f5-4ddf-b05b-83dacd2d08b5 |
| Azure Red Hat OpenShift 计算机 API作员 | 管理特定用途自定义资源定义(CRD)、控制器和 Azure RBAC 对象的生命周期,这些对象扩展 Kubernetes API 以声明群集中计算机的所需状态。 | 0358943c-7e01-48ba-8889-02cc51d78637 |
| Azure Red Hat OpenShift 网络作员 | 在 OpenShift 群集上安装和升级网络组件。 | be7a6435-15ae-4171-8f30-4a343eff9e8f |
| Azure Red Hat OpenShift 服务作员 | 维护特定于 OpenShift 群集作为托管服务的持续功能的计算机运行状况、网络配置、监视和其他功能。 | 4436bae4-7702-4c84-919b-c4069ff25ee2 |
| 连接群集托管身份检查访问读取器 | 允许连接丛集托管身分呼叫 checkAccess API 的内建角色 | 65a14201-8f6c-4c28-bec4-12619c5a9aaa |
| 容器应用 ConnectedEnvironments 贡献者 | 容器应用 ConnectedEnvironments 的完全管理,包括创建、删除和更新。 | 6f4fe6fc-f04f-4d97-8528-8bc18c848dca |
| 容器应用 ConnectedEnvironments 读取器 | 读取对容器应用 ConnectedEnvironments 的访问权限。 | d5adeb5b-107f-4aca-99ea-4e3f4fc008d5 |
| 容器应用贡献者 | 容器应用的完全管理,包括创建、删除和更新。 | 358470bc-b998-42bd-ab17-a7e34c199c0f |
| 容器应用任务贡献者 | 容器应用作业的完全管理,包括创建、删除和更新。 | 4e3d2b60-56ae-4dc6-a233-09c8e5a82e68 |
| 容器应用作业操作员 | 读取、启动和停止容器应用作业。 | b9a307c4-5aa3-4b52-ba60-2b17c136cd7b |
| 容器应用作业读取器 | 对 ContainerApps 作业的读取访问权限 | edd66693-d32a-450b-997d-0158c03976b0 |
| 容器应用 ManagedEnvironments 贡献者 | 容器应用 ManagedEnvironments 的完全管理,包括创建、删除和更新。 | 57cc5028-e6a7-4284-868d-0611c5923f8d |
| 容器应用托管环境读取器 | 对 ContainerApps 管理环境的读取访问权限。 | 1b32c00b-7eff-4c22-93e6-93d11d72d2d8 |
| 容器应用操作员 | 读取、记录流和执行到容器应用中。 | f3bd1b5c-91fa-40e7-afe7-0c11d331232c |
| 容器应用会话池贡献者 | 容器应用 SessionPools 的完全管理,包括创建、删除和更新。 | f7669afb-68b2-44b4-9c5f-6d2a47fddda0 |
| 容器应用会话池读取器 | 对 ContainerApps 会话池的读取访问权限。 | af61e8fc-2633-4b95-bed3-421ad6826515 |
| 容器注册表缓存规则管理员 | 在容器注册表中创建、读取、更新和删除缓存规则。 此角色不授予管理凭据集的权限。 | df87f177-bb12-4db1-9793-a413691eff94 |
| 容器注册表缓存规则读取器 | 读取容器注册表中缓存规则的配置。 此权限不授予读取凭据集的权限。 | c357b964-0002-4b64-a50d-7a28f02edc52 |
| 容器注册表配置读取器和数据访问配置读取器 | 提供列出容器注册表和注册表配置属性的权限。 提供列出数据访问配置的权限,例如管理员用户凭据、范围映射和令牌,可用于读取、写入或删除存储库和映像。 不提供读取、列出或写入注册表内容的直接权限,包括存储库和映像。 不提供修改数据平面内容(如导入、项目缓存或同步和传输管道)的权限。 不提供管理任务的权限。 | 69b07be0-09bf-439a-b9a6-e73de851bd59 |
| 容器注册表参与者和数据访问配置管理员 | 提供创建、列出和更新容器注册表和注册表配置属性的权限。 提供配置数据访问的权限,例如管理员用户凭据、范围映射和令牌,可用于读取、写入或删除存储库和映像。 不提供读取、列出或写入注册表内容的直接权限,包括存储库和映像。 不提供修改数据平面内容(如导入、项目缓存或同步和传输管道)的权限。 不提供管理任务的权限。 | 3bc748fc-213d-45c1-8d91-9da5725539b9 |
| 容器注册表凭据集管理员 | 在容器注册表中创建、读取、更新和删除凭据集。 此角色不会影响在 Azure Key Vault 中存储内容所需的权限。 此角色也不授予管理缓存规则的权限。 | f094fb07-0703-4400-ad6a-e16dd8000e14 |
| 容器注册表凭据集读取器 | 读取容器注册表中凭据集的配置。 此权限不允许查看 Azure Key Vault 中的内容,仅允许查看容器注册表中的内容。 此权限不授予读取缓存规则的权限。 | 29093635-9924-4f2c-913b-650a12949526 |
| 容器注册表数据导入程序和数据读取器 | 提供通过注册表导入作将映像导入注册表的功能。 提供列出存储库、查看映像和标记、获取清单和拉取映像的功能。 不提供通过配置注册表传输管道(如导入和导出管道)导入映像的权限。 不提供通过配置项目缓存或同步规则进行导入的权限。 | 577a9874-89fd-4f24-9dbd-b5034d0ad23a |
| 容器注册表存储库目录列表程序 | 允许列出Azure 容器注册表中的所有存储库。 此角色处于预览版阶段,可能会有所更改。 | bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7 |
| 容器注册表存储库参与者 | 允许读取、写入和删除对Azure 容器注册表存储库的访问权限,但不包括目录列表。 此角色处于预览版阶段,可能会有所更改。 | 2efddaa5-3f1f-4df3-97df-af3f13818f4c |
| 容器注册表存储库读取者 | 允许对Azure 容器注册表存储库进行读取访问,但不包括目录列表。 此角色处于预览版阶段,可能会有所更改。 | b93aa761-3e63-49ed-ac28-beffa264f7ac |
| 容器注册表存储库编写器 | 允许对Azure 容器注册表存储库进行读取和写入访问,但不包括目录列表。 此角色处于预览版阶段,可能会有所更改。 | 2a1e307c-b015-4ebd-883e-5b7698a07328 |
| 容器注册表任务参与者 | 提供配置、读取、列出、触发或取消容器注册表任务、任务运行、任务日志、快速运行、快速生成和任务代理池的权限。 为任务管理授予的权限可用于完整的注册表数据平面权限,包括读取/写入/删除注册表中的容器映像。 为任务管理授予的权限还可用于运行客户创作的生成指令,并运行脚本来生成软件项目。 | fb382eab-e894-4461-af04-94435c366c3f |
| 容器注册表传输管道参与者 | 通过配置涉及中间存储帐户和密钥保管库的注册表传输管道,提供传输、导入和导出项目的功能。 不提供推送或拉取映像的权限。 不提供创建、管理或列出存储帐户或密钥保管库的权限。 不提供执行角色分配的权限。 | bf94e731-3a51-4a7c-8c54-a1ab9971dfc1 |
| Kubernetes 无代理操作员 | 授予 Microsoft 云防御者访问 Azure Kubernetes 服务的权限 | d5a2ae44-610b-4500-93be-660a0c5f5ca6 |
| Kubernetes 群集 - Azure Arc 载入 | 角色定义以授权任何用户/服务创建 ConnectedClusters 资源 | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
| Kubernetes 扩展参与者 | 可以创建、更新、获取、列出和删除 Kubernetes 扩展,并获取扩展异步操作。 | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
| Service Fabric 群集参与者 | 管理 Service Fabric 群集资源。 包括群集、应用程序类型、应用程序类型版本、应用程序和服务。 将需要额外权限才能部署和管理群集的基础资源,例如虚拟机规模集、存储帐户、网络等。 | b6efc156-f0da-4e90-a50a-8c000140b017 |
| Service Fabric 托管群集参与者 | 部署和管理 Service Fabric 托管群集资源。 包括托管群集、节点类型、应用程序类型、应用程序类型版本、应用程序和服务。 | 83f80186-3729-438c-ad2d-39e94d718838 |
数据库
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| 连接到 Azure 的 SQL Server 载入 | 允许对启用 Arc 的服务器上的 SQL Server 的 Azure 资源进行读写访问。 | e8113dce-c529-4d33-91fa-e9b972617508 |
| Cosmos DB 帐户读者角色 | 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。 | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| Cosmos DB 操作员 | 允许管理 Azure Cosmos DB 帐户,但不能访问其中的数据。 防止访问账户密钥和连接字符串。 | 230815da-be43-4aae-9cb4-875f7bd000aa |
| CosmosBackupOperator | 可以为帐户提交 Cosmos DB 数据库或容器的还原请求 | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
| CosmosRestoreOperator | 可以对启用连续备份模式的 Cosmos DB 数据库账户执行还原操作。 | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
| DocumentDB 帐户参与者 | 可以管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。 | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| PostgreSQL 灵活服务器长期保留备份角色 | 允许备份库访问 PostgreSQL 灵活服务器资源 API 以进行长期保留备份的角色。 | c088a766-074b-43ba-90d4-1fb21feae531 |
| Redis 缓存参与者 | 允许您管理 Redis 缓存,但无法访问它们。 | e0f68234-74aa-48ed-b826-c38b57376e17 |
| SQL DB 参与者 | 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,您无法管理他们的安全相关策略或其父 SQL 服务器。 | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| SQL 托管实例参与者 | 允许您管理 SQL 托管实例和所需的网络配置,但无法将访问权限授予其他人。 | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
| SQL 安全管理器 | 您可以管理与 SQL 服务器和数据库相关的安全策略,但不能访问它们。 | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| SQL Server 参与者 | 允许您管理 SQL 服务器和数据库,但不包括对它们的访问权限,也不涉及其安全相关策略。 | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
Analytics
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| Azure 事件中心数据所有者 | 允许完全访问 Azure 事件中心资源。 | f526a384-b230-433a-b45c-95f59c4a2dec |
| Azure 事件中心数据接收方 | 允许接收对 Azure 事件中心资源的访问权限。 | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Azure 事件中心数据发送方 | 允许以发送方式访问 Azure 事件中心资源。 | 2b629674-e913-4c01-ae53-ef4638d8f975 |
| 数据工厂参与者 | 创建和管理数据工厂,以及其中的子资源。 | 673868aa-7521-48a0-acc6-0f60742d39f5 |
| HDInsight 群集操作员 | 允许你读取和修改 HDInsight 群集配置。 | 61ed4efc-fab3-44fd-b111-e24485cc132a |
| HDInsight 域服务参与者 | 可以读取、创建、修改和删除 HDInsight 企业安全性套餐所需的域服务相关操作 | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
| HDInsight on AKS 群集管理员 | 授予用户/组在给定集群池中创建、删除和管理集群的权力。 叢集管理員還可以運行工作負載、監控和管理這些叢集上的所有使用者活動。 | fd036e6b-1266-47a0-b0bb-a05d04831731 |
| HDInsight on AKS 群集池管理员 | 可以讀取、建立、修改和刪除 AKS 叢集池上的 HDInsight 以及建立叢集 | 7656b436-37d4-490a-a4ab-d39f838f0042 |
| 架构注册表参与者 | 读取、写入和删除架构注册表组和架构。 | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
| 架构注册表读取者 | 读取和列出架构注册表组和架构。 | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
| 流分析查询测试者 | 可以执行查询测试,而无需先创建流分析作业 | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
AI + 机器学习
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| AgFood 平台感測器合作夥伴貢獻者 | 提供贡献访问权限以管理 AgFood 平台服务中的传感器相关实体 | 6b77f0a0-0d89-41cc-acd1-579c22c17a67 |
| AgFood 平台服务管理员 | 提供 AgFood 平台服务的管理员访问权限 | f8da80de-1ff9-4747-ad80-a19b7f6079e3 |
| AgFood平台服务贡献者 | 提供对 AgFood 平台服务的贡献访问权限 | 8508508a-4469-4e45-963b-2518ee0bb728 |
| AgFood 平台服务读者 | 提供对 AgFood 平台服务的读取存取权限 | 7ec7ccdc-f61e-41fe-9aaf-980df0a44eba |
| Azure AI 开发人员 | 除了管理资源本身之外,还可以在 Azure AI 资源中执行所有操作。 | 64702f94-c441-49e6-a78b-ef80e0188fee |
| Azure AI 企业网络连接审批者 | 可以批准与 Azure AI 通用依赖项资源的专用终结点连接 | b556d68e-0be0-4f35-a333-ad7ee1ce17ea |
| Azure AI 推理部署操作员 | 可以执行在资源组中创建资源部署所需的所有操作。 | 3afb7f49-54cb-416e-8c09-6dc049efa503 |
| AzureML 计算操作员 | 可以在机器学习服务托管计算资源(包括笔记本 VM)上访问和执行 CRUD 操作。 | e503ece1-11d0-4e8e-8e2c-7a6c3bf38815 |
| AzureML 数据科学家 | 可以在 Azure 机器学习工作区中执行所有操作,但创建或删除计算资源及修改工作区本身除外。 | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
| AzureML 指标编写器(预览版) | 允许您将指标写入 AzureML 工作区 | 635dd51f-9968-44d3-b7fb-6d9a6bd613ae |
| AzureML 注册表用户 | 可以对机器学习服务注册表资产执行所有操作并取得注册表资源。 | 1823dd4f-9b8c-4ab6-ab4e-7397a3684615 |
| 认知服务参与者 | 允许创建、读取、更新、删除和管理认知服务的密钥。 | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
| 认知服务自定义视觉参与者 | 对项目的完全访问权限,包括可以查看、创建、编辑或删除项目。 | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
| 认知服务自定义视觉部署 | 发布、取消发布或导出模型。 部署可以查看项目,但不能更新项目。 | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
| 认知服务自定义视觉标记者 | 查看、编辑训练图像,创建、添加、移除或删除图像标记。 标记者可以查看项目,但不能更新除训练图像和标记以外的任何内容。 | 88424f51-ebe7-446f-bc41-7fa16989e96c |
| 认知服务自定义视觉读取者 | 只读项目中的操作。 读取者不能创建或更新项目。 | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
| 认知服务自定义视觉训练者 | 查看、编辑项目和训练模型,包括可以发布、取消发布、导出模型。 训练者不能创建或删除项目。 | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
| 认知服务数据读者 | 允许读取认知服务数据。 | b59867f0-fa02-499b-be73-45a86b5b3e1c |
| 认知服务人脸识别者 | 让你可以在人脸 API 上执行“检测”、“验证”、“识别”、“分组”和“查找相似”等操作。 此角色不允许创建或删除操作,因此非常适合只需要对功能进行推理、遵循“最小特权”最佳做法的终结点。 | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
| 认知服务沉浸式阅读器用户 | 提供建立沉浸式阅读器会话和呼叫 API 的存取权限 | b2de6794-95db-4659-8781-7e080d3f2b9d |
| 认知服务语言所有者 | 可以存取语言入口网站下的所有读取、测试、写入、部署和删除功能 | f07febfe-79bc-46b1-8b37-790e26e6e498 |
| 认知服务语言读取者 | 可以存取语言入口网站下的读取和测试功能 | 7628b7b8-a8b2-4cdc-b46f-e9b35248918e |
| 认知服务语言写入者 | 可以存取语言入口网站下的所有读取、测试和写入功能 | f2310ca1-dc64-4889-bb49-c8e0fa3d47a8 |
| 认知服务 LUIS 所有者 | 有权存取 LUIS 下的所有读取、测试、写入、部署和删除功能 | f72c8140-2111-481c-87ff-72b910f6e3f8 |
| 认知服务 LUIS 读者 | 可以存取 LUIS 下的读取和测试功能。 | 18e81cdc-4e98-4e29-a639-e7d10c5a6226 |
| 认知服务 LUIS 写入者 | 可以存取 LUIS 下的所有读取、测试和写入功能 | 6322a993-d5c9-4bed-b113-e49bbea25b27 |
| 认知服务指标顾问管理员 | 拥有对项目的完全访问权限,包括系统级配置。 | cb43c632-a144-4ec5-977c-e80c4affc34a |
| 认知服务指标顾问用户 | 访问该项目。 | 3b20f47b-3825-43cb-8114-4bd2201156a8 |
| 认知服务 OpenAI 参与者 | 完全访问权限,包括微调、部署和生成文本的功能 | a001fd3d-188f-4b5d-821b-7da978bf7442 |
| 认知服务 OpenAI 用户 | 查看文件、模型、部署的读取访问权限。 创建完成操作和嵌入调用的功能。 | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
| 认知服务 QnA Maker 编辑者 | 允许你创建、编辑、导入和导出知识库。 但不能发布或删除知识库。 | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
| 认知服务 QnA Maker 读取者 | 只能读取和测试知识库。 | 466ccd10-b268-4a11-b098-b4849f024126 |
| 认知服务语音参与者 | 完全存取语音项目,包括读取、写入和删除所有实体,用于即时语音认可和批量转录任务、即时语音合成和长音讯任务、自订语音和自订语音。 | 0e75ca1e-0464-4b4d-8b93-68208a576181 |
| 认知服务语音用户 | 存取即时语音认可和批次转录API、即时语音合成和长音讯API,以及读取自订模型的资料/测试/模型/端点,但无法建立、删除或修改自订模型的资料/测试/模型/端点。 | f2dc8367-1007-4938-bd23-fe263f013447 |
| 认知服务使用情况读取者 | 查看认知服务使用情况的最小权限。 | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
| 认知服务用户 | 允许读取和列出认知服务的密钥。 | a97b65f3-24c7-4388-baec-2e87135dc908 |
| 医疗保健代理管理员 | 具有管理员存取权限的使用者可以登入、检视和编辑所有机器人资源、场景和配置设置,包括机器人实例金钥&金钥。 | f1082fec-a70f-419f-9230-885d2550fb38 |
| 医疗保健代理编辑器 | 具有编辑存取权限的使用者可以登入、查看和编辑所有机器人资源、场景和配置设置,机器人实例密钥&密钥和最终用户输入(包括反馈、无法识别的话语和对话日志)除外。 对机器人技能和频道的唯读存取权限。 | af854a69-80ce-4ff7-8447-f1118a2e0ca8 |
| 医疗保健代理读取者 | 具有读者存取权限的使用者可以登录,对机器人资源、场景和配置设定具有唯读存取权限,机器人实例金钥&金钥(包括身份验证、数据连接和通道金钥)和最终用户输入(包括回馈、无法辨识的话语和对话日志)。 | eb5a76d5-50e7-4c33-a449-070e7c9c4cf2 |
| 搜索索引数据参与者 | 授予对 Azure 认知搜索索引数据的完全访问权限。 | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
| 搜索索引数据读取者 | 授予对 Azure 认知搜索索引数据的读取访问权限。 | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
| 搜索服务参与者 | 允许管理搜索服务,但不允许访问这些服务。 | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
物联网
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| Azure 数字孪生数据所有者 | 对数字孪生数据平面具有完全访问权限的角色 | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Azure 数字孪生数据读者 | 对数字孪生数据平面具有只读权限的角色 | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
| 设备预配服务数据参与者 | 允许对设备预配服务数据平面操作进行完全访问。 | dfce44e4-17b7-4bd1-a6d1-04996ec95633 |
| 设备预配服务数据读取者 | 允许对设备预配服务数据平面属性进行完全读取访问。 | 10745317-c249-44a1-a5ce-3a4353c0bbd8 |
| 设备更新管理员 | 授予你对管理操作和内容操作的完全访问权限 | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
| 设备更新内容管理员 | 授予你对内容操作的完全访问权限 | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
| 设备更新内容读取者 | 授予你对内容操作的读取访问权限,但不允许进行更改 | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
| 设备更新部署管理员 | 授予你对管理操作的完全访问权限 | e4237640-0e3d-4a46-8fda-70bc94856432 |
| 设备更新部署读取者 | 授予你对管理操作的读取访问权限,但不允许进行更改 | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
| 设备更新读取者 | 授予你对管理操作和内容操作的读取访问权限,但不允许进行更改 | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
| 固件分析管理员 | 在 Defender for IoT 中上传和分析韧体映像 | 9c1607d1-791d-4c68-885d-c7b7aaff7c8a |
| IoT 中心数据参与者 | 具有 IoT 中心数据平面操作的完全访问权限。 | 4fc6c259-987e-4a07-842e-c321cc9d413f |
| IoT 中心数据读取者 | 具有 IoT 中心数据平面属性的完全读取访问权限 | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
| IoT 中心注册表参与者 | 具有 IoT 中心设备注册表的完全访问权限。 | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
| IoT 中心孪生参与者 | 具有所有 IoT 中心设备和模块孪生的读写访问权限。 | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
混合现实
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| 远程渲染管理员 | 为用户提供 Azure 远程渲染的转换、管理会话、渲染和诊断功能 | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
| 远程渲染客户端 | 为用户提供 Azure 远程渲染的管理会话、渲染和诊断功能。 | d39065c4-c120-43c9-ab0a-63eed9795f0a |
整合
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| API 管理开发人员门户内容编辑器 | 可以自订开发人员门户、编辑其内容并发布。 | c031e6a8-4391-4de0-8d69-4706a7ed3729 |
| API 管理服务参与者 | 可以管理服务和 API | 312a565d-c81f-4fd8-895a-4e21e48d571c |
| API 管理服务操作员角色 | 可以管理服务,但不可管理 API | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| API 管理服务读者角色 | 对服务和 API 的只读访问权限 | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| API Management 服务工作区 API 开发人员 | 对标记和产品拥有读取访问权限,并拥有以下写入访问权限:将 API 分配到产品、将标记分配到产品和 API。 应在服务范围内分配此角色。 | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
| API 管理服务工作区 API 产品经理 | 具有与 API 管理服务工作区 API 开发人员相同的访问权限,对用户具有读取访问权限,并且具有写入访问权限,可允许将用户分配给组。 应在服务范围内分配此角色。 | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
| API 管理工作区 API 开发人员 | 对工作区中的实体具有读取访问权限,并对用于编辑 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 | 56328988-075d-4c6a-8766-d93edd6725b6 |
| API 管理工作区 API 产品经理 | 对工作区中的实体具有读取访问权限,并对用于发布 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
| API 管理工作区参与者 | 可以管理工作区和视图,但不能修改其成员。 应在工作区范围内分配此角色。 | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
| API 管理工作区读者 | 对工作区中的实体具有只读访问权限。 应在工作区范围内分配此角色。 | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2 |
| 应用程式配置贡献者 | 授予对应用程式配置资源的所有管理操作(清除除外)的权限。 | fe86443c-f201-4fc4-9d2a-ac61149fbda0 |
| 应用程序配置数据所有者 | 允许对应用程序配置数据进行完全访问。 | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
| 应用程序配置数据读取者 | 允许对应用程序配置数据进行读取访问。 | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| 应用程式配置读取器 | 授予应用程式配置资源的读取操作权限。 | 175b81b9-6e0d-490a-85e4-0d422273c10c |
| Azure API 中心合规性管理者 | 允许管理 Azure API 中心服务中的 API 合规性。 | ede9aaa3-4627-494e-be13-4aa7c256148d |
| Azure API 中心数据读取者 | 允许访问 Azure API 中心数据平面读取操作。 | c7244dfb-f447-457d-b2ba-3999044d1706 |
| Azure API 中心服务参与者 | 允许管理 Azure API 中心服务。 | dd24193f-ef65-44e5-8a7e-6fa6e03f7713 |
| Azure API 中心服务读取者 | 允许对 Azure API 中心服务进行只读访问。 | 6cba8790-29c5-48e5-bab1-c7541b01cb04 |
| Azure 中继侦听器 | 允许侦听对 Azure 中继资源的访问。 | 26e0b698-aa6d-4085-9386-aadae190014d |
| Azure 中继所有者 | 允许完全访问 Azure 中继资源。 | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
| Azure 中继发送方 | 允许发送对 Azure 中继资源的访问权限。 | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
| Azure 资源通知系统主题订阅者 | 允许您在 Azure 资源通知目前和将来公开的所有系统主题上建立系统主题和事件订阅 | 0b962ed2-6d56-471c-bd5f-3477d83a7ba4 |
| Azure 服务总线数据所有者 | 允许完全访问 Azure 服务总线资源。 | 090c5cfd-751d-490a-894a-3ce6f1109419 |
| Azure 服务总线数据接收方 | 允许对 Azure 服务总线资源进行接收访问。 | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
| Azure 服务总线数据发送方 | 允许对 Azure 服务总线资源进行发送访问。 | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
| BizTalk 参与者 | 允许管理 BizTalk 服务,但不允许访问这些服务。 | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
| DeID 批处理数据所有者 | 创建和管理 DeID 批处理作业。 此角色处于预览版阶段,可能会有所更改。 | 8a90fa6b-6997-4a07-8a95-30633a7c97b9 |
| DeID 批处理数据读取者 | 读取 DeID 批处理作业。 此角色处于预览版阶段,可能会有所更改。 | b73a14ee-91f5-41b7-bd81-920e12466be9 |
| DeID 数据所有者 | 完全访问 DeID 数据。 此角色处于预览版阶段,可能会有所更改 | 78e4b983-1a0b-472e-8b7d-8d770f7c5890 |
| DeID 实时数据用户 | 针对 DeID 实时终结点执行请求。 此角色处于预览版阶段,可能会有所更改。 | bb6577c4-ea0a-40b2-8962-ea18cb8ecd4e |
| DICOM 资料所有者 | 完全存取 DICOM 资料。 | 58a3b984-7adf-4c20-983a-32417c86fbc8 |
| DICOM 数据读取器 | 读取和搜寻 DICOM 数据。 | e89c7a3c-2f64-4fa1-a847-3e4c9ba4283a |
| 持久任务数据参与者 | 所有数据访问作的持久任务角色。 | 0ad04412-c4d5-4796-b79c-f76d14c8d402 |
| 持久任务数据读取器 | 读取所有持久任务计划程序数据。 | d6a5505f-6ebb-45a4-896e-ac8274cfc0ac |
| 持久任务工作者 | 辅助角色应用程序用于与 Durable Task 服务交互 | 80d0d6b0-f522-40a4-8886-a5a11720c375 |
| EventGrid 参与者 | 可以管理 EventGrid 操作。 | 1e241071-0855-49ea-94dc-649edcd759de |
| EventGrid 数据发送方 | 允许发送对事件网格事件的访问权限。 | d5a91429-5739-47e2-a06b-3470a27159e7 |
| EventGrid EventSubscription 参与者 | 可以管理 EventGrid 事件订阅操作。 | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
| EventGrid EventSubscription 读者 | 可以读取 EventGrid 事件订阅。 | 2414bbcf-6497-4faf-8c65-045460748405 |
| EventGrid TopicSpaces 发布者 | 允许您在主题空间上发布讯息。 | a12b0b94-b317-4dcd-84a8-502ce99884c6 |
| EventGrid TopicSpaces 订阅者 | 允许您订阅主题空间上的消息。 | 4b0f2fd7-60b4-4eca-896f-4435034f8bf5 |
| FHIR 数据参与者 | 角色允许用户或主体完全访问 FHIR 数据 | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
| FHIR 资料转换器 | 角色允许使用者或委托人将资料从旧格式转换为 FHIR | a1705bd2-3a8f-45a5-8683-466fcfd5cc24 |
| FHIR 数据导出者 | 角色允许用户或主体读取和导出 FHIR 数据 | 3db33094-8700-4567-8da5-1501d4e7e843 |
| FHIR 数据导入者 | 该角色允许用户或主体读取和导入 FHIR 数据 | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
| FHIR 数据读取者 | 角色允许用户或主体读取 FHIR 数据 | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
| FHIR 数据写入者 | 角色允许用户或主体读取和写入 FHIR 数据 | 3f88fce4-5892-4214-ae73-ba5294559913 |
| FHIR SMART 用户 | 角色允许使用者根据 SMART on FHIR 规格存取 FHIR 服务 | 4ba50f17-9666-485c-a643-ff00808643f0 |
| 集成服务环境参与者 | 允许管理集成服务环境,但不允许访问这些环境。 | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
| 集成服务环境开发人员 | 允许开发人员在集成服务环境中创建和更新工作流、集成帐户与 API 连接。 | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
| Intelligent Systems 帐户参与者 | 允许管理智能系统帐户,但不允许访问这些帐户。 | 03a6d094-3444-4b3d-88af-7477090a9e5e |
| 逻辑应用参与者 | 允许管理逻辑应用,但不允许更改其访问权限。 | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
| 逻辑应用操作员 | 允许读取、启用和禁用逻辑应用,但不允许编辑或更新它们。 | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
| 标准型逻辑应用参与者(预览版) | 可以管理标准逻辑应用和工作流的各个方面。 不能更改访问权限或所有权。 | ad710c24-b039-4e85-a019-deb4a06e8570 |
| 标准型逻辑应用开发者(预览版) | 可以为标准逻辑应用创建和编辑工作流、连接和设置。 不能在工作流范围之外进行更改。 | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
| 标准型逻辑应用操作者(预览版) | 你可以启用和禁用逻辑应用、重新提交工作流运行,以及创建连接。 不能编辑工作流或设置。 | b70c96e9-66fe-4c09-b6e7-c98e69c98555 |
| 标准型逻辑应用读取者(预览版) | 对标准型逻辑应用和工作流中的所有资源(包括工作流运行及其历史记录)具有只读访问权限。 | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
| 计划程序作业集合参与者 | 允许管理计划程序作业集合,但不允许访问这些集合。 | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
| 服务中心操作员 | “服务中心操作员”允许你执行与服务中心连接器相关的所有读取、写入和删除操作。 | 82200a5b-e217-47a5-b665-6d8765ee745b |
身份
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| 域服务参与者 | 可以管理 Azure AD 域服务和相关网络配置 | eeaeda52-9324-47f6-8069-5d5bade478b2 |
| 域服务读取者 | 可以查看 Azure AD 域服务和相关网络配置 | 361898ef-9ed1-48c2-849c-a832951106bb |
| 托管的标识参与者 | 创建、读取、更新和删除用户分配的标识 | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
| 托管的标识操作员 | 读取和分配用户分配的标识 | f1a07417-d97a-45cb-824c-7a7467783830 |
安全性
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| 应用合规性自动化管理员 | 可用于管理 Microsoft 365 的应用合规自动化工具 | 0f37683f-2463-46b6-9ce7-9b788b988ba2 |
| 应用合规性自动化读取者 | 允许对 Microsoft 365 的应用合规性自动化工具进行只读访问 | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
| 证明参与者 | 可读写或删除证明提供者实例 | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
| 证明读取者 | 可以读取证明提供程序属性 | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
| Key Vault 管理员 | 对密钥保管库以及其中的所有对象(包括证书、密钥和机密)执行所有数据平面操作。 无法管理密钥保管库资源或管理角色分配。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| 密钥保管库证书用户 | 读取证书内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
| Key Vault 证书管理人员 | 在密钥保管库的证书上执行任何操作,但不包括管理权限。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | a4417e6f-fecd-4de8-b567-7b0420556985 |
| 密钥保管库参与者 | 管理密钥保管库,但不允许您在 Azure RBAC 中分配角色,也不允许您访问秘密、密钥或证书。 | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| Key Vault 加密管理人员 | 对密钥保管库的密钥执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| 密钥保管库加密服务加密用户 | 读取密钥的元数据并执行包装/解包作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| 密钥保管库加密服务发布用户 | 发布密钥。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 08bbd89e-9f13-488c-ac41-acfcb10c90ab |
| Key Vault 加密用户 | 使用密钥执行加密操作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 12338af0-0e69-4776-bea7-57ae8d297424 |
| 密钥保管库数据访问管理员 | 通过添加或删除 Key Vault 管理员、Key Vault 证书官员、Key Vault 加密官、Key Vault 加密服务加密用户、Key Vault 加密用户、Key Vault 加密用户、Key Vault 读取者、Key Vault 机密官员或 Key Vault 机密用户角色来管理对 Azure Key Vault 的访问。 包括 ABAC 条件用于约束角色分配。 | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
| Key Vault 读取者 | 阅读密钥保管库及其证书、密钥和秘密的元数据。 无法读取机密内容或密钥材料等敏感值。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault 机密管理人员 | 对密钥保管库的机密执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Key Vault 机密用户 | 读取机密内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 4633458b-17de-408a-b874-0445c86b69e6 |
| 锁定参与者 | 可以管理锁操作。 | 28bf596f-4eb7-45ce-b5bc-6cf482fec137 |
| 托管 HSM 参与者 | 允许您管理托管的 HSM 池,但无法访问它们。 | 18500a29-7fe2-46b2-a342-b16a415e101d |
| Microsoft Sentinel 自动化参与者 | Microsoft Sentinel 自动化参与者 | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
| Microsoft Sentinel 参与者 | Microsoft Sentinel 参与者 | ab8e14d6-4a74-4a29-9ba8-549422addade |
| Microsoft Sentinel Playbook 操作员 | Microsoft Sentinel Playbook 操作员 | 51d6186e-6489-4900-b93f-92e23144cca5 |
| Microsoft Sentinel 读取者 | Microsoft Sentinel 读取者 | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
| Microsoft Sentinel 响应者 | Microsoft Sentinel 响应程序 | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
| 安全管理员 | 查看和更新 Microsoft Defender for Cloud 的权限。 与安全读取者角色相同的权限,但可以创建、更新和删除安全连接器、更新安全策略以及消除警报和建议。 | fb1c8493-542b-48eb-b624-b4c8fea62acd |
| 安全评估参与者 | 允许您将评估推送到 Microsoft Defender for Cloud | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
| 安全管理器(旧版) | 这是一个传统角色。 请改用安全管理员角色。 | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
| 安全读取者 | 查看 Microsoft Defender for Cloud 的权限。 可以查看建议、警报、安全策略和安全状态,但不能进行更改。 | 39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
显示器
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| Application Insights 组件参与者 | 可管理 Application Insights 组件 | ae349356-3a1b-4a5e-921d-050484c6347e |
| Application Insights 快照调试器 | 授予用户查看和下载使用 Application Insights Snapshot Debugger 收集的调试快照的权限。 请注意,所有者或参与者角色不包括这些权限。 在向用户授予 Application Insights Snapshot Debugger 角色时,必须将该角色直接授予用户。 将角色添加到自定义角色时,无法识别该角色。 | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
| Azure 托管 Grafana 工作区参与者 | 可以管理 Azure 托管 Grafana 资源,无需提供对工作区本身的访问权限。 | 5c2d7e57-b7c2-4d8a-be4f-82afa42c6e95 |
| 数据清除程序 | 从 Log Analytics 工作区中删除专用数据。 | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| Grafana 管理员 | 管理伺服器范围的设定并管理对组织、使用者和许可证等资源的存取。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Grafana 编辑者 | 建立、编辑、删除或检视仪表板;建立、编辑或删除资料夹;并编辑或查看播放清单。 | a79a5197-3a5c-4973-a920-486035ffd60f |
| Grafana 受限查看者 | 看主页。 | 41e04612-9dac-4699-a02b-c82ff2cc3fb5 |
| Grafana 查看者 | 查看仪表板、播放清单和查询资料来源。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
| Log Analytics 参与者 | Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志收集、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。 | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
| Log Analytics 读者 | Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。 | 73c42c96-874c-492b-b04d-ab87d138a893 |
| 监视参与者 | 可以读取所有监视数据和编辑监视设置。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| 监视指标发布者 | 允许针对 Azure 资源发布指标 | 3913510d-42f4-4e42-8a64-420c390055eb |
| 监视读取者 | 可以读取所有监视数据(指标、日志等)。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
| 工作簿参与者 | 可以保存共享的工作簿。 | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
| 工作簿读者 | 可以读取工作簿。 | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
管理和治理
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| 顾问建议参与者(评估和评审) | 查看评估建议、接受的审查建议并管理建议生命周期(将建议标记为已完成、推迟或忽略、进行中或未开始)。 | 6b534d80-e337-47c4-864f-140f5c7f593d |
| 顾问评审参与者 | 查看针对工作负荷的评审并会审与之关联的建议。 | 8aac15f0-d885-4138-8afa-bfb5872f7d13 |
| 顾问评审读者 | 查看针对工作负荷的评审以及与之关联的建议。 | c64499e0-74c3-47ad-921c-13865957895c |
| 自动化参与者 | 使用 Azure 自动化管理 Azure 自动化资源和其他资源。 | f353d9bd-d4a6-484e-a77a-8050b599b867 |
| 自动化作业操作员 | 使用自动化 Runbook 创建和管理作业。 | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
| 自动化操作员 | 自动化操作员能够启动、停止、暂停和恢复作业。 | d3881f73-407a-4167-8283-e981cbba0404 |
| 自动化 Runbook 操作员 | 读取 Runbook 属性 - 以能够创建 runbook 的作业。 | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
| Azure SAP 解决方案中心管理员 | 此角色提供對 Azure Center for SAP 解決方案的所有功能的讀寫存取權。 | 7b0c7e81-271f-4c71-90bf-e30bdfdbc2f7 |
| Azure SAP 解決方案中心讀者 | Azure SAP 解決方案中心讀者 | 05352d14-a920-4328-a0de-4cbe7430e26b |
| Azure SAP 解决方案中心服务角色 | Azure Center for SAP 解決方案服務角色 - 此角色旨在用於指派給使用者的託管識別碼提供權限。 Azure Center for SAP 解決方案將使用此識別碼來部署和管理 SAP 系統。 | aabbc5dd-1af0-458b-a942-81af88f9c138 |
| Azure Connected Machine 加入 | 可以加入 Azure Connected Machine。 | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
| Azure Connected Machine 资源管理员 | 可以读取、写入、删除和重新加入 Azure Connected Machine。 | cd570a14-e51a-42ad-bac8-bafd67325302 |
| Azure Connected Machine 资源管理员 | 用于 Azure Local 资源提供程序(Microsoft.AzureStackHCI 资源提供程序)的自定义角色,用于管理资源组中的混合计算机器和混合连接端点 | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
| 订阅的 Azure 客户密码箱审核者 | 在订阅所在的租户上启用 Azure 客户密码箱时,可以批准Microsoft支持请求来访问订阅中包含的特定资源或订阅本身。 | 4dae6930-7baf-46f5-909e-0383bc931c46 |
| 计费读者 | 允许读取账单数据 | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| 蓝图参与者 | 可以管理蓝图定义,但不能分配它们。 | 41077137-e803-4205-871c-5a86e6a753b4 |
| 蓝图操作员 | 可以分配现有已发布的蓝图,但不能创建新的蓝图。 请注意,只有在使用用户分配的托管标识进行分配时,这才有效。 | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
| 碳优化读者 | 允许对 Azure 碳优化数据进行读取访问 | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
| 成本管理参与者 | 可以查看费用并管理费用配置(例如预算、导出) | 434105ed-43f6-45c7-a02f-909b2ba83430 |
| 成本管理读者 | 可以查看成本数据和配置(例如,预算、导出) | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
| 层次结构设置管理员 | 允许用户编辑和删除层次结构设置 | 350f8d15-c687-4448-8ae1-157740a3936d |
| 托管应用程序参与者角色 | 允许创建托管应用程序资源。 | 641177b8-a67a-45b9-a033-47bc880bb21e |
| 托管应用程序操作员角色 | 允许您读取和执行对托管应用程序资源的操作 | c7393b34-138c-406f-901b-d8cf2b17e6ae |
| 托管应用程序发布者操作员 | 允许发布者读取托管应用程序的托管资源组中的资源,并请求对其他操作进行 JIT 访问。 此角色仅由托管应用程序服务用来提供对发布者的访问权限。 | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
| 托管服务注册分配删除角色 | 托管服务注册分配删除角色允许管理租户用户删除分配给其租户的注册分配。 | 91c1777a-f3dc-4fae-b103-61d183457e46 |
| 管理组参与者 | 管理组参与者角色 | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| 管理组读取者 | 管理组读取者角色 | ac63b705-f282-497d-ac71-919bf39d939d |
| New elic APM 帐户参与者 | 允许您管理 New Relic 应用性能管理的账户和应用程序,但无法访问它们。 | 5d28c62d-5b37-4476-8438-e587778df237 |
| 策略见解数据编写者(预览) | 允许对资源策略进行读取访问,并允许对资源组件策略事件进行写入访问。 | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
| 配额请求操作员 | 读取和创建配额请求、获取配额请求状态,并创建支持工单。 | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
| 预留买方 | 允许你购买预留 | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
| 预留读者 | 允许用户读取租户中的所有预留 | 582fc458-8989-419f-a480-75249bc5db7e |
| 资源策略参与者 | 具有创建/修改资源策略、创建支持票和读取资源/层次结构权限的用户。 | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| 储蓄计划购买者 | 让您购买储蓄计划 | 3d24a3a0-c154-4f6f-a5ed-adc8e01ddb74 |
| 计划修补参与者 | 提供访问权限以管理具有维护范围 InGuestPatch 和相应配置分配的维护配置 | cd08ab90-6b14-449c-ad9a-8f8e549482c6 |
| 服务组管理员 | 管理服务组和关系的各个方面。 创建服务组时分配给用户的默认角色。 包括 ABAC 条件用于约束角色分配。 | 4e50c84c-c78e-4e37-b47e-e60ffea0a775 |
| 服务组参与者 | 管理所有服务组和关系方面,但不允许你分配角色。 | 32e6a4ec-6095-4e37-b54b-12aa350ba81f |
| 服务组读取器 | 查看服务组并查看其依赖关系。 | de754d53-652d-4c75-a67f-1e48d8b49c97 |
| Site Recovery 参与者 | 允许管理除保管库创建和角色分配外的 Site Recovery 服务 | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| Site Recovery 操作员 | 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作 | 494ae006-db33-4328-bf46-533a6560a3ca |
| Site Recovery 读取者 | 该功能允许您查看站点恢复状态,但无法执行其他管理操作。 | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| 支持请求参与者 | 让您创建和管理支持请求 | cf33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| 标记参与者 | 允许您管理实体上的标签,而无需提供对实体本身的访问权限。 | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
| 模板规格参与者 | 允许在分配的范围内对模板规格操作进行完全访问。 | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
| 模板规格读取者 | 允许在分配的范围内对模板规格进行读取访问。 | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
混合 + 多云
| 内置角色 | DESCRIPTION | ID |
|---|---|---|
| Arc 网关管理器 | 管理 Arc 网关资源 | f6e92014-8af2-414d-9948-9b1abf559285 |
| Azure Arc ScVmm 管理员角色 | Arc ScVmm VM 管理员有权执行所有 ScVmm 操作。 | a92dfd61-77f9-4aec-a531-19858b406c87 |
| Azure Arc ScVmm 私有云用户 | Azure Arc ScVmm 私有云用户有权使用 ScVmm 资源部署 VM。 | c0781e91-8102-4553-8951-97c6d4243cda |
| Azure Arc ScVmm 私有云入驻 | Azure Arc ScVmm 私有云加入角色有权预配所需的所有资源,以在 Azure 中加入和去除 vmm 服务器实例。 | 6aac74c4-6311-40d2-bbdd-7d01e7c6e3a9 |
| Azure Arc ScVmm VM 参与者 | Arc ScVmm VM 贡献者有权执行所有虚拟机操作。 | e582369a-e17b-42a5-b10c-874c387c530b |
| Azure 资源网桥部署角色 | Azure 资源桥部署角色仅用于 Azure Stack HCI。 | 7b1f81f9-4196-4058-8aae-762e593270df |
| Azure Stack HCI 管理员 | 授予对群集及其资源的完全访问权限,包括注册 Azure Local 并将其他人分配为 Azure Stack HCI VM 参与者和/或 Azure Stack HCI VM 读者的权限 | bda0d508-adf1-4af0-9c28-88919fc3ae06 |
| Azure Stack HCI 连接的 InfraVM | Azure Stack HCI 基础结构虚拟机 Arc 集成的角色。 | c99c945f-8bd1-4fb1-a903-01460aae6068 |
| Azure Stack HCI 设备管理角色 | Microsoft.AzureStackHCI 设备管理角色 | 865ae368-6a45-4bd1-8fbf-0d5151f56fc1 |
| Azure Stack HCI VM 参与者 | 授予执行所有 VM 操作的权限 | 874d1c73-6003-4e60-a13a-cb31ea190a85 |
| Azure Stack HCI VM 读者 | 授予查看 VM 的权限 | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
| Azure Stack 注册所有者 | 允许管理 Azure Stack 注册。 | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |
| 混合式伺服器资源管理员 | 可以读取、写入、删除混合伺服器以及将混合伺服器重新载入到混合资源提供者。 | 48b40c6e-82e0-4eb3-90d5-19e40f49b624 |