Azure 中的内置角色
-
作者
基于角色的访问控制 (RBAC) 拥有多个内置角色定义,可将其分配给用户、组和服务主体。 角色分配是控制对 Azure 资源的访问的方式。 如果内置角色不能满足组织的特定需求,则你可以创建自己的自定义角色。
内置角色始终在不断演变。 若要获取最新的角色定义,请使用 Get-AzureRmRoleDefinition 或 az role definition list。
内置角色说明
下表提供内置角色的简短说明。 单击角色名称,查看每个角色的 Actions、NotActions、DataActions 和 NotDataActions 列表。
| 内置角色 | 说明 |
|---|---|
| 所有者 | 允许管理所有功能,包括对资源的访问权限。 |
| 参与者 | 允许管理所有功能(对资源的访问权限除外)。 |
| 读者 | 允许查看所有内容,但不能进行任何更改。 |
| AcrImageSigner | ACR 映像签名程序 |
| AcrQuarantineReader | ACR 隔离数据读取器 |
| AcrQuarantineWriter | ACR 隔离数据编写器 |
| API 管理服务参与者 | 允许你管理 API 管理服务,但不允许你访问这些服务。 |
| API 管理服务操作员角色 | 可以管理服务,但不可管理 API |
| API 管理服务读者角色 | 对服务和 API 的只读访问权限 |
| Application Insights 组件参与者 | 可管理 Application Insights 组件 |
| Application Insights 快照调试器 | 授予用户使用 Application Insights 快照调试器功能的权限 |
| 自动化作业操作员 | 使用自动化 Runbook 创建和管理作业。 |
| 自动化运算符 | 自动化操作员能够启动、停止、暂停和恢复作业 |
| 自动化 Runbook 操作员 | 读取 Runbook 属性 - 以能够创建 runbook 的作业。 |
| Azure Kubernetes 服务群集管理员角色 | 列出群集管理员凭据操作。 |
| Azure Kubernetes 服务群集用户角色 | 列出群集用户凭据操作。 |
| Azure Stack 注册所有者 | 允许管理 Azure Stack 注册。 |
| 备份参与者 | 允许管理备份服务,但不允许创建保管库以及授予其他人访问权限 |
| 备份操作员 | 允许管理备份服务,但删除备份、创建保管库以及授予其他人访问权限除外 |
| 备份读者 | 可以查看备份服务,但是不能进行更改 |
| 计费读者 | 允许读取计费数据 |
| BizTalk 参与者 | 允许管理 BizTalk 服务,但不允许访问这些服务。 |
| CDN 终结点参与者 | 可以管理 CDN 终结点,但不能向其他用户授予访问权限。 |
| CDN 终结点读者 | 可以查看 CDN 终结点,但不能进行更改。 |
| CDN 配置文件参与者 | 可以管理 CDN 配置文件及其终结点,但不能向其他用户授予访问权限。 |
| CDN 配置文件读者 | 可以查看 CDN 配置文件及其终结点,但不能进行更改。 |
| 经典网络参与者 | 允许管理经典网络,但不允许访问这些网络。 |
| 经典存储帐户参与者 | 允许管理经典存储帐户,但不允许对其进行访问。 |
| 经典存储帐户密钥操作员服务角色 | 允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥 |
| 经典虚拟机参与者 | 允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 |
| ClearDB MySQL DB 参与者 | 允许管理 ClearDB MySQL 数据库,但不允许访问这些数据库。 |
| Cosmos DB 帐户读者角色 | 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。 |
| Data Box 参与者 | 可让你管理 Data Box 服务下的所有内容,但不能向其他人授予访问权限。 |
| Data Box 操作员 | 可让你管理 Data Box 服务,但不能创建订单或编辑订单详细信息,以及向其他人授予访问权限。 |
| 数据工厂参与者 | 允许管理数据工厂,但不允许访问它们。 |
| Data Lake Analytics 开发人员 | 允许提交、监视和管理自己的作业,但是不允许创建或删除 Data Lake Analytics 帐户。 |
| 数据清除程序 | 可清除分析数据 |
| DevTest 实验室用户 | 允许连接、启动、重启和关闭 Azure 开发测试实验室中的虚拟机。 |
| DNS 区域参与者 | 允许管理 Azure DNS 中的 DNS 区域和记录集,但不允许控制对其访问的人员。 |
| DocumentDB 帐户参与者 | 可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。 |
| Intelligent Systems 帐户参与者 | 允许管理智能系统帐户,但不允许访问这些帐户。 |
| 密钥保管库参与者 | 允许管理密钥保管库,但不允许对其进行访问。 |
| 实验室创建者 | 允许在 Azure 实验室帐户下创建、管理、删除托管实验室。 |
| Log Analytics 参与者 | Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志集合、创建和配置自动化帐户、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。 |
| Log Analytics 读者 | Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。 |
| 逻辑应用参与者 | 允许管理逻辑应用,但不允许对其进行访问。 |
| 逻辑应用操作员 | 允许读取、启用和禁用逻辑应用。 |
| 托管应用程序操作员角色 | 可让你在托管应用程序资源上读取和执行操作 |
| 托管的标识参与者 | 创建、读取、更新和删除用户分配的标识 |
| 托管的标识操作员 | 读取和分配用户分配的标识 |
| 管理组参与者 | 管理组参与者角色 |
| 管理组读取者 | 管理组读取者角色 |
| 监视参与者 | 可以读取所有监视数据和编辑监视设置。 另请参阅 Azure Monitor 的角色、权限和安全入门。 |
| 监视指标发布者 | 允许针对 Azure 资源发布指标 |
| 监视读取者 | 可以读取所有监视数据(指标、日志等)。 另请参阅 Azure Monitor 的角色、权限和安全入门。 |
| 网络参与者 | 允许管理网络,但不允许访问这些网络。 |
| New elic APM 帐户参与者 | 允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。 |
| 读取器和数据访问 | 允许查看所有内容,但不允许删除或创建存储帐户或包含的资源。 它还允许使用存储帐户密钥对存储帐户中包含的所有数据进行读/写访问。 |
| Redis 缓存参与者 | 允许管理 Redis 缓存,但不允许访问这些缓存。 |
| 资源策略参与者(预览) | (预览)通过 EA 回填的 用户,具有创建/修改资源策略、创建支持票证和读取资源/层次结构的权限。 |
| 计划程序作业集合参与者 | 允许管理计划程序作业集合,但不允许访问这些集合。 |
| 搜索服务参与者 | 允许管理搜索服务,但不允许访问这些服务。 |
| 安全管理员 | 仅在安全中心内:可以查看安全策略、查看安全状态、编辑安全策略、查看警报和建议、关闭警报和建议 |
| 安全管理器 | 允许管理安全性组件、安全策略和虚拟机 |
| 安全读者 | 仅在安全中心内:可以查看建议和警报、查看安全策略、查看安全状态,但不能进行更改 |
| Site Recovery 参与者 | 允许管理除保管库创建和角色分配外的 Site Recovery 服务 |
| Site Recovery 操作员 | 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作 |
| Site Recovery 读取者 | 允许查看 Site Recovery 状态,但不允许执行其他管理操作 |
| SQL DB 参与者 | 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。 |
| SQL 安全管理器 | 允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。 |
| SQL Server 参与者 | 允许管理 SQL 服务器和数据库,但不允许访问它们及其安全相关的策略。 |
| 存储帐户参与者 | 允许管理存储帐户,但不允许对其进行访问。 |
| 存储帐户密钥操作员服务角色 | 允许存储帐户密钥操作员在存储帐户上列出和重新生成密钥 |
| 存储 Blob 数据参与者(预览) | 授予对 Azure 存储 blob 容器和数据的读取、写入和删除权限 |
| 存储 Blob 数据读者(预览) | 授予对 Azure 存储 blob 容器和数据的读取权限 |
| 存储队列数据参与者(预览) | 授予对 Azure 存储队列和队列消息的读取、写入和删除权限 |
| 存储队列数据读者(预览) | 授予对 Azure 存储队列和队列消息的读取权限 |
| 支持请求参与者 | 允许创建和管理支持请求 |
| 流量管理器参与者 | 允许管理流量管理器配置文件,但不允许控制谁可以访问它们。 |
| 用户访问管理员 | 允许管理用户对 Azure 资源的访问权限。 |
| 虚拟机管理员登录 | 在门户中查看虚拟机并以管理员身份登录 |
| 虚拟机参与者 | 允许管理虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 |
| 虚拟机用户登录 | 在门户中查看虚拟机并以普通用户身份登录。 |
| Web 计划参与者 | 允许管理网站的 Web 计划,但不允许访问这些计划。 |
| 网站参与者 | 允许管理网站(而非 Web 计划),但不允许访问这些网站。 |
所有者
| 说明 | 允许管理所有功能,包括对资源的访问权限。 |
| Id | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
| 操作 | |
| * | 创建和管理所有类型的资源 |
参与者
| 说明 | 允许管理所有功能(对资源的访问权限除外)。 |
| Id | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 操作 | |
| * | 创建和管理所有类型的资源 |
| 不操作 | |
| Microsoft.Authorization/*/Delete | 无法删除角色和角色分配 |
| Microsoft.Authorization/*/Write | 无法创建角色和角色分配 |
| Microsoft.Authorization/elevateAccess/Action | 向调用方授予租户范围的“用户访问管理员”访问权限 |
| Microsoft.Blueprint/blueprintAssignments/write | |
| Microsoft.Blueprint/blueprintAssignments/delete |
读取器
| 说明 | 允许查看所有内容,但不能进行任何更改。 |
| Id | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| 操作 | |
| */read | 读取除密码外的所有类型的资源。 |
AcrImageSigner
| 说明 | ACR 映像签名程序 |
| Id | 6cef56e8-d556-48e5-a04f-b8e64114680f |
| 操作 | |
| Microsoft.ContainerRegistry/registries/*/read | |
| Microsoft.ContainerRegistry/registries/*/write |
AcrQuarantineReader
| 说明 | ACR 隔离数据读取器 |
| Id | cdda3590-29a3-44f6-95f2-9f980659eb04 |
| 操作 | |
| Microsoft.ContainerRegistry/registries/*/read |
AcrQuarantineWriter
| 说明 | ACR 隔离数据编写器 |
| Id | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
| 操作 | |
| Microsoft.ContainerRegistry/registries/*/write | |
| Microsoft.ContainerRegistry/registries/*/read |
API 管理服务参与者
| 说明 | 允许你管理 API 管理服务,但不允许你访问这些服务。 |
| Id | 312a565d-c81f-4fd8-895a-4e21e48d571c |
| 操作 | |
| Microsoft.ApiManagement/service/* | 创建和管理 API 管理服务 |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
API 管理服务操作员角色
| 说明 | 可以管理服务,但不可管理 API |
| Id | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| 操作 | |
| Microsoft.ApiManagement/service/*/read | 读取 API 管理服务实例 |
| Microsoft.ApiManagement/service/backup/action | 将 API 管理服务备份到用户提供的存储帐户中的指定容器 |
| Microsoft.ApiManagement/service/delete | 删除 API 管理服务实例 |
| Microsoft.ApiManagement/service/managedeployments/action | 更改 API 管理服务的 SKU/单位,以及添加/删除其区域部署 |
| Microsoft.ApiManagement/service/read | 读取 API 管理服务实例的元数据 |
| Microsoft.ApiManagement/service/restore/action | 从用户提供的存储帐户中的指定容器还原 API 管理服务 |
| Microsoft.ApiManagement/service/updatecertificate/action | 上传 API 管理服务的 SSL 证书 |
| Microsoft.ApiManagement/service/updatehostname/action | 设置、更新或删除 API 管理服务的自定义域名 |
| Microsoft.ApiManagement/service/write | 创建 API 管理服务的新实例 |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| 不操作 | |
| Microsoft.ApiManagement/service/users/keys/read | 获取用户密钥的列表 |
API 管理服务读者角色
| 说明 | 对服务和 API 的只读访问权限 |
| Id | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| 操作 | |
| Microsoft.ApiManagement/service/*/read | 读取 API 管理服务实例 |
| Microsoft.ApiManagement/service/read | 读取 API 管理服务实例的元数据 |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| 不操作 | |
| Microsoft.ApiManagement/service/users/keys/read | 获取用户密钥的列表 |
Application Insights 组件参与者
| 说明 | 可管理 Application Insights 组件 |
| Id | ae349356-3a1b-4a5e-921d-050484c6347e |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.Insights/components/* | 创建和管理 Insights 组件 |
| Microsoft.Insights/webtests/* | 创建和管理 Web 测试 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
Application Insights 快照调试器
| 说明 | 授予用户使用 Application Insights 快照调试器功能的权限 |
| Id | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Insights/components/*/read | |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
自动化作业操作员
| 说明 | 使用自动化 Runbook 创建和管理作业。 |
| Id | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | 读取混合 Runbook 辅助角色资源 |
| Microsoft.Automation/automationAccounts/jobs/read | 获取 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/resume/action | 恢复 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/stop/action | 停止 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/streams/read | 获取 Azure 自动化作业流 |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | 暂停 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/write | 创建 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/output/read | 获取作业的输出 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
自动化运算符
| 说明 | 自动化操作员能够启动、停止、暂停和恢复作业 |
| Id | d3881f73-407a-4167-8283-e981cbba0404 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read | 读取混合 Runbook 辅助角色资源 |
| Microsoft.Automation/automationAccounts/jobs/read | 获取 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/resume/action | 恢复 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/stop/action | 停止 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/streams/read | 获取 Azure 自动化作业流 |
| Microsoft.Automation/automationAccounts/jobs/suspend/action | 暂停 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/write | 创建 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobSchedules/read | 获取 Azure 自动化作业计划 |
| Microsoft.Automation/automationAccounts/jobSchedules/write | 创建 Azure 自动化作业计划 |
| Microsoft.Automation/automationAccounts/linkedWorkspace/read | 获取链接到自动化帐户的工作区 |
| Microsoft.Automation/automationAccounts/read | 获取 Azure 自动化帐户 |
| Microsoft.Automation/automationAccounts/runbooks/read | 获取 Azure 自动化 Runbook |
| Microsoft.Automation/automationAccounts/schedules/read | 获取 Azure 自动化计划资产 |
| Microsoft.Automation/automationAccounts/schedules/write | 创建或更新 Azure 自动化计划资产 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Automation/automationAccounts/jobs/output/read | 获取作业的输出 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
自动化 Runbook 操作员
| 说明 | 读取 Runbook 属性 - 以能够创建 runbook 的作业。 |
| Id | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Automation/automationAccounts/runbooks/read | 获取 Azure 自动化 Runbook |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
Azure Kubernetes 服务群集管理员角色
| 说明 | 列出群集管理员凭据操作。 |
| Id | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
| 操作 | |
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | 列出托管群集的 clusterAdmin 凭据 |
Azure Kubernetes 服务群集用户角色
| 说明 | 列出群集用户凭据操作。 |
| Id | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
| 操作 | |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 列出托管群集的 clusterUser 凭据 |
Azure Stack 注册所有者
| 说明 | 允许管理 Azure Stack 注册。 |
| Id | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |
| 操作 | |
| Microsoft.AzureStack/registrations/products/listDetails/action | 检索 Azure Stack 市场产品的扩展详细信息 |
| Microsoft.AzureStack/registrations/products/read | 获取 Azure Stack 市场产品的属性 |
| Microsoft.AzureStack/registrations/read | 获取 Azure Stack 注册的属性 |
备份参与者
| 说明 | 允许管理备份服务,但不允许创建保管库以及授予其他人访问权限 |
| Id | 5e467623-bb1f-42f4-a55d-6e525e11384b |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read | GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/backupconfig/vaultconfig/* | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/* | 管理备份管理操作的结果 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/* | 在恢复服务保管库的备份结构内创建和管理备份容器 |
| Microsoft.RecoveryServices/Vaults/backupJobs/* | 创建和管理备份作业 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action | 导出作业 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/operationResults/read | 返回导出作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupManagementMetaData/* | 创建和管理与备份管理相关的元数据 |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/* | 创建和管理备份管理操作的结果 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/* | 创建和管理备份策略 |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/* | 创建和管理可以备份的项 |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/* | 创建和管理已备份的项 |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/* | 创建和管理保存备份项的容器 |
| Microsoft.RecoveryServices/Vaults/backupSecurityPIN/* | |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read | 返回恢复服务的受保护项和受保护服务器的摘要。 |
| Microsoft.RecoveryServices/Vaults/certificates/* | 创建和管理与恢复服务保管库中的备份相关的证书 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/* | 创建和管理与保管库相关的扩展信息 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | 获取恢复服务保管库的警报。 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* | |
| Microsoft.RecoveryServices/Vaults/read | “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/* | 管理用于获取新创建的容器的发现操作 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/* | 创建和管理已注册标识 |
| Microsoft.RecoveryServices/Vaults/storageConfig/* | |
| Microsoft.RecoveryServices/Vaults/usages/* | 创建和管理恢复服务保管库的使用情况 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/read | 返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.RecoveryServices/locations/* | |
| Microsoft.Support/* | 创建和管理支持票证 |
备份操作员
| 说明 | 允许管理备份服务,但删除备份、创建保管库以及授予其他人访问权限除外 |
| Id | 00c29273-979b-4161-815c-10b084fb9324 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read | GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/backupconfig/vaultconfig/* | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read | 返回操作状态 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read | 获取对保护容器执行的操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/backup/action | 对受保护的项执行备份。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read | 获取对受保护项执行的操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read | 返回对受保护项执行的操作的状态。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read | 返回受保护项的对象详细信息 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/provisionInstantItemRecovery/action | 预配受保护项的即时项恢复 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read | 获取受保护项的恢复点。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/restore/action | 还原受保护项的恢复点。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/revokeInstantItemRecovery/action | 吊销受保护项的即时项恢复 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write | 创建备份受保护项 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read | 返回所有已注册的容器 |
| Microsoft.RecoveryServices/Vaults/backupJobs/* | 创建和管理备份作业 |
| Microsoft.RecoveryServices/Vaults/backupJobs/cancel/action | 取消作业 |
| Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read | 返回作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupJobs/read | 返回所有作业对象 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action | 导出作业 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/operationResults/read | 返回导出作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupManagementMetaData/read | 返回恢复服务保管库的备份管理元数据。 |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/* | 创建和管理备份管理操作的结果 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read | 获取策略操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationStatus/read | |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read | 返回所有保护策略 |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/* | 创建和管理可以备份的项 |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/read | 返回所有可保护项的列表。 |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/read | 返回所有受保护项的列表。 |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read | 返回属于订阅的所有容器 |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read | 返回恢复服务的受保护项和受保护服务器的摘要。 |
| Microsoft.RecoveryServices/Vaults/certificates/write | “更新资源证书”操作更新资源/保管库凭据证书。 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read | “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/write | “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | 获取恢复服务保管库的警报。 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* | |
| Microsoft.RecoveryServices/Vaults/read | “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action | 刷新容器列表 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read | “获取操作结果”操作可用于获取异步提交的操作的操作状态和结果 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read | “获取容器”操作可用于获取针对资源注册的容器。 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/write | “注册服务容器”操作可用于向恢复服务注册容器。 |
| Microsoft.RecoveryServices/Vaults/storageConfig/* | |
| Microsoft.RecoveryServices/Vaults/usages/read | 返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/read | 返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.Support/* | 创建和管理支持票证 |
备份读取器
| 说明 | 可以查看备份服务,但是不能进行更改 |
| Id | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read | 返回操作状态 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read | 获取对保护容器执行的操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read | 获取对受保护项执行的操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read | 返回对受保护项执行的操作的状态。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read | 返回受保护项的对象详细信息 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read | 返回所有已注册的容器 |
| Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read | 返回作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupJobs/read | 返回所有作业对象 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action | 导出作业 |
| Microsoft.RecoveryServices/Vaults/backupManagementMetaData/read | 返回恢复服务保管库的备份管理元数据。 |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/read | 返回恢复服务保管库的备份操作结果。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read | 获取策略操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read | 返回所有保护策略 |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/read | 返回所有受保护项的列表。 |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read | 返回属于订阅的所有容器 |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read | 返回恢复服务的受保护项和受保护服务器的摘要。 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read | “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/read | “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/read | |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read | “获取操作结果”操作可用于获取异步提交的操作的操作状态和结果 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read | “获取容器”操作可用于获取针对资源注册的容器。 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read | GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/notificationConfiguration/read | |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | 获取恢复服务保管库的警报。 |
| Microsoft.RecoveryServices/Vaults/storageConfig/read | |
| Microsoft.RecoveryServices/Vaults/backupconfig/vaultconfig/read | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read | 获取受保护项的恢复点。 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/operationResults/read | 返回导出作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/usages/read | 返回恢复服务保管库的使用情况详细信息。 |
计费读者
| 说明 | 允许读取计费数据 |
| Id | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Billing/*/read | 读取计费信息 |
| Microsoft.Consumption/*/read | |
| Microsoft.Commerce/*/read | |
| Microsoft.Management/managementGroups/read | 列出已通过身份验证的用户的管理组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
BizTalk 参与者
| 说明 | 允许管理 BizTalk 服务,但不允许访问这些服务。 |
| Id | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.BizTalkServices/BizTalk/* | 创建和管理 BizTalk 服务 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
CDN 终结点参与者
| 说明 | 可以管理 CDN 终结点,但不能向其他用户授予访问权限。 |
| Id | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/endpoints/* | |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
CDN 终结点读者
| 说明 | 可以查看 CDN 终结点,但不能进行更改。 |
| Id | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/endpoints/*/read | |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
CDN 配置文件参与者
| 说明 | 可以管理 CDN 配置文件及其终结点,但不能向其他用户授予访问权限。 |
| Id | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/* | |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
CDN 配置文件读者
| 说明 | 可以查看 CDN 配置文件及其终结点,但不能进行更改。 |
| Id | 8f96442b-4075-438f-813d-ad51ab4019af |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Cdn/edgenodes/read | |
| Microsoft.Cdn/operationresults/* | |
| Microsoft.Cdn/profiles/*/read | |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
经典网络参与者
| 说明 | 允许管理经典网络,但不允许访问这些网络。 |
| Id | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| 操作 | |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.ClassicNetwork/* | 创建和管理经典网络 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
经典存储帐户参与者
| 说明 | 允许管理经典存储帐户,但不允许对其进行访问。 |
| Id | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.ClassicStorage/storageAccounts/* | 创建和管理存储帐户 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
经典存储帐户密钥操作员服务角色
| 说明 | 允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥 |
| Id | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| 操作 | |
| Microsoft.ClassicStorage/storageAccounts/listkeys/action | 列出存储帐户的访问密钥。 |
| Microsoft.ClassicStorage/storageAccounts/regeneratekey/action | 再生成存储帐户的现有访问密钥。 |
经典虚拟机参与者
| 说明 | 允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 |
| Id | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| 操作 | |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.ClassicCompute/domainNames/* | 创建和管理经典计算域名 |
| Microsoft.ClassicCompute/virtualMachines/* | 创建和管理虚拟机 |
| Microsoft.ClassicNetwork/networkSecurityGroups/join/action | |
| Microsoft.ClassicNetwork/reservedIps/link/action | 链接保留 IP |
| Microsoft.ClassicNetwork/reservedIps/read | 获取保留 IP |
| Microsoft.ClassicNetwork/virtualNetworks/join/action | 加入虚拟网络。 |
| Microsoft.ClassicNetwork/virtualNetworks/read | 获取虚拟网络。 |
| Microsoft.ClassicStorage/storageAccounts/disks/read | 返回存储帐户磁盘。 |
| Microsoft.ClassicStorage/storageAccounts/images/read | 返回存储帐户映像。 (已弃用。 请使用“Microsoft.ClassicStorage/storageAccounts/vmImages”) |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | 列出存储帐户的访问密钥。 |
| Microsoft.ClassicStorage/storageAccounts/read | 返回包含给定帐户的存储帐户。 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
ClearDB MySQL DB 参与者
| 说明 | 允许管理 ClearDB MySQL 数据库,但不允许访问这些数据库。 |
| Id | 9106cda0-8a86-4e81-b686-29a22c54effe |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| successbricks.cleardb/databases/* | 创建和管理 ClearDB MySQL 数据库 |
Cosmos DB 帐户读者角色
| 说明 | 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。 |
| Id | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配,可以读取授予每个用户的权限 |
| Microsoft.DocumentDB/*/read | 读取任何集合 |
| Microsoft.DocumentDB/databaseAccounts/readonlykeys/action | 读取数据库帐户只读密钥。 |
| Microsoft.Insights/MetricDefinitions/read | 读取指标定义 |
| Microsoft.Insights/Metrics/read | 添加指标 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
Data Box 参与者
| 说明 | 可让你管理 Data Box 服务下的所有内容,但不能向其他人授予访问权限。 |
| Id | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| Microsoft.Databox/* |
Data Box 操作员
| 说明 | 可让你管理 Data Box 服务,但不能创建订单或编辑订单详细信息,以及向其他人授予访问权限。 |
| Id | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Support/* | 创建和管理支持票证 |
| Microsoft.Databox/jobs/listsecrets/action | 列出与订单相关的未加密密码。 |
数据工厂参与者
| 说明 | 允许管理数据工厂,但不允许访问它们。 |
| Id | 673868aa-7521-48a0-acc6-0f60742d39f5 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.DataFactory/dataFactories/* | 创建和管理数据工厂,以及它们包含的子资源。 |
| Microsoft.DataFactory/factories/* | 创建和管理数据工厂,以及它们包含的子资源。 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
Data Lake Analytics 开发人员
| 说明 | 允许提交、监视和管理自己的作业,但是不允许创建或删除 Data Lake Analytics 帐户。 |
| Id | 47b7735b-770e-4598-a7da-8b91488b4c88 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.BigAnalytics/accounts/* | |
| Microsoft.DataLakeAnalytics/accounts/* | |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| 不操作 | |
| Microsoft.BigAnalytics/accounts/Delete | |
| Microsoft.BigAnalytics/accounts/TakeOwnership/action | |
| Microsoft.BigAnalytics/accounts/Write | |
| Microsoft.DataLakeAnalytics/accounts/Delete | 删除 DataLakeAnalytics 帐户。 |
| Microsoft.DataLakeAnalytics/accounts/TakeOwnership/action | 授权取消由其他用户提交的作业。 |
| Microsoft.DataLakeAnalytics/accounts/Write | 创建或更新 DataLakeAnalytics 帐户。 |
| Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Write | 获取或更新 DataLakeAnalytics 帐户的链接 DataLakeStore 帐户。 |
| Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Delete | 从 DataLakeAnalytics 帐户取消链接 DataLakeStore 帐户。 |
| Microsoft.DataLakeAnalytics/accounts/storageAccounts/Write | 创建或更新 DataLakeAnalytics 帐户的链接存储帐户。 |
| Microsoft.DataLakeAnalytics/accounts/storageAccounts/Delete | 从 DataLakeAnalytics 帐户取消链接存储帐户。 |
| Microsoft.DataLakeAnalytics/accounts/firewallRules/Write | 创建或更新防火墙规则。 |
| Microsoft.DataLakeAnalytics/accounts/firewallRules/Delete | 删除防火墙规则。 |
| Microsoft.DataLakeAnalytics/accounts/computePolicies/Write | 创建或更新计算策略。 |
| Microsoft.DataLakeAnalytics/accounts/computePolicies/Delete | 删除计算策略。 |
数据清除程序
| 说明 | 可清除分析数据 |
| Id | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| 操作 | |
| Microsoft.Insights/components/*/read | |
| Microsoft.Insights/components/purge/action | 从 Application Insights 清除数据 |
| Microsoft.OperationalInsights/workspaces/*/read | |
| Microsoft.OperationalInsights/workspaces/purge/action | 从工作区中删除指定数据 |
DevTest 实验室用户
| 说明 | 允许连接、启动、重启和关闭 Azure 开发测试实验室中的虚拟机。 |
| Id | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Compute/availabilitySets/read | 获取可用性集的属性 |
| Microsoft.Compute/virtualMachines/*/read | 读取虚拟机属性(VM 大小、运行时状态、VM 扩展等) |
| Microsoft.Compute/virtualMachines/deallocate/action | 关闭虚拟机并释放计算资源 |
| Microsoft.Compute/virtualMachines/read | 获取虚拟机的属性 |
| Microsoft.Compute/virtualMachines/restart/action | 重新启动虚拟机 |
| Microsoft.Compute/virtualMachines/start/action | 启动虚拟机 |
| Microsoft.DevTestLab/*/read | 读取实验室属性 |
| Microsoft.DevTestLab/labs/createEnvironment/action | 在实验室中创建虚拟机。 |
| Microsoft.DevTestLab/labs/claimAnyVm/action | 在实验室中声明随机可声明的虚拟机。 |
| Microsoft.DevTestLab/labs/formulas/delete | 删除公式。 |
| Microsoft.DevTestLab/labs/formulas/read | 读取公式。 |
| Microsoft.DevTestLab/labs/formulas/write | 添加或修改公式。 |
| Microsoft.DevTestLab/labs/policySets/evaluatePolicies/action | 评估实验室策略。 |
| Microsoft.DevTestLab/labs/virtualMachines/claim/action | 获得现有虚拟机的所有权 |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | 加入负载均衡器后端地址池 |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | 加入负载均衡器入站 NAT 规则 |
| Microsoft.Network/networkInterfaces/*/read | 读取网络接口(例如,此网络接口所属的所有负载均衡器)的属性 |
| Microsoft.Network/networkInterfaces/join/action | 将虚拟机加入到网络接口 |
| Microsoft.Network/networkInterfaces/read | 获取网络接口定义。 |
| Microsoft.Network/networkInterfaces/write | 创建网络接口,或更新现有的网络接口。 |
| Microsoft.Network/publicIPAddresses/*/read | 读取公共 IP 地址的属性 |
| Microsoft.Network/publicIPAddresses/join/action | 联接公共 IP 地址 |
| Microsoft.Network/publicIPAddresses/read | 获取公共 IP 地址定义。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 加入虚拟网络 |
| Microsoft.Resources/deployments/operations/read | 获取或列出部署操作。 |
| Microsoft.Resources/deployments/read | 获取或列出部署。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/listKeys/action | 返回指定存储帐户的访问密钥。 |
| 不操作 | |
| Microsoft.Compute/virtualMachines/vmSizes/read | 列出可将虚拟机更新到的大小 |
DNS 区域参与者
| 说明 | 允许管理 Azure DNS 中的 DNS 区域和记录集,但不允许控制对其访问的人员。 |
| Id | befefa01-2a29-4197-83a8-272ff33ce314 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.Network/dnsZones/* | 创建和管理 DNS 区域和记录 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
DocumentDB 帐户参与者
| 说明 | 可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。 |
| Id | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.DocumentDb/databaseAccounts/* | 创建并管理 Azure Cosmos DB 帐户 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
Intelligent Systems 帐户参与者
| 说明 | 允许管理智能系统帐户,但不允许访问这些帐户。 |
| Id | 03a6d094-3444-4b3d-88af-7477090a9e5e |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.IntelligentSystems/accounts/* | 创建和管理智能系统帐户 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
密钥保管库参与者
| 说明 | 允许管理密钥保管库,但不允许对其进行访问。 |
| Id | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| 不操作 | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | 清除软删除的密钥保管库 |
| Microsoft.KeyVault/hsmPools/* |
实验室创建者
| 说明 | 允许在 Azure 实验室帐户下创建、管理、删除托管实验室。 |
| Id | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.LabServices/labAccounts/*/read | |
| Microsoft.LabServices/labAccounts/createLab/action | 在实验室帐户中创建实验室。 |
| Microsoft.LabServices/labAccounts/sizes/getRegionalAvailability/action | 获取实验室帐户下配置的每个大小类别的区域可用性信息 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
Log Analytics 参与者
| 说明 | Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志集合、创建和配置自动化帐户、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。 |
| Id | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
| 操作 | |
| */read | 读取除密码外的所有类型的资源。 |
| Microsoft.Automation/automationAccounts/* | |
| Microsoft.ClassicCompute/virtualMachines/extensions/* | |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | 列出存储帐户的访问密钥。 |
| Microsoft.Compute/virtualMachines/extensions/* | |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Insights/diagnosticSettings/* | 创建、更新或读取 Analysis Server 的诊断设置 |
| Microsoft.OperationalInsights/* | |
| Microsoft.OperationsManagement/* | |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* | |
| Microsoft.Storage/storageAccounts/listKeys/action | 返回指定存储帐户的访问密钥。 |
| Microsoft.Support/* | 创建和管理支持票证 |
Log Analytics 读者
| 说明 | Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。 |
| Id | 73c42c96-874c-492b-b04d-ab87d138a893 |
| 操作 | |
| */read | 读取除密码外的所有类型的资源。 |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | 使用新引擎进行搜索。 |
| Microsoft.OperationalInsights/workspaces/search/action | 执行搜索查询 |
| Microsoft.Support/* | 创建和管理支持票证 |
| 不操作 | |
| Microsoft.OperationalInsights/workspaces/sharedKeys/read | 检索工作区的共享密钥。 这些密钥用于将 Microsoft Operational Insights 代理连接到工作区。 |
逻辑应用参与者
| 说明 | 允许管理逻辑应用,但不允许对其进行访问。 |
| Id | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action | 列出存储帐户的访问密钥。 |
| Microsoft.ClassicStorage/storageAccounts/read | 返回包含给定帐户的存储帐户。 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Insights/diagnosticSettings/* | 创建、更新或读取 Analysis Server 的诊断设置 |
| Microsoft.Insights/logdefinitions/* | 需要通过门户访问活动日志的用户必须拥有此权限。 列出活动日志中的日志类别。 |
| Microsoft.Insights/metricDefinitions/* | 读取指标定义(资源的可用指标类型的列表)。 |
| Microsoft.Logic/* | 管理逻辑应用资源。 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/operationresults/read | 获取订阅操作结果。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/listkeys/action | 返回指定存储帐户的访问密钥。 |
| Microsoft.Storage/storageAccounts/read | 返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| Microsoft.Web/connectionGateways/* | 创建和管理连接网关。 |
| Microsoft.Web/connections/* | 创建和管理连接。 |
| Microsoft.Web/customApis/* | 创建和管理自定义 API。 |
| Microsoft.Web/serverFarms/join/action | |
| Microsoft.Web/serverFarms/read | 获取应用服务计划的属性 |
| Microsoft.Web/sites/functions/listSecrets/action | 列出机密 Web 应用函数。 |
逻辑应用运算符
| 说明 | 允许读取、启用和禁用逻辑应用。 |
| Id | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/*/read | 读取 Insights 警报规则 |
| Microsoft.Insights/diagnosticSettings/*/read | 获取逻辑应用的诊断设置 |
| Microsoft.Insights/metricDefinitions/*/read | 获取逻辑应用的可用指标。 |
| Microsoft.Logic/*/read | 读取逻辑应用资源。 |
| Microsoft.Logic/workflows/disable/action | 禁用工作流。 |
| Microsoft.Logic/workflows/enable/action | 启用工作流。 |
| Microsoft.Logic/workflows/validate/action | 验证工作流。 |
| Microsoft.Resources/deployments/operations/read | 获取或列出部署操作。 |
| Microsoft.Resources/subscriptions/operationresults/read | 获取订阅操作结果。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| Microsoft.Web/connectionGateways/*/read | 读取连接网关。 |
| Microsoft.Web/connections/*/read | 读取连接。 |
| Microsoft.Web/customApis/*/read | 读取自定义 API。 |
| Microsoft.Web/serverFarms/read | 获取应用服务计划的属性 |
托管应用程序操作员角色
| 说明 | 可让你在托管应用程序资源上读取和执行操作 |
| Id | c7393b34-138c-406f-901b-d8cf2b17e6ae |
| 操作 | |
| Microsoft.Solutions/applications/read | 检索应用程序列表。 |
托管的标识参与者
| 说明 | 创建、读取、更新和删除用户分配的标识 |
| Id | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
| 操作 | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/read | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/write | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/delete | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Support/* | 创建和管理支持票证 |
托管的标识操作员
| 说明 | 读取和分配用户分配的标识 |
| Id | f1a07417-d97a-45cb-824c-7a7467783830 |
| 操作 | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/read | |
| Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Support/* | 创建和管理支持票证 |
管理组参与者
| 说明 | 管理组参与者角色 |
| Id | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| 操作 | |
| Microsoft.Management/managementGroups/delete | 删除管理组。 |
| Microsoft.Management/managementGroups/read | 列出已通过身份验证的用户的管理组。 |
| Microsoft.Management/managementGroups/subscriptions/delete | 从管理组取消关联订阅。 |
| Microsoft.Management/managementGroups/subscriptions/write | 将现有订阅与管理组关联。 |
| Microsoft.Management/managementGroups/write | 创建或更新管理组。 |
管理组读取者
| 说明 | 管理组读取者角色 |
| Id | ac63b705-f282-497d-ac71-919bf39d939d |
| 操作 | |
| Microsoft.Management/managementGroups/read | 列出已通过身份验证的用户的管理组。 |
监视参与者
| 说明 | 可以读取所有监视数据和编辑监视设置。 另请参阅 Azure Monitor 的角色、权限和安全入门。 |
| Id | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| 操作 | |
| */read | 读取除密码外的所有类型的资源。 |
| Microsoft.AlertsManagement/alerts/* | |
| Microsoft.AlertsManagement/alertsSummary/* | |
| Microsoft.Insights/actiongroups/* | |
| Microsoft.Insights/AlertRules/* | 读取/写入/删除警报规则。 |
| Microsoft.Insights/components/* | 读取/写入/删除 Application Insights 组件。 |
| Microsoft.Insights/DiagnosticSettings/* | 读取/写入/删除诊断设置。 |
| Microsoft.Insights/eventtypes/* | 列出订阅中的活动日志事件(管理事件)。 此权限适用于对活动日志的编程和门户访问。 |
| Microsoft.Insights/LogDefinitions/* | 需要通过门户访问活动日志的用户必须拥有此权限。 列出活动日志中的日志类别。 |
| Microsoft.Insights/metricalerts/* | |
| Microsoft.Insights/MetricDefinitions/* | 读取指标定义(资源的可用指标类型的列表)。 |
| Microsoft.Insights/Metrics/* | 读取资源的指标。 |
| Microsoft.Insights/Register/Action | 注册 Microsoft Insights 提供程序 |
| Microsoft.Insights/scheduledqueryrules/* | |
| Microsoft.Insights/webtests/* | 读取/写入/删除 Application Insights Web 测试。 |
| Microsoft.OperationalInsights/workspaces/intelligencepacks/* | 读取/写入/删除 Log Analytics 解决方案包。 |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | 读取/写入/删除 Log Analytics 保存的搜索。 |
| Microsoft.OperationalInsights/workspaces/search/action | 执行搜索查询 |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action | 检索工作区的共享密钥。 这些密钥用于将 Microsoft Operational Insights 代理连接到工作区。 |
| Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* | 读取/写入/删除 Log Analytics 存储见解配置。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| Microsoft.WorkloadMonitor/workloads/* | |
| Microsoft.WorkloadMonitor/workloadInsights/* |
监视指标发布者
| 说明 | 允许针对 Azure 资源发布指标 |
| Id | 3913510d-42f4-4e42-8a64-420c390055eb |
| 操作 | |
| Microsoft.Insights/Register/Action | 注册 Microsoft Insights 提供程序 |
| Microsoft.Support/* | 创建和管理支持票证 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| DataActions | |
| Microsoft.Insights/Metrics/Write | 写入指标 |
监视读取者
| 说明 | 可以读取所有监视数据(指标、日志等)。 另请参阅 Azure Monitor 的角色、权限和安全入门。 |
| Id | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
| 操作 | |
| */read | 读取除密码外的所有类型的资源。 |
| Microsoft.OperationalInsights/workspaces/search/action | 执行搜索查询 |
| Microsoft.Support/* | 创建和管理支持票证 |
网络参与者
| 说明 | 允许管理网络,但不允许访问这些网络。 |
| Id | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.Network/* | 创建并管理网络 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
New elic APM 帐户参与者
| 说明 | 允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。 |
| Id | 5d28c62d-5b37-4476-8438-e587778df237 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| NewRelic.APM/accounts/* |
读取器和数据访问
| 说明 | 允许查看所有内容,但不允许删除或创建存储帐户或包含的资源。 它还允许使用存储帐户密钥对存储帐户中包含的所有数据进行读/写访问。 |
| Id | c12c1c16-33a1-487b-954d-41c89c60f349 |
| 操作 | |
| Microsoft.Storage/storageAccounts/listKeys/action | 返回指定存储帐户的访问密钥。 |
| Microsoft.Storage/storageAccounts/read | 返回存储帐户的列表,或获取指定存储帐户的属性。 |
Redis 缓存参与者
| 说明 | 允许管理 Redis 缓存,但不允许访问这些缓存。 |
| Id | e0f68234-74aa-48ed-b826-c38b57376e17 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Cache/redis/* | 创建和管理 Redis 缓存 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
资源策略参与者(预览)
| 说明 | (预览)通过 EA 回填的 用户,具有创建/修改资源策略、创建支持票证和读取资源/层次结构的权限。 |
| Id | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| 操作 | |
| */read | 读取除密码外的所有类型的资源。 |
| Microsoft.Authorization/policyassignments/* | 创建和管理策略分配 |
| Microsoft.Authorization/policydefinitions/* | 创建和管理策略定义 |
| Microsoft.Authorization/policysetdefinitions/* | 创建和管理策略集 |
| Microsoft.PolicyInsights/* | |
| Microsoft.Support/* | 创建和管理支持票证 |
计划程序作业集合参与者
| 说明 | 允许管理计划程序作业集合,但不允许访问这些集合。 |
| Id | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Scheduler/jobcollections/* | 创建和管理作业集合 |
| Microsoft.Support/* | 创建和管理支持票证 |
搜索服务参与者
| 说明 | 允许管理搜索服务,但不允许访问这些服务。 |
| Id | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Search/searchServices/* | 创建和管理搜索服务 |
| Microsoft.Support/* | 创建和管理支持票证 |
安全管理员
| 说明 | 仅在安全中心内:可以查看安全策略、查看安全状态、编辑安全策略、查看警报和建议、关闭警报和建议 |
| Id | fb1c8493-542b-48eb-b624-b4c8fea62acd |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Authorization/policyAssignments/* | 创建和管理策略分配 |
| Microsoft.Authorization/policyDefinitions/* | 创建和管理策略定义 |
| Microsoft.Authorization/policySetDefinitions/* | 创建和管理策略集 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.Management/managementGroups/read | 列出已通过身份验证的用户的管理组。 |
| Microsoft.operationalInsights/workspaces/*/read | 查看 Log Analytics 数据 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Security/*/read | 读取安全组件和策略 |
| Microsoft.Security/locations/alerts/activate/action | 激活安全警报 |
| Microsoft.Security/locations/alerts/dismiss/action | 消除安全警报 |
| Microsoft.Security/locations/tasks/activate/action | 激活安全建议 |
| Microsoft.Security/locations/tasks/dismiss/action | 关闭安全建议 |
| Microsoft.Security/policies/write | 更新安全策略 |
| Microsoft.Security/securityContacts/write | 更新安全联系信息 |
| Microsoft.Security/securityContacts/delete | 删除安全联系信息 |
| Microsoft.Support/* | 创建和管理支持票证 |
安全管理器
| 说明 | 允许管理安全性组件、安全策略和虚拟机 |
| Id | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.ClassicCompute/*/read | 读取经典虚拟机的配置信息 |
| Microsoft.ClassicCompute/virtualMachines/*/write | 写入经典虚拟机的配置 |
| Microsoft.ClassicNetwork/*/read | 读取有关经典网络的配置信息 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Security/* | 创建和管理安全组件和策略 |
| Microsoft.Support/* | 创建和管理支持票证 |
安全读取者
| 说明 | 仅在安全中心内:可以查看建议和警报、查看安全策略、查看安全状态,但不能进行更改 |
| Id | 39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.operationalInsights/workspaces/*/read | 查看 Log Analytics 数据 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Security/*/read | 读取安全组件和策略 |
| Microsoft.Support/* | 创建和管理支持票证 |
| Microsoft.Management/managementGroups/read | 列出已通过身份验证的用户的管理组。 |
Site Recovery 参与者
| 说明 | 允许管理除保管库创建和角色分配外的 Site Recovery 服务 |
| Id | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read | GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/locations/allocateStamp/action | AllocateStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/certificates/write | “更新资源证书”操作更新资源/保管库凭据证书。 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/* | 创建和管理与保管库相关的扩展信息 |
| Microsoft.RecoveryServices/Vaults/read | “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/read | |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/* | 创建和管理已注册标识 |
| Microsoft.RecoveryServices/vaults/replicationAlertSettings/* | 创建或更新复制警报设置 |
| Microsoft.RecoveryServices/vaults/replicationEvents/read | 读取任何事件 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/* | 创建和管理复制结构 |
| Microsoft.RecoveryServices/vaults/replicationJobs/* | 创建和管理复制作业 |
| Microsoft.RecoveryServices/vaults/replicationPolicies/* | 创建和管理复制策略 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/* | 创建和管理恢复计划 |
| Microsoft.RecoveryServices/Vaults/storageConfig/* | 创建和管理恢复服务保管库的存储配置 |
| Microsoft.RecoveryServices/Vaults/tokenInfo/read | 返回恢复服务保管库的令牌信息。 |
| Microsoft.RecoveryServices/Vaults/usages/read | 返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.RecoveryServices/Vaults/vaultTokens/read | “保管库令牌”操作可用于获取保管库级后端操作的保管库令牌。 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/* | 读取恢复服务保管库的警报 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/notificationConfiguration/read | |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/read | 返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.Support/* | 创建和管理支持票证 |
Site Recovery 操作员
| 说明 | 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作 |
| Id | 494ae006-db33-4328-bf46-533a6560a3ca |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read | GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/locations/allocateStamp/action | AllocateStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read | “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/read | “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/read | |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read | “获取操作结果”操作可用于获取异步提交的操作的操作状态和结果 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read | “获取容器”操作可用于获取针对资源注册的容器。 |
| Microsoft.RecoveryServices/vaults/replicationAlertSettings/read | 读取任何警报设置 |
| Microsoft.RecoveryServices/vaults/replicationEvents/read | 读取任何事件 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/checkConsistency/action | 检查结构的一致性 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/read | 读取任何结构 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/reassociateGateway/action | 重新关联网关 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/renewcertificate/action | 续订 Fabric 的证书 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationNetworks/read | 读取任何网络 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationNetworks/replicationNetworkMappings/read | 读取任何网络映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/read | 读取任何保护容器 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectableItems/read | 读取任何可保护项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/applyRecoveryPoint/action | 应用还原点 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/failoverCommit/action | 故障转移提交 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/plannedFailover/action | 计划内故障转移 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/read | 读取任何受保护项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/recoveryPoints/read | 读取任何复制恢复点 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/repairReplication/action | 修复复制 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/reProtect/action | 重新保护受保护的项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/testFailover/action | 测试故障转移 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/testFailoverCleanup/action | 测试故障转移清理 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/unplannedFailover/action | 故障转移 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/updateMobilityService/action | 更新移动服务 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectionContainerMappings/read | 读取任何保护容器映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationRecoveryServicesProviders/read | 读取任何恢复服务提供程序 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationRecoveryServicesProviders/refreshProvider/action | 刷新提供程序 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationStorageClassifications/read | 读取任何存储分类 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationStorageClassifications/replicationStorageClassificationMappings/read | 读取任何存储分类映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationvCenters/read | 读取任何 vCenter |
| Microsoft.RecoveryServices/vaults/replicationJobs/* | 创建和管理复制作业 |
| Microsoft.RecoveryServices/vaults/replicationPolicies/read | 读取任何策略 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/failoverCommit/action | 故障转移提交恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/plannedFailover/action | 计划内故障转移恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/read | 读取任何恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/reProtect/action | 重新保护恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/testFailover/action | 测试故障转移恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/testFailoverCleanup/action | 测试故障转移清理恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/unplannedFailover/action | 故障转移恢复计划 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/* | 读取恢复服务保管库的警报 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/notificationConfiguration/read | |
| Microsoft.RecoveryServices/Vaults/storageConfig/read | |
| Microsoft.RecoveryServices/Vaults/tokenInfo/read | 返回恢复服务保管库的令牌信息。 |
| Microsoft.RecoveryServices/Vaults/usages/read | 返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.RecoveryServices/Vaults/vaultTokens/read | “保管库令牌”操作可用于获取保管库级后端操作的保管库令牌。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/read | 返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.Support/* | 创建和管理支持票证 |
Site Recovery 读取者
| 说明 | 允许查看 Site Recovery 状态,但不允许执行其他管理操作 |
| Id | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read | GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read | “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read | 获取恢复服务保管库的警报。 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/notificationConfiguration/read | |
| Microsoft.RecoveryServices/Vaults/read | “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/read | |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read | “获取操作结果”操作可用于获取异步提交的操作的操作状态和结果 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read | “获取容器”操作可用于获取针对资源注册的容器。 |
| Microsoft.RecoveryServices/vaults/replicationAlertSettings/read | 读取任何警报设置 |
| Microsoft.RecoveryServices/vaults/replicationEvents/read | 读取任何事件 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/read | 读取任何结构 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationNetworks/read | 读取任何网络 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationNetworks/replicationNetworkMappings/read | 读取任何网络映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/read | 读取任何保护容器 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectableItems/read | 读取任何可保护项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/read | 读取任何受保护项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/recoveryPoints/read | 读取任何复制恢复点 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectionContainerMappings/read | 读取任何保护容器映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationRecoveryServicesProviders/read | 读取任何恢复服务提供程序 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationStorageClassifications/read | 读取任何存储分类 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationStorageClassifications/replicationStorageClassificationMappings/read | 读取任何存储分类映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationvCenters/read | 读取任何 vCenter |
| Microsoft.RecoveryServices/vaults/replicationJobs/read | 读取任何作业 |
| Microsoft.RecoveryServices/vaults/replicationPolicies/read | 读取任何策略 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/read | 读取任何恢复计划 |
| Microsoft.RecoveryServices/Vaults/storageConfig/read | |
| Microsoft.RecoveryServices/Vaults/tokenInfo/read | 返回恢复服务保管库的令牌信息。 |
| Microsoft.RecoveryServices/Vaults/usages/read | 返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.RecoveryServices/Vaults/vaultTokens/read | “保管库令牌”操作可用于获取保管库级后端操作的保管库令牌。 |
| Microsoft.Support/* | 创建和管理支持票证 |
SQL DB 参与者
| 说明 | 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。 |
| Id | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Sql/locations/*/read | |
| Microsoft.Sql/servers/databases/* | 创建和管理 SQL 数据库 |
| Microsoft.Sql/servers/read | 返回服务器列表,或获取指定服务器的属性。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| 不操作 | |
| Microsoft.Sql/servers/databases/auditingPolicies/* | 无法编辑审核策略 |
| Microsoft.Sql/servers/databases/auditingSettings/* | 无法编辑审核设置 |
| Microsoft.Sql/servers/databases/auditRecords/read | 检索数据库 Blob 审核记录 |
| Microsoft.Sql/servers/databases/connectionPolicies/* | 无法编辑连接策略 |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* | 无法编辑数据屏蔽策略 |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/* | |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* | 无法编辑安全警报策略 |
| Microsoft.Sql/servers/databases/securityMetrics/* | 无法编辑安全度量值 |
| Microsoft.Sql/servers/databases/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* |
SQL 安全管理器
| 说明 | 允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。 |
| Id | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取 Microsoft 授权 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | 将存储帐户或 SQL 数据库等资源加入到子网。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Sql/servers/auditingPolicies/* | 创建和管理 SQL 服务器审核策略 |
| Microsoft.Sql/servers/auditingSettings/* | 创建和管理 SQL 服务器审核设置 |
| Microsoft.Sql/servers/databases/auditingPolicies/* | 创建和管理 SQL 服务器数据库审核策略 |
| Microsoft.Sql/servers/databases/auditingSettings/* | 创建和管理 SQL 服务器数据库审核设置 |
| Microsoft.Sql/servers/databases/auditRecords/read | 读取审核记录 |
| Microsoft.Sql/servers/databases/connectionPolicies/* | 创建和管理 SQL 服务器数据库连接策略 |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* | 创建和管理 SQL 服务器数据库数据屏蔽策略 |
| Microsoft.Sql/servers/databases/read | 返回数据库的列表,或获取指定数据库的属性。 |
| Microsoft.Sql/servers/databases/schemas/read | 检索数据库的架构列表 |
| Microsoft.Sql/servers/databases/schemas/tables/columns/read | 检索表的列列表 |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/schemas/tables/read | 检索数据库的表列表 |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* | 创建和管理 SQL 服务器数据库安全警报策略 |
| Microsoft.Sql/servers/databases/securityMetrics/* | 创建和管理 SQL 服务器数据库安全度量值 |
| Microsoft.Sql/servers/databases/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* | |
| Microsoft.Sql/servers/firewallRules/* | |
| Microsoft.Sql/servers/read | 返回服务器列表,或获取指定服务器的属性。 |
| Microsoft.Sql/servers/securityAlertPolicies/* | 创建和管理 SQL 服务器安全警报策略 |
| Microsoft.Support/* | 创建和管理支持票证 |
SQL Server 参与者
| 说明 | 允许管理 SQL 服务器和数据库,但不允许访问它们及其安全相关的策略。 |
| Id | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Sql/locations/*/read | |
| Microsoft.Sql/servers/* | 创建和管理 SQL 服务器 |
| Microsoft.Support/* | 创建和管理支持票证 |
| 不操作 | |
| Microsoft.Sql/servers/auditingPolicies/* | 无法编辑 SQL 服务器审核策略 |
| Microsoft.Sql/servers/auditingSettings/* | 无法编辑 SQL 服务器审核设置 |
| Microsoft.Sql/servers/databases/auditingPolicies/* | 无法编辑 SQL 服务器数据库审核策略 |
| Microsoft.Sql/servers/databases/auditingSettings/* | 无法编辑 SQL 服务器数据库审核设置 |
| Microsoft.Sql/servers/databases/auditRecords/read | 无法读取审核记录 |
| Microsoft.Sql/servers/databases/connectionPolicies/* | 无法编辑 SQL 服务器数据库连接策略 |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* | 无法编辑 SQL 服务器数据库数据屏蔽策略 |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/* | |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* | 无法编辑 SQL 服务器数据库安全警报策略 |
| Microsoft.Sql/servers/databases/securityMetrics/* | 无法编辑 SQL 服务器数据库安全度量值 |
| Microsoft.Sql/servers/databases/sensitivityLabels/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* | |
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* | |
| Microsoft.Sql/servers/extendedAuditingSettings/* | |
| Microsoft.Sql/servers/securityAlertPolicies/* | 无法编辑 SQL 服务器安全警报策略 |
存储帐户参与者
| 说明 | 允许管理存储帐户,但不允许对其进行访问。 |
| Id | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
| 操作 | |
| Microsoft.Authorization/*/read | 读取所有授权 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Insights/diagnosticSettings/* | 管理诊断设置 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | 将存储帐户或 SQL 数据库等资源加入到子网。 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/* | 创建和管理存储帐户 |
| Microsoft.Support/* | 创建和管理支持票证 |
存储帐户密钥操作员服务角色
| 说明 | 允许存储帐户密钥操作员在存储帐户上列出和重新生成密钥 |
| Id | 81a9662b-bebf-436f-a333-f67b29880f12 |
| 操作 | |
| Microsoft.Storage/storageAccounts/listkeys/action | 返回指定存储帐户的访问密钥。 |
| Microsoft.Storage/storageAccounts/regeneratekey/action | 再生成指定存储帐户的访问密钥。 |
存储 Blob 数据参与者(预览版)
| 说明 | 授予对 Azure 存储 blob 容器和数据的读取、写入和删除权限 |
| Id | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| 操作 | |
| Microsoft.Storage/storageAccounts/blobServices/containers/delete | 返回删除容器的结果 |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | 返回容器或容器列表 |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | 返回放置或租用 blob 容器的结果 |
| DataActions | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | 返回删除 blob 的结果 |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | 返回 blob 或 blob 列表 |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | 返回写入 blob 的结果 |
存储 Blob 数据读者(预览)
| 说明 | 授予对 Azure 存储 blob 容器和数据的读取权限 |
| Id | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
| 操作 | |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | 返回容器或容器列表 |
| DataActions | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | 返回 blob 或 blob 列表 |
存储队列数据参与者(预览)
| 说明 | 授予对 Azure 存储队列和队列消息的读取、写入和删除权限 |
| Id | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| 操作 | |
| Microsoft.Storage/storageAccounts/queueServices/queues/delete | 返回删除队列的结果 |
| Microsoft.Storage/storageAccounts/queueServices/queues/read | 返回队列或队列列表。 |
| Microsoft.Storage/storageAccounts/queueServices/queues/write | 返回写入队列的结果 |
| DataActions | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete | 返回删除消息的结果 |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/read | 返回消息 |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/write | 返回编写消息的结果 |
存储队列数据读者(预览)
| 说明 | 授予对 Azure 存储队列和队列消息的读取权限 |
| Id | 19e7f393-937e-4f77-808e-94535e297925 |
| 操作 | |
| Microsoft.Storage/storageAccounts/queueServices/queues/read | 返回队列或队列列表。 |
| DataActions | |
| Microsoft.Storage/storageAccounts/queueServices/queues/messages/read | 返回消息 |
支持请求参与者
| 说明 | 允许创建和管理支持请求 |
| Id | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| 操作 | |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
流量管理器参与者
| 说明 | 允许管理流量管理器配置文件,但不允许控制谁可以访问它们。 |
| Id | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取角色和角色分配 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Network/trafficManagerProfiles/* | |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
用户访问管理员
| 说明 | 允许管理用户对 Azure 资源的访问权限。 |
| Id | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
| 操作 | |
| */read | 读取除密码外的所有类型的资源。 |
| Microsoft.Authorization/* | 管理授权 |
| Microsoft.Support/* | 创建和管理支持票证 |
虚拟机管理员登录
| 说明 | 在门户中查看虚拟机并以管理员身份登录 |
| Id | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
| 操作 | |
| Microsoft.Network/publicIPAddresses/read | 获取公共 IP 地址定义。 |
| Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 |
| Microsoft.Network/loadBalancers/read | 获取负载均衡器定义 |
| Microsoft.Network/networkInterfaces/read | 获取网络接口定义。 |
| Microsoft.Compute/virtualMachines/*/read | |
| DataActions | |
| Microsoft.Compute/virtualMachines/login/action | 以普通用户身份登录虚拟机 |
| Microsoft.Compute/virtualMachines/loginAsAdmin/action | 以 Windows 管理员身份或 Linux 根用户权限登录虚拟机 |
虚拟机参与者
| 说明 | 允许管理虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 |
| Id | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 操作 | |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.Compute/availabilitySets/* | 创建和管理计算可用性集 |
| Microsoft.Compute/locations/* | 创建和管理计算位置 |
| Microsoft.Compute/virtualMachines/* | 创建和管理虚拟机 |
| Microsoft.Compute/virtualMachineScaleSets/* | 创建和管理虚拟机规模集 |
| Microsoft.DevTestLab/schedules/* | |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Network/applicationGateways/backendAddressPools/join/action | 加入应用程序网关后端地址池 |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | 加入负载均衡器后端地址池 |
| Microsoft.Network/loadBalancers/inboundNatPools/join/action | 加入负载均衡器入站 NAT 池 |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | 加入负载均衡器入站 NAT 规则 |
| Microsoft.Network/loadBalancers/probes/join/action | 允许使用负载均衡器的探测。 例如,使用此权限,VM 规模集的 healthProbe 属性可以引用探测。 |
| Microsoft.Network/loadBalancers/read | 获取负载均衡器定义 |
| Microsoft.Network/locations/* | 创建和管理网络位置 |
| Microsoft.Network/networkInterfaces/* | 创建和管理网络接口 |
| Microsoft.Network/networkSecurityGroups/join/action | 加入网络安全组 |
| Microsoft.Network/networkSecurityGroups/read | 获取网络安全组定义 |
| Microsoft.Network/publicIPAddresses/join/action | 联接公共 IP 地址 |
| Microsoft.Network/publicIPAddresses/read | 获取公共 IP 地址定义。 |
| Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 加入虚拟网络 |
| Microsoft.RecoveryServices/locations/* | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/*/read | |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read | 返回受保护项的对象详细信息 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write | 创建备份受保护项 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write | 创建备份保护意向 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read | 返回所有保护策略 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/write | 创建保护策略 |
| Microsoft.RecoveryServices/Vaults/read | “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/usages/read | 返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.RecoveryServices/Vaults/write | “创建保管库”操作创建“vault”类型的 Azure 资源 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/listKeys/action | 返回指定存储帐户的访问密钥。 |
| Microsoft.Storage/storageAccounts/read | 返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.Support/* | 创建和管理支持票证 |
虚拟机用户登录
| 说明 | 在门户中查看虚拟机并以普通用户身份登录。 |
| Id | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| 操作 | |
| Microsoft.Network/publicIPAddresses/read | 获取公共 IP 地址定义。 |
| Microsoft.Network/virtualNetworks/read | 获取虚拟网络定义 |
| Microsoft.Network/loadBalancers/read | 获取负载均衡器定义 |
| Microsoft.Network/networkInterfaces/read | 获取网络接口定义。 |
| Microsoft.Compute/virtualMachines/*/read | |
| DataActions | |
| Microsoft.Compute/virtualMachines/login/action | 以普通用户身份登录虚拟机 |
Web 计划参与者
| 说明 | 允许管理网站的 Web 计划,但不允许访问这些计划。 |
| Id | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| 操作 | |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| Microsoft.Web/serverFarms/* | 创建和管理服务器场 |
网站参与者
| 说明 | 允许管理网站(而非 Web 计划),但不允许访问这些网站。 |
| Id | de139f84-1756-47ae-9be6-808fbbe84772 |
| 操作 | |
| Microsoft.Authorization/*/read | 读取授权 |
| Microsoft.Insights/alertRules/* | 创建和管理 Insights 警报规则 |
| Microsoft.Insights/components/* | 创建和管理 Insights 组件 |
| Microsoft.ResourceHealth/availabilityStatuses/read | 获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* | 创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 获取或列出资源组。 |
| Microsoft.Support/* | 创建和管理支持票证 |
| Microsoft.Web/certificates/* | 创建和管理网站证书 |
| Microsoft.Web/listSitesAssignedToHostName/read | 获取分配给主机名的站点名称。 |
| Microsoft.Web/serverFarms/join/action | |
| Microsoft.Web/serverFarms/read | 获取应用服务计划的属性 |
| Microsoft.Web/sites/* | 创建和管理网站(站点创建还需要对关联的应用服务计划有写入权限) |