Microsoft Entra 授权 - REST API 参考

使用 Microsoft Entra 身份验证时,由基于角色的访问控制 (RBAC) 处理授权。 RBAC 要求将用户分配到角色,以便授予对资源的访问权限。 每个角色都包含一组分配给该角色的用户能够执行的操作。

角色

默认情况下,以下角色在 Azure 订阅中可用:

  • Azure 应用配置数据所有者:此角色提供对所有操作的完全访问权限。 它允许执行以下操作:
    • Microsoft.AppConfiguration/configurationStores/*/read
    • Microsoft.AppConfiguration/configurationStores/*/write
    • Microsoft.AppConfiguration/configurationStores/*/delete
    • Microsoft.AppConfiguration/configurationStores/*/action
  • Azure 应用配置数据读取者:此角色支持读取操作。 它允许执行以下操作:
    • Microsoft.AppConfiguration/configurationStores/*/read

操作

角色包含分配给该角色的用户可执行的操作的列表。 Azure 应用配置支持以下操作:

  • Microsoft.AppConfiguration/configurationStores/keyValues/read:此操作允许对应用程序配置键/值资源(例如 /kv 和 /labels)进行读取访问。
  • Microsoft.AppConfiguration/configurationStores/keyValues/write:此操作允许对应用配置键/值资源进行写入访问。
  • Microsoft.AppConfiguration/configurationStores/keyValues/delete:此操作允许删除应用配置键/值资源。 请注意,删除资源将返回已删除的键/值。
  • Microsoft.AppConfiguration/configurationStores/snapshots/read:此操作允许对应用程序配置快照资源以及快照中包含的任何键值进行读取访问。
  • Microsoft.AppConfiguration/configurationStores/snapshots/write:此操作允许对应用程序配置快照资源进行写入访问。
  • Microsoft.AppConfiguration/configurationStores/snapshots/archive/action:此操作允许进行访问来存档和恢复应用程序配置快照资源。

错误

HTTP/1.1 403 Forbidden

原因: 发出请求的主体没有执行请求的操作所需的权限。 解决方案: 将执行请求的操作所需的角色分配给发出请求的主体。

管理角色分配

用户可以按照所有 Azure 服务的标准 Azure RBAC 过程来管理角色分配。 可以通过 Azure CLI、PowerShell 和 Azure 门户执行此操作。 有关详细信息,请参阅使用 Azure 门户分配 Azure 角色