用于 Azure 基于角色的访问控制的内置角色

Azure 基于角色的访问控制 (RBAC) 附带以下可分配到用户、组和服务的内置角色。 不能修改内置角色的定义。 但是,可以创建 Azure RBAC 中的自定义角色,以满足组织的特定需要。

内置角色说明

下表提供内置角色的简短说明。 单击角色名称可查看角色的“操作”和“不操作”的详细列表。 操作 属性指定对 Azure 资源允许的操作。 操作字符串可以使用通配符。 不操作 属性指定从允许的操作中排除的操作。

操作定义可以对给定资源类型执行哪种类型的操作。 例如:

  • Write 使你可以执行 PUT、POST、PATCH 和 DELETE 操作。
  • Read 使你可以执行 GET 操作。

本文仅针对目前存在的各种角色。 不过,向用户分配角色时,可以通过定义作用域进一步限制允许的操作。 如果想要将某人设为网站参与者,但只针对一个资源组,则此功能很有用。

Note

Azure 角色定义不断演化。 本文尽可能地保持处于最新状态,但你总是可在 Azure PowerShell 中找到最新的角色定义。 使用 Get-AzureRmRoleDefinition cmdlet 列出所有当前角色。 可以使用 (get-azurermroledefinition "<role name>").actions(get-azurermroledefinition "<role name>").notactions 深入了解特定角色(如果适用)。 使用 Get-AzureRmProviderOperation 列出特定 Azure 资源提供程序的操作。

内置角色 说明
所有者 允许管理所有功能,包括对资源的访问权限。
参与者 允许管理所有功能(对资源的访问权限除外)。
读者 允许查看所有内容,但不能进行任何更改。
API 管理服务参与者 可以管理服务和 API
API 管理服务操作员角色 可以管理服务,但不可管理 API
API 管理服务读者角色 对服务和 API 的只读访问权限
自动化作业操作员 使用自动化 Runbook 创建和管理作业。
自动化运算符 自动化操作员能够启动、停止、暂停和恢复作业
自动化 Runbook 操作员 读取 Runbook 属性 - 以能够创建 runbook 的作业。
Azure Stack 注册所有者 允许管理 Azure Stack 注册。
备份参与者 允许管理备份服务,但不允许创建保管库以及授予其他人访问权限
备份操作员 允许管理备份服务,但删除备份、创建保管库以及授予其他人访问权限除外
备份读者 可以查看备份服务,但是不能进行更改
计费读者 允许对帐单数据进行读取访问
CDN 终结点参与者 可以管理 CDN 终结点,但不能向其他用户授予访问权限。
CDN 终结点读者 可以查看 CDN 终结点,但不能进行更改。
CDN 配置文件参与者 可以管理 CDN 配置文件及其终结点,但不能向其他用户授予访问权限。
CDN 配置文件读者 可以查看 CDN 配置文件及其终结点,但不能进行更改。
经典网络参与者 允许管理经典网络,但不允许访问这些网络。
经典存储帐户参与者 允许管理经典存储帐户,但不允许对其进行访问。
经典存储帐户密钥操作员服务角色 允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥
经典虚拟机参与者 允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。
ClearDB MySQL DB 参与者 允许管理 ClearDB MySQL 数据库,但不允许访问这些数据库。
Cosmos DB 帐户读者角色 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。
数据工厂参与者 创建和管理数据工厂,以及其中的子资源。
DevTest 实验室用户 允许连接、启动、重启和关闭 Azure 开发测试实验室中的虚拟机。
DNS 区域参与者 允许管理 Azure DNS 中的 DNS 区域和记录集,但不允许控制对其访问的人员。
DocumentDB 帐户参与者 可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。
Intelligent Systems 帐户参与者 允许管理智能系统帐户,但不允许访问这些帐户。
密钥保管库参与者 允许管理密钥保管库,但不允许对其进行访问。
实验室创建者 允许在 Azure 实验室帐户下创建、管理、删除托管实验室。
Log Analytics 参与者 Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志集合、创建和配置自动化帐户、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。
Log Analytics 读者 Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。
逻辑应用参与者 允许管理逻辑应用,但不允许对其进行访问。
逻辑应用操作员 允许读取、启用和禁用逻辑应用。
托管的标识参与者 创建、读取、更新和删除用户分配的标识
托管的标识操作员 读取和分配用户分配的标识
监视参与者 可以读取所有监视数据和编辑监视设置。
监视读取者 可以读取所有监视数据(指标、日志等)。
网络参与者 允许管理网络,但不允许访问这些网络。
New elic APM 帐户参与者 允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。
Redis 缓存参与者 允许管理 Redis 缓存,但不允许访问这些缓存。
计划程序作业集合参与者 允许管理计划程序作业集合,但不允许访问这些集合。
安全管理员 仅在安全中心内:可以查看安全策略、查看安全状态、编辑安全策略、查看警报和建议、关闭警报和建议
安全管理器 允许管理安全性组件、安全策略和虚拟机
安全读者 仅在安全中心内:可以查看建议和警报、查看安全策略、查看安全状态,但不能进行更改
Site Recovery 参与者 允许管理除保管库创建和角色分配外的 Site Recovery 服务
Site Recovery 操作员 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作
Site Recovery 读取者 允许查看 Site Recovery 状态,但不允许执行其他管理操作
SQL DB 参与者 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。
SQL 安全管理器 允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。
SQL Server 参与者 允许管理 SQL 服务器和数据库,但不允许访问它们及其安全相关的策略。
存储帐户参与者 允许管理存储帐户,但不允许对其进行访问。
存储帐户密钥操作员服务角色 允许存储帐户密钥操作员在存储帐户上列出和重新生成密钥
支持请求参与者 允许创建和管理支持请求
流量管理器参与者 允许管理流量管理器配置文件,但不允许控制谁可以访问它们。
用户访问管理员 允许管理用户对 Azure 资源的访问权限。
虚拟机管理员登录 - 具有此角色的用户能够以 Windows 管理员或 Linux root 用户权限登录到虚拟机。
虚拟机参与者 允许管理虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。
虚拟机用户登录 具有此角色的用户能够以常规用户身份登录到虚拟机。
Web 计划参与者 允许管理网站的 Web 计划,但不允许访问这些计划。
网站参与者 允许管理网站(而非 Web 计划),但不允许访问这些网站。

下表描述授予每个角色的特定权限。 这可能包括授予权限的 Action 和限制权限的 NotAction

所有者

允许管理所有功能,包括对资源的访问权限。

操作
* 创建和管理所有类型的资源

参与者

允许管理所有功能(对资源的访问权限除外)。

操作
* 创建和管理所有类型的资源
不操作
Microsoft.Authorization/*/Delete 无法删除角色和角色分配
Microsoft.Authorization/*/Write 无法创建角色和角色分配
Microsoft.Authorization/elevateAccess/Action 向调用方授予租户范围的“用户访问管理员”访问权限

读取器

允许查看所有内容,但不能进行任何更改。

操作
*/read 读取除密码外的所有类型的资源。

API 管理服务参与者

可以管理服务和 API

操作
Microsoft.ApiManagement/service/* 创建和管理 API 管理服务
Microsoft.Authorization/*/read 读取授权
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

API 管理服务操作员角色

可以管理服务,但不可管理 API

操作
Microsoft.ApiManagement/service/*/read 读取 API 管理服务实例
Microsoft.ApiManagement/service/backup/action 将 API 管理服务备份到用户提供的存储帐户中的指定容器
Microsoft.ApiManagement/service/delete 删除 API 管理服务实例
Microsoft.ApiManagement/service/managedeployments/action 更改 API 管理服务的 SKU/单位,以及添加/删除其区域部署
Microsoft.ApiManagement/service/read 读取 API 管理服务实例的元数据
Microsoft.ApiManagement/service/restore/action 从用户提供的存储帐户中的指定容器还原 API 管理服务
Microsoft.ApiManagement/service/updatecertificate/action 上传 API 管理服务的 SSL 证书
Microsoft.ApiManagement/service/updatehostname/action 设置、更新或删除 API 管理服务的自定义域名
Microsoft.ApiManagement/service/write 创建 API 管理服务的新实例
Microsoft.Authorization/*/read 读取授权
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证
不操作
Microsoft.ApiManagement/service/users/keys/read 获取用户密钥的列表

API 管理服务读者角色

对服务和 API 的只读访问权限

操作
Microsoft.ApiManagement/service/*/read 读取 API 管理服务实例
Microsoft.ApiManagement/service/read 读取 API 管理服务实例的元数据
Microsoft.Authorization/*/read 读取授权
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证
不操作
Microsoft.ApiManagement/service/users/keys/read 获取用户密钥的列表

自动化作业操作员

使用自动化 Runbook 创建和管理作业。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Automation/automationAccounts/jobs/read 获取 Azure 自动化作业
Microsoft.Automation/automationAccounts/jobs/resume/action 恢复 Azure 自动化作业
Microsoft.Automation/automationAccounts/jobs/stop/action 停止 Azure 自动化作业
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read 读取混合 Runbook 辅助角色资源
Microsoft.Automation/automationAccounts/jobs/streams/read 获取 Azure 自动化作业流
Microsoft.Automation/automationAccounts/jobs/suspend/action 暂停 Azure 自动化作业
Microsoft.Automation/automationAccounts/jobs/write 创建 Azure 自动化作业
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

自动化运算符

自动化操作员能够启动、停止、暂停和恢复作业

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Automation/automationAccounts/jobs/read 获取 Azure 自动化作业
Microsoft.Automation/automationAccounts/jobs/resume/action 恢复 Azure 自动化作业
Microsoft.Automation/automationAccounts/jobs/stop/action 停止 Azure 自动化作业
Microsoft.Automation/automationAccounts/jobs/streams/read 获取 Azure 自动化作业流
Microsoft.Automation/automationAccounts/jobs/suspend/action 暂停 Azure 自动化作业
Microsoft.Automation/automationAccounts/jobs/write 创建 Azure 自动化作业
Microsoft.Automation/automationAccounts/jobSchedules/read 获取 Azure 自动化作业计划
Microsoft.Automation/automationAccounts/jobSchedules/write 创建 Azure 自动化作业计划
Microsoft.Automation/automationAccounts/linkedWorkspace/read 获取链接到自动化帐户的工作区
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read 读取混合 Runbook 辅助角色资源
Microsoft.Automation/automationAccounts/read 获取 Azure 自动化帐户
Microsoft.Automation/automationAccounts/runbooks/read 获取 Azure 自动化 Runbook
Microsoft.Automation/automationAccounts/schedules/read 获取 Azure 自动化计划资产
Microsoft.Automation/automationAccounts/schedules/write 创建或更新 Azure 自动化计划资产
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

自动化 Runbook 操作员

读取 Runbook 属性 - 以能够创建 runbook 的作业。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Automation/automationAccounts/runbooks/read 获取 Azure 自动化 Runbook
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

Azure Stack 注册所有者

允许管理 Azure Stack 注册。

操作
Microsoft.AzureStack/registrations/products/listDetails/action 检索 Azure Stack Marketplace 产品的扩展详细信息
Microsoft.AzureStack/registrations/products/read 获取 Azure Stack Marketplace 产品的属性
Microsoft.AzureStack/registrations/read 获取 Azure Stack 注册的属性

备份参与者

允许管理备份服务,但不允许创建保管库以及授予其他人访问权限

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Network/virtualNetworks/read 获取虚拟网络定义
Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/* 管理备份管理操作的结果
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/* 在恢复服务保管库的备份结构内创建和管理备份容器
Microsoft.RecoveryServices/Vaults/backupJobs/* 创建和管理备份作业
Microsoft.RecoveryServices/Vaults/backupJobsExport/action 导出作业
Microsoft.RecoveryServices/Vaults/backupManagementMetaData/* 创建和管理与备份管理相关的元数据
Microsoft.RecoveryServices/Vaults/backupOperationResults/* 创建和管理备份管理操作的结果
Microsoft.RecoveryServices/Vaults/backupPolicies/* 创建和管理备份策略
Microsoft.RecoveryServices/Vaults/backupProtectableItems/* 创建和管理可以备份的项
Microsoft.RecoveryServices/Vaults/backupProtectedItems/* 创建和管理已备份的项
Microsoft.RecoveryServices/Vaults/backupProtectionContainers/* 创建和管理包含备份项的容器
Microsoft.RecoveryServices/Vaults/certificates/* 创建和管理与恢复服务保管库中的备份相关的证书
Microsoft.RecoveryServices/Vaults/extendedInformation/* 创建和管理与保管库相关的扩展信息
Microsoft.RecoveryServices/Vaults/read “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象
Microsoft.RecoveryServices/Vaults/refreshContainers/* 管理用于获取新创建的容器的发现操作
Microsoft.RecoveryServices/Vaults/registeredIdentities/* 创建和管理已注册的标识
Microsoft.RecoveryServices/Vaults/usages/* 创建和管理恢复服务保管库的使用情况
Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read 返回恢复服务的受保护项和受保护服务器的摘要。
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Storage/storageAccounts/read 返回存储帐户的列表,或获取指定存储帐户的属性。
Microsoft.RecoveryServices/locations/allocatedStamp/read GetAllocatedStamp 是服务使用的内部操作
Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*
Microsoft.RecoveryServices/Vaults/monitoringAlerts/read 获取恢复服务保管库的警报。
Microsoft.RecoveryServices/Vaults/storageConfig/*
Microsoft.RecoveryServices/Vaults/backupconfig/vaultconfig/*
Microsoft.RecoveryServices/Vaults/backupJobsExport/operationResults/read 返回导出作业操作的结果。
Microsoft.RecoveryServices/Vaults/backupSecurityPIN/*
Microsoft.Support/* 创建和管理支持票证

备份操作员

允许管理备份服务,但删除备份、创建保管库以及授予其他人访问权限除外

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Network/virtualNetworks/read 获取虚拟网络定义
Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read 返回操作状态
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ operationResults/read 获取对保护容器执行的操作的结果。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/backup/action 对受保护的项执行备份。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/operationResults/read 获取对受保护项执行的操作的结果。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/operationsStatus/read 返回对受保护项执行的操作的状态。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/read 返回受保护项的对象详细信息
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/read 获取受保护项的恢复点。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/restore/action 还原受保护项的恢复点。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/write 创建备份受保护项
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read 返回所有已注册的容器
Microsoft.RecoveryServices/Vaults/backupJobs/* 创建和管理备份作业
Microsoft.RecoveryServices/Vaults/backupJobs/cancel/action 取消作业
Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read 返回作业操作的结果。
Microsoft.RecoveryServices/Vaults/backupJobs/read 返回所有作业对象
Microsoft.RecoveryServices/Vaults/backupJobsExport/action 导出作业
Microsoft.RecoveryServices/Vaults/backupManagementMetaData/read 返回恢复服务保管库的备份管理元数据。
Microsoft.RecoveryServices/Vaults/backupOperationResults/* 创建和管理备份管理操作的结果
Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read 获取策略操作的结果。
Microsoft.RecoveryServices/Vaults/backupPolicies/read 返回所有保护策略
Microsoft.RecoveryServices/Vaults/backupProtectableItems/* 创建和管理可以备份的项
Microsoft.RecoveryServices/Vaults/backupProtectableItems/read 返回所有可保护项的列表。
Microsoft.RecoveryServices/Vaults/backupProtectedItems/read 返回所有受保护项的列表。
Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read 返回属于订阅的所有容器
Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read 返回恢复服务的受保护项和受保护服务器的摘要。
Microsoft.RecoveryServices/Vaults/extendedInformation/read “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息
Microsoft.RecoveryServices/Vaults/extendedInformation/write “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息
Microsoft.RecoveryServices/Vaults/read “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象
Microsoft.RecoveryServices/Vaults/refreshContainers/* 管理用于获取新创建的容器的发现操作
Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read “获取操作结果”操作可用于获取异步提交的操作的操作状态和结果
Microsoft.RecoveryServices/Vaults/registeredIdentities/read “获取容器”操作可用于获取针对资源注册的容器。
Microsoft.RecoveryServices/Vaults/registeredIdentities/write “注册服务容器”操作可用于向恢复服务注册容器。
Microsoft.RecoveryServices/Vaults/usages/read 返回恢复服务保管库的使用情况详细信息。
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Storage/storageAccounts/read 返回存储帐户的列表,或获取指定存储帐户的属性。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/provisionInstantItemRecovery/action 预配受保护项的即时项恢复
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/revokeInstantItemRecovery/action 吊销受保护项的即时项恢复
Microsoft.RecoveryServices/locations/allocatedStamp/read GetAllocatedStamp 是服务使用的内部操作
Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*
Microsoft.RecoveryServices/Vaults/monitoringAlerts/read 获取恢复服务保管库的警报。
Microsoft.RecoveryServices/Vaults/storageConfig/*
Microsoft.RecoveryServices/Vaults/backupconfig/vaultconfig/*
Microsoft.RecoveryServices/Vaults/backupJobsExport/operationResults/read 返回导出作业操作的结果。
Microsoft.RecoveryServices/Vaults/backupPolicies/operationStatus/read
Microsoft.RecoveryServices/Vaults/certificates/write “更新资源证书”操作更新资源/保管库凭据证书。
Microsoft.Support/* 创建和管理支持票证

备份读取器

可以查看备份服务,但是不能进行更改

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read 返回操作状态
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ operationResults/read 获取对保护容器执行的操作的结果。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/operationResults/read 获取对受保护项执行的操作的结果。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/operationsStatus/read 返回对受保护项执行的操作的状态。
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/read 返回受保护项的对象详细信息
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read 返回所有已注册的容器
Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read 返回作业操作的结果。
Microsoft.RecoveryServices/Vaults/backupJobs/read 返回所有作业对象
Microsoft.RecoveryServices/Vaults/backupJobsExport/action 导出作业
Microsoft.RecoveryServices/Vaults/backupManagementMetaData/read 返回恢复服务保管库的备份管理元数据。
Microsoft.RecoveryServices/Vaults/backupOperationResults/read 返回恢复服务保管库的备份操作结果。
Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read 获取策略操作的结果。
Microsoft.RecoveryServices/Vaults/backupPolicies/read 返回所有保护策略
Microsoft.RecoveryServices/Vaults/backupProtectedItems/read 返回所有受保护项的列表。
Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read 返回属于订阅的所有容器
Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read 返回恢复服务的受保护项和受保护服务器的摘要。
Microsoft.RecoveryServices/Vaults/extendedInformation/read “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息
Microsoft.RecoveryServices/Vaults/read “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象
Microsoft.RecoveryServices/Vaults/refreshContainers/read
Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read “获取操作结果”操作可用于获取异步提交的操作的操作状态和结果
Microsoft.RecoveryServices/Vaults/registeredIdentities/read “获取容器”操作可用于获取针对资源注册的容器。
Microsoft.RecoveryServices/locations/allocatedStamp/read GetAllocatedStamp 是服务使用的内部操作
Microsoft.RecoveryServices/Vaults/monitoringConfigurations/ notificationConfiguration/read
Microsoft.RecoveryServices/Vaults/monitoringAlerts/read 获取恢复服务保管库的警报。
Microsoft.RecoveryServices/Vaults/storageConfig/read
Microsoft.RecoveryServices/Vaults/backupconfig/vaultconfig/read
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/read 获取受保护项的恢复点。
Microsoft.RecoveryServices/Vaults/backupJobsExport/operationResults/read 返回导出作业操作的结果。
Microsoft.RecoveryServices/Vaults/usages/read 返回恢复服务保管库的使用情况详细信息。

计费读者

允许对帐单数据进行读取访问

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Billing/*/read 读取计费信息
Microsoft.Consumption/*/read
Microsoft.Commerce/*/read
Microsoft.Management/managementGroups/read 列出已通过身份验证的用户的管理组。
Microsoft.Support/* 创建和管理支持票证

CDN 终结点参与者

可以管理 CDN 终结点,但不能向其他用户授予访问权限。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/endpoints/*
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

CDN 终结点读者

可以查看 CDN 终结点,但不能进行更改。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/endpoints/*/read
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

CDN 配置文件参与者

可以管理 CDN 配置文件及其终结点,但不能向其他用户授予访问权限。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/*
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

CDN 配置文件读者

可以查看 CDN 配置文件及其终结点,但不能进行更改。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/*/read
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

经典网络参与者

允许管理经典网络,但不允许访问这些网络。

操作
Microsoft.Authorization/*/read 读取授权
Microsoft.ClassicNetwork/* 创建和管理经典网络
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

经典存储帐户参与者

允许管理经典存储帐户,但不允许对其进行访问。

操作
Microsoft.Authorization/*/read 读取授权
Microsoft.ClassicStorage/storageAccounts/* 创建和管理存储帐户
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

经典存储帐户密钥操作员服务角色

允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥

操作
Microsoft.ClassicStorage/storageAccounts/listkeys/action 列出存储帐户的访问密钥。
Microsoft.ClassicStorage/storageAccounts/regeneratekey/action 再生成存储帐户的现有访问密钥。

经典虚拟机参与者

允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。

操作
Microsoft.Authorization/*/read 读取授权
Microsoft.ClassicCompute/domainNames/* 创建和管理经典计算域名
Microsoft.ClassicCompute/virtualMachines/* 创建和管理虚拟机
Microsoft.ClassicNetwork/networkSecurityGroups/join/action
Microsoft.ClassicNetwork/reservedIps/link/action 链接保留 IP
Microsoft.ClassicNetwork/reservedIps/read 获取保留 IP
Microsoft.ClassicNetwork/virtualNetworks/join/action 加入虚拟网络。
Microsoft.ClassicNetwork/virtualNetworks/read 获取虚拟网络。
Microsoft.ClassicStorage/storageAccounts/disks/read 返回存储帐户磁盘。
Microsoft.ClassicStorage/storageAccounts/images/read 返回存储帐户映像。
Microsoft.ClassicStorage/storageAccounts/listKeys/action 列出存储帐户的访问密钥。
Microsoft.ClassicStorage/storageAccounts/read 返回包含给定帐户的存储帐户。
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

ClearDB MySQL DB 参与者

允许管理 ClearDB MySQL 数据库,但不允许访问这些数据库。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证
successbricks.cleardb/databases/* 创建和管理 ClearDB MySQL 数据库

Cosmos DB 帐户读者角色

可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。

操作
Microsoft.Authorization/*/read 读取角色和角色分配,可以读取授予每个用户的权限
Microsoft.DocumentDB/*/read 读取任何集合
Microsoft.DocumentDB/databaseAccounts/readonlykeys/action 读取数据库帐户只读密钥。
Microsoft.Insights/MetricDefinitions/read 读取指标定义
Microsoft.Insights/Metrics/read 添加指标
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

DNS 区域参与者

允许管理 Azure DNS 中的 DNS 区域和记录集,但不允许控制对其访问的人员。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.Network/dnsZones/* 创建和管理 DNS 区域和记录
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

DocumentDB 帐户参与者

可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.DocumentDb/databaseAccounts/* 创建并管理 Azure Cosmos DB 帐户
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

Intelligent Systems 帐户参与者

允许管理智能系统帐户,但不允许访问这些帐户。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.IntelligentSystems/accounts/* 创建和管理智能系统帐户
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

密钥保管库参与者

允许管理密钥保管库,但不允许对其进行访问。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.KeyVault/*
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证
不操作
Microsoft.KeyVault/locations/deletedVaults/purge/action 清除软删除的密钥保管库

实验室创建者

允许在 Azure 实验室帐户下创建、管理、删除托管实验室。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.ManagedLab/labAccounts/createLab/action 在实验室帐户中创建实验室。
Microsoft.ManagedLab/labAccounts/*/read
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

Log Analytics 参与者

Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志集合、创建和配置自动化帐户、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。

操作
*/read 读取除密码外的所有类型的资源。
Microsoft.Automation/automationAccounts/*
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.ClassicStorage/storageAccounts/listKeys/action 列出存储帐户的访问密钥。
Microsoft.Compute/virtualMachines/extensions/*
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Insights/diagnosticSettings/* 创建、更新或读取 Analysis Server 的诊断设置
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Storage/storageAccounts/listKeys/action 返回指定存储帐户的访问密钥。
Microsoft.Support/* 创建和管理支持票证

Log Analytics 读者

Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。

操作
*/read 读取除密码外的所有类型的资源。
Microsoft.OperationalInsights/workspaces/analytics/query/action 使用新引擎进行搜索。
Microsoft.OperationalInsights/workspaces/search/action 执行搜索查询
Microsoft.Support/* 创建和管理支持票证
不操作
Microsoft.OperationalInsights/workspaces/sharedKeys/read 检索工作区的共享密钥。 这些密钥用于将 Microsoft Operational Insights 代理连接到工作区。

逻辑应用参与者

允许管理逻辑应用,但不允许对其进行访问。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.ClassicStorage/storageAccounts/listKeys/action 列出存储帐户的访问密钥。
Microsoft.ClassicStorage/storageAccounts/read 返回包含给定帐户的存储帐户。
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Insights/diagnosticSettings/* 创建、更新或读取 Analysis Server 的诊断设置
Microsoft.Insights/logdefinitions/* 需要通过门户访问活动日志的用户必须拥有此权限。 列出活动日志中的日志类别。
Microsoft.Insights/metricDefinitions/* 读取指标定义(资源的可用指标类型的列表)。
Microsoft.Logic/* 管理逻辑应用资源。
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/operationresults/read 获取订阅操作结果。
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Storage/storageAccounts/listkeys/action 返回指定存储帐户的访问密钥。
Microsoft.Storage/storageAccounts/read 返回存储帐户的列表,或获取指定存储帐户的属性。
Microsoft.Support/* 创建和管理支持票证
Microsoft.Web/connectionGateways/* 创建和管理连接网关。
Microsoft.Web/connections/* 创建和管理连接。
Microsoft.Web/customApis/* 创建和管理自定义 API。
Microsoft.Web/serverFarms/join/action
Microsoft.Web/serverFarms/read 获取应用服务计划的属性
Microsoft.Web/sites/functions/listSecrets/action 列出机密 Web 应用函数。

逻辑应用运算符

允许读取、启用和禁用逻辑应用。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/*/read 读取 Insights 警报规则
Microsoft.Insights/diagnosticSettings/*/read 获取逻辑应用的诊断设置
Microsoft.Insights/metricDefinitions/*/read 获取逻辑应用的可用指标。
Microsoft.Logic/*/read 读取逻辑应用资源。
Microsoft.Logic/workflows/disable/action 禁用工作流。
Microsoft.Logic/workflows/enable/action 启用工作流。
Microsoft.Logic/workflows/validate/action 验证工作流。
Microsoft.Resources/deployments/operations/read 获取或列出部署操作。
Microsoft.Resources/subscriptions/operationresults/read 获取订阅操作结果。
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证
Microsoft.Web/connectionGateways/*/read 读取连接网关。
Microsoft.Web/connections/*/read 读取连接。
Microsoft.Web/customApis/*/read 读取自定义 API。
Microsoft.Web/serverFarms/read 获取应用服务计划的属性

托管的标识参与者

创建、读取、更新和删除用户分配的标识

操作
Microsoft.ManagedIdentity/userAssignedIdentities/*/read
Microsoft.ManagedIdentity/userAssignedIdentities/*/write
Microsoft.ManagedIdentity/userAssignedIdentities/*/delete
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Support/* 创建和管理支持票证

托管的标识操作员

读取和分配用户分配的标识

操作
Microsoft.ManagedIdentity/userAssignedIdentities/*/read
Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Support/* 创建和管理支持票证

监视参与者

可以读取所有监视数据和编辑监视设置。

操作
*/read 读取除密码外的所有类型的资源。
Microsoft.AlertsManagement/alerts/*
Microsoft.AlertsManagement/alertsSummary/*
Microsoft.Insights/AlertRules/* 读取/写入/删除警报规则。
Microsoft.Insights/DiagnosticSettings/* 读取/写入/删除诊断设置。
Microsoft.Insights/eventtypes/* 列出订阅中的活动日志事件(管理事件)。 此权限适用于对活动日志的编程和门户访问。
Microsoft.Insights/LogDefinitions/* 需要通过门户访问活动日志的用户必须拥有此权限。 列出活动日志中的日志类别。
Microsoft.Insights/MetricDefinitions/* 读取指标定义(资源的可用指标类型的列表)。
Microsoft.Insights/Metrics/* 读取资源的指标。
Microsoft.Insights/Register/Action 注册 Microsoft.Insights 提供程序
Microsoft.OperationalInsights/workspaces/intelligencepacks/* 读取/写入/删除 Log Analytics 解决方案包。
Microsoft.OperationalInsights/workspaces/savedSearches/* 读取/写入/删除 Log Analytics 保存的搜索。
Microsoft.OperationalInsights/workspaces/search/action 执行搜索查询
Microsoft.OperationalInsights/workspaces/sharedKeys/action 检索工作区的共享密钥。 这些密钥用于将 Microsoft Operational Insights 代理连接到工作区。
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* 读取/写入/删除 Log Analytics 存储见解配置。
Microsoft.Support/* 创建和管理支持票证
Microsoft.WorkloadMonitor/workloads/*

监视读取者

可以读取所有监视数据(指标、日志等)。

操作
*/read 读取除密码外的所有类型的资源。
Microsoft.OperationalInsights/workspaces/search/action 执行搜索查询
Microsoft.Support/* 创建和管理支持票证

网络参与者

允许管理网络,但不允许访问这些网络。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.Network/* 创建并管理网络
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

New elic APM 帐户参与者

允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证
NewRelic.APM/accounts/*

Redis 缓存参与者

允许管理 Redis 缓存,但不允许访问这些缓存。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Cache/redis/* 创建和管理 Redis 缓存
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

计划程序作业集合参与者

允许管理计划程序作业集合,但不允许访问这些集合。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Scheduler/jobcollections/* 创建和管理作业集合
Microsoft.Support/* 创建和管理支持票证

安全管理员

仅在安全中心内:可以查看安全策略、查看安全状态、编辑安全策略、查看警报和建议、关闭警报和建议

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Authorization/policyAssignments/* 创建和管理策略分配
Microsoft.Authorization/policyDefinitions/* 创建和管理策略定义
Microsoft.Authorization/policySetDefinitions/* 创建和管理策略集
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.operationalInsights/workspaces/*/read 查看 Log Analytics 数据
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Security/*/read 读取安全组件和策略
Microsoft.Security/locations/alerts/dismiss/action 关闭安全警报
Microsoft.Security/locations/tasks/dismiss/action 关闭安全建议
Microsoft.Security/policies/write 更新安全策略
Microsoft.Support/* 创建和管理支持票证

安全管理器

允许管理安全性组件、安全策略和虚拟机

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.ClassicCompute/*/read 读取经典虚拟机的配置信息
Microsoft.ClassicCompute/virtualMachines/*/write 写入经典虚拟机的配置
Microsoft.ClassicNetwork/*/read 读取有关经典网络的配置信息
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Security/* 创建和管理安全组件和策略
Microsoft.Support/* 创建和管理支持票证

安全读取者

仅在安全中心内:可以查看建议和警报、查看安全策略、查看安全状态,但不能进行更改

操作
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.operationalInsights/workspaces/*/read 查看 Log Analytics 数据
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Support/* 创建和管理支持票证
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Security/*/read 读取安全组件和策略

Site Recovery 参与者

允许管理除保管库创建和角色分配外的 Site Recovery 服务

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.Network/virtualNetworks/read 获取虚拟网络定义
Microsoft.RecoveryServices/locations/allocatedStamp/read GetAllocatedStamp 是服务使用的内部操作
Microsoft.RecoveryServices/locations/allocateStamp/action AllocateStamp 是服务使用的内部操作
Microsoft.RecoveryServices/Vaults/certificates/write “更新资源证书”操作更新资源/保管库凭据证书。
Microsoft.RecoveryServices/Vaults/extendedInformation/* 创建和管理与保管库相关的扩展信息
Microsoft.RecoveryServices/Vaults/read “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象
Microsoft.RecoveryServices/Vaults/refreshContainers/read
Microsoft.RecoveryServices/Vaults/registeredIdentities/* 创建和管理已注册标识
Microsoft.RecoveryServices/vaults/replicationAlertSettings/* 创建或更新复制警报设置
Microsoft.RecoveryServices/vaults/replicationEvents/read 读取任何事件
Microsoft.RecoveryServices/vaults/replicationFabrics/* 创建和管理复制结构
Microsoft.RecoveryServices/vaults/replicationJobs/* 创建和管理复制作业
Microsoft.RecoveryServices/vaults/replicationPolicies/* 创建和管理复制策略
Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/* 创建和管理恢复计划
Microsoft.RecoveryServices/Vaults/storageConfig/* 创建和管理恢复服务保管库的存储配置
Microsoft.RecoveryServices/Vaults/tokenInfo/read 返回恢复服务保管库的令牌信息。
Microsoft.RecoveryServices/Vaults/usages/read 返回恢复服务保管库的使用情况详细信息。
Microsoft.RecoveryServices/Vaults/vaultTokens/read “保管库令牌”操作可用于获取保管库级后端操作的保管库令牌。
Microsoft.RecoveryServices/Vaults/monitoringAlerts/* 读取恢复服务保管库的警报
Microsoft.RecoveryServices/Vaults/monitoringConfigurations/ notificationConfiguration/read
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Storage/storageAccounts/read 返回存储帐户的列表,或获取指定存储帐户的属性。
Microsoft.Support/* 创建和管理支持票证

Site Recovery 操作员

允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.Network/virtualNetworks/read 获取虚拟网络定义
Microsoft.RecoveryServices/locations/allocatedStamp/read GetAllocatedStamp 是服务使用的内部操作
Microsoft.RecoveryServices/locations/allocateStamp/action AllocateStamp 是服务使用的内部操作
Microsoft.RecoveryServices/Vaults/extendedInformation/read “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息
Microsoft.RecoveryServices/Vaults/read “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象
Microsoft.RecoveryServices/Vaults/refreshContainers/read
Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read “获取操作结果”操作可用于获取异步提交的操作的操作状态和结果
Microsoft.RecoveryServices/Vaults/registeredIdentities/read “获取容器”操作可用于获取针对资源注册的容器。
Microsoft.RecoveryServices/vaults/replicationAlertSettings/read 读取任何警报设置
Microsoft.RecoveryServices/vaults/replicationEvents/read 读取任何事件
Microsoft.RecoveryServices/vaults/replicationFabrics/checkConsistency/action 检查结构的一致性
Microsoft.RecoveryServices/vaults/replicationFabrics/read 读取任何结构
Microsoft.RecoveryServices/vaults/replicationFabrics/reassociateGateway/action 重新关联网关
Microsoft.RecoveryServices/vaults/replicationFabrics/renewcertificate/action 续订 Fabric 的证书
Microsoft.RecoveryServices/vaults/replicationFabrics/replicationNetworks/read 读取任何网络
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationNetworks/replicationNetworkMappings/read 读取任何网络映射
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/read 读取任何保护容器
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectableItems/read 读取任何可保护项
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/applyRecoveryPoint/action 应用还原点
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/failoverCommit/action 故障转移提交
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/plannedFailover/action 计划内故障转移
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/read 读取任何受保护的项
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/recoveryPoints/read 读取任何复制恢复点
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/repairReplication/action 修复复制
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/reProtect/action 重新保护受保护的项
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/testFailover/action 测试故障转移
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/testFailoverCleanup/action 测试故障转移清理
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/unplannedFailover/action 故障转移
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/updateMobilityService/action 更新移动服务
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectionContainerMappings/read 读取任何保护容器映射
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationRecoveryServicesProviders/read 读取任何恢复服务提供程序
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationRecoveryServicesProviders/refreshProvider/action 刷新提供程序
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationStorageClassifications/read 读取任何存储分类
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationStorageClassifications/replicationStorageClassificationMappings/read 读取任何存储分类映射
Microsoft.RecoveryServices/vaults/replicationFabrics/replicationvCenters/read 读取任何作业
Microsoft.RecoveryServices/vaults/replicationJobs/* 创建和管理复制作业
Microsoft.RecoveryServices/vaults/replicationPolicies/read 读取任何策略
Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/failoverCommit/action 故障转移提交恢复计划
Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/plannedFailover/action 计划内故障转移恢复计划
Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/read 读取任何恢复计划
Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/reProtect/action 重新保护恢复计划
Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/testFailover/action 测试故障转移恢复计划
Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/testFailoverCleanup/action 测试故障转移清理恢复计划
Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/unplannedFailover/action 故障转移恢复计划
Microsoft.RecoveryServices/Vaults/monitoringAlerts/* 读取恢复服务保管库的警报
Microsoft.RecoveryServices/Vaults/monitoringConfigurations/ notificationConfiguration/read
Microsoft.RecoveryServices/Vaults/storageConfig/read
Microsoft.RecoveryServices/Vaults/tokenInfo/read 返回恢复服务保管库的令牌信息。
Microsoft.RecoveryServices/Vaults/usages/read 返回恢复服务保管库的使用情况详细信息。
Microsoft.RecoveryServices/Vaults/vaultTokens/read “保管库令牌”操作可用于获取保管库级后端操作的保管库令牌。
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Storage/storageAccounts/read 返回存储帐户的列表,或获取指定存储帐户的属性。
Microsoft.Support/* 创建和管理支持票证

Site Recovery 读取者

允许查看 Site Recovery 状态,但不允许执行其他管理操作

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.RecoveryServices/locations/allocatedStamp/read GetAllocatedStamp 是服务使用的内部操作
Microsoft.RecoveryServices/Vaults/extendedInformation/read “获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息
Microsoft.RecoveryServices/Vaults/monitoringAlerts/read 获取恢复服务保管库的警报。
Microsoft.RecoveryServices/Vaults/monitoringConfigurations/ notificationConfiguration/read
Microsoft.RecoveryServices/Vaults/read “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象
Microsoft.RecoveryServices/Vaults/refreshContainers/read
Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read “获取操作结果”操作可用于获取异步提交的操作的操作状态和结果
Microsoft.RecoveryServices/Vaults/registeredIdentities/read “获取容器”操作可用于获取针对资源注册的容器。
Microsoft.RecoveryServices/vaults/replicationAlertSettings/read 读取任何警报设置
Microsoft.RecoveryServices/vaults/replicationEvents/read 读取任何事件
Microsoft.RecoveryServices/vaults/replicationFabrics/read 读取任何结构
Microsoft.RecoveryServices/vaults/replicationFabrics/replicationNetworks/read 读取任何网络
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationNetworks/replicationNetworkMappings/read 读取任何网络映射
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/read 读取任何保护容器
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectableItems/read 读取任何可保护项
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/read 读取任何受保护的项
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/recoveryPoints/read 读取任何复制恢复点
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectionContainerMappings/read 读取任何保护容器映射
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationRecoveryServicesProviders/read 读取任何恢复服务提供程序
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationStorageClassifications/read 读取任何存储分类
Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationStorageClassifications/replicationStorageClassificationMappings/read 读取任何存储分类映射
Microsoft.RecoveryServices/vaults/replicationFabrics/replicationvCenters/read 读取任何作业
Microsoft.RecoveryServices/vaults/replicationJobs/read 读取任何作业
Microsoft.RecoveryServices/vaults/replicationPolicies/read 读取任何策略
Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/read 读取任何恢复计划
Microsoft.RecoveryServices/Vaults/storageConfig/read
Microsoft.RecoveryServices/Vaults/tokenInfo/read 返回恢复服务保管库的令牌信息。
Microsoft.RecoveryServices/Vaults/usages/read 返回恢复服务保管库的使用情况详细信息。
Microsoft.RecoveryServices/Vaults/vaultTokens/read “保管库令牌”操作可用于获取保管库级后端操作的保管库令牌。
Microsoft.Support/* 创建和管理支持票证

SQL DB 参与者

允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Sql/locations/*/read
Microsoft.Sql/servers/databases/* 创建和管理 SQL 数据库
Microsoft.Sql/servers/read 返回服务器列表,或获取指定服务器的属性。
Microsoft.Support/* 创建和管理支持票证
不操作
Microsoft.Sql/servers/databases/auditingPolicies/* 无法编辑审核策略
Microsoft.Sql/servers/databases/auditingSettings/* 无法编辑审核设置
Microsoft.Sql/servers/databases/auditRecords/read 检索数据库 Blob 审核记录
Microsoft.Sql/servers/databases/connectionPolicies/* 无法编辑连接策略
Microsoft.Sql/servers/databases/dataMaskingPolicies/* 无法编辑数据屏蔽策略
Microsoft.Sql/servers/databases/extendedAuditingSettings/*
Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/servers/databases/securityAlertPolicies/* 无法编辑安全警报策略
Microsoft.Sql/servers/databases/securityMetrics/* 无法编辑安全度量值
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*

SQL 安全管理器

允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。

操作
Microsoft.Authorization/*/read 读取 Microsoft 授权
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action 将存储帐户或 SQL 数据库等资源加入到子网。
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Sql/servers/auditingPolicies/* 创建和管理 SQL 服务器审核策略
Microsoft.Sql/servers/auditingSettings/* 创建和管理 SQL 服务器审核设置
Microsoft.Sql/servers/databases/auditingPolicies/* 创建和管理 SQL 服务器数据库审核策略
Microsoft.Sql/servers/databases/auditingSettings/* 创建和管理 SQL 服务器数据库审核设置
Microsoft.Sql/servers/databases/auditRecords/read 读取审核记录
Microsoft.Sql/servers/databases/connectionPolicies/* 创建和管理 SQL 服务器数据库连接策略
Microsoft.Sql/servers/databases/dataMaskingPolicies/* 创建和管理 SQL 服务器数据库数据屏蔽策略
Microsoft.Sql/servers/databases/read 返回数据库的列表,或获取指定数据库的属性。
Microsoft.Sql/servers/databases/schemas/read 检索数据库的架构列表
Microsoft.Sql/servers/databases/schemas/tables/columns/read 检索表的列列表
Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/servers/databases/schemas/tables/read 检索数据库的表列表
Microsoft.Sql/servers/databases/securityAlertPolicies/* 创建和管理 SQL 服务器数据库安全警报策略
Microsoft.Sql/servers/databases/securityMetrics/* 创建和管理 SQL 服务器数据库安全度量值
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*
Microsoft.Sql/servers/firewallRules/*
Microsoft.Sql/servers/read 返回服务器列表,或获取指定服务器的属性。
Microsoft.Sql/servers/securityAlertPolicies/* 创建和管理 SQL 服务器安全警报策略
Microsoft.Support/* 创建和管理支持票证

SQL Server 参与者

允许管理 SQL 服务器和数据库,但不允许访问它们及其安全相关的策略。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Sql/locations/*/read
Microsoft.Sql/servers/* 创建和管理 SQL 服务器
Microsoft.Support/* 创建和管理支持票证
不操作
Microsoft.Sql/servers/auditingPolicies/* 无法编辑 SQL 服务器审核策略
Microsoft.Sql/servers/auditingSettings/* 无法编辑 SQL 服务器审核设置
Microsoft.Sql/servers/databases/auditingPolicies/* 无法编辑 SQL 服务器数据库审核策略
Microsoft.Sql/servers/databases/auditingSettings/* 无法编辑 SQL 服务器数据库审核设置
Microsoft.Sql/servers/databases/auditRecords/read 无法读取审核记录
Microsoft.Sql/servers/databases/connectionPolicies/* 无法编辑 SQL 服务器数据库连接策略
Microsoft.Sql/servers/databases/dataMaskingPolicies/* 无法编辑 SQL 服务器数据库数据屏蔽策略
Microsoft.Sql/servers/databases/extendedAuditingSettings/*
Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/servers/databases/securityAlertPolicies/* 无法编辑 SQL 服务器数据库安全警报策略
Microsoft.Sql/servers/databases/securityMetrics/* 无法编辑 SQL 服务器数据库安全度量值
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*
Microsoft.Sql/servers/extendedAuditingSettings/*
Microsoft.Sql/servers/securityAlertPolicies/* 无法编辑 SQL 服务器安全警报策略

存储帐户参与者

允许管理存储帐户,但不允许对其进行访问。

操作
Microsoft.Authorization/*/read 读取所有授权
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Insights/diagnosticSettings/* 管理诊断设置
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action 将存储帐户或 SQL 数据库等资源加入到子网。
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Storage/storageAccounts/* 创建和管理存储帐户
Microsoft.Support/* 创建和管理支持票证

存储帐户密钥操作员服务角色

允许存储帐户密钥操作员在存储帐户上列出和重新生成密钥

操作
Microsoft.Storage/storageAccounts/listkeys/action 返回指定存储帐户的访问密钥。
Microsoft.Storage/storageAccounts/regeneratekey/action 再生成指定存储帐户的访问密钥。

支持请求参与者

允许创建和管理支持请求

操作
Microsoft.Authorization/*/read 读取授权
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

流量管理器参与者

允许管理流量管理器配置文件,但不允许控制谁可以访问它们。

操作
Microsoft.Authorization/*/read 读取角色和角色分配
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Network/trafficManagerProfiles/*
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证

用户访问管理员

允许管理用户对 Azure 资源的访问权限。

操作
*/read 读取除密码外的所有类型的资源。
Microsoft.Authorization/* 管理授权
Microsoft.Support/* 创建和管理支持票证

虚拟机管理员登录

  • 具有此角色的用户能够以 Windows 管理员或 Linux root 用户权限登录到虚拟机。
操作
Microsoft.Compute/virtualMachines/loginAsAdmin/action
Microsoft.Compute/virtualMachines/login/action
Microsoft.Compute/virtualMachine/loginAsAdmin/action
Microsoft.Compute/virtualMachine/logon/action

虚拟机参与者

允许管理虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。

操作
Microsoft.Authorization/*/read 读取授权
Microsoft.Compute/availabilitySets/* 创建和管理计算可用性集
Microsoft.Compute/locations/* 创建和管理计算位置
Microsoft.Compute/virtualMachines/* 创建和管理虚拟机
Microsoft.Compute/virtualMachineScaleSets/* 创建和管理虚拟机规模集
Microsoft.DevTestLab/schedules/*
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Network/applicationGateways/backendAddressPools/join/action 加入应用程序网关后端地址池
Microsoft.Network/loadBalancers/backendAddressPools/join/action 加入负载均衡器后端地址池
Microsoft.Network/loadBalancers/inboundNatPools/join/action 加入负载均衡器入站 NAT 池
Microsoft.Network/loadBalancers/inboundNatRules/join/action 加入负载均衡器入站 NAT 规则
Microsoft.Network/loadBalancers/probes/join/action 允许使用负载均衡器的探测。 例如,使用此权限,VM 规模集的 healthProbe 属性可以引用探测。
Microsoft.Network/loadBalancers/read 获取负载均衡器定义
Microsoft.Network/locations/* 创建和管理网络位置
Microsoft.Network/networkInterfaces/* 创建和管理网络接口
Microsoft.Network/networkSecurityGroups/join/action 加入网络安全组
Microsoft.Network/networkSecurityGroups/read 获取网络安全组定义
Microsoft.Network/publicIPAddresses/join/action 联接公共 IP 地址
Microsoft.Network/publicIPAddresses/read 获取公共 IP 地址定义。
Microsoft.Network/virtualNetworks/read 获取虚拟网络定义
Microsoft.Network/virtualNetworks/subnets/join/action 加入虚拟网络
Microsoft.RecoveryServices/locations/*
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/*/read
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/read 返回受保护项的对象详细信息
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/write 创建备份受保护项
Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write 创建备份保护意向
Microsoft.RecoveryServices/Vaults/backupPolicies/read 返回所有保护策略
Microsoft.RecoveryServices/Vaults/backupPolicies/write 创建保护策略
Microsoft.RecoveryServices/Vaults/read “获取保管库”操作获取表示“vault”类型的 Azure 资源的对象
Microsoft.RecoveryServices/Vaults/usages/read 返回恢复服务保管库的使用情况详细信息。
Microsoft.RecoveryServices/Vaults/write “创建保管库”操作创建“vault”类型的 Azure 资源
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Storage/storageAccounts/listKeys/action 返回指定存储帐户的访问密钥。
Microsoft.Storage/storageAccounts/read 返回存储帐户的列表,或获取指定存储帐户的属性。
Microsoft.Support/* 创建和管理支持票证

虚拟机用户登录

具有此角色的用户能够以常规用户身份登录到虚拟机。

操作
Microsoft.Compute/virtualMachines/login/action
Microsoft.Compute/virtualMachine/logon/action

Web 计划参与者

允许管理网站的 Web 计划,但不允许访问这些计划。

操作
Microsoft.Authorization/*/read 读取授权
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证
Microsoft.Web/serverFarms/* 创建和管理服务器场

网站参与者

允许管理网站(而非 Web 计划),但不允许访问这些网站。

操作
Microsoft.Authorization/*/read 读取授权
Microsoft.Insights/alertRules/* 创建和管理 Insights 警报规则
Microsoft.Insights/components/* 创建和管理 Insights 组件
Microsoft.ResourceHealth/availabilityStatuses/read 获取指定范围内所有资源的可用性状态
Microsoft.Resources/deployments/* 创建和管理资源组部署
Microsoft.Resources/subscriptions/resourceGroups/read 获取或列出资源组。
Microsoft.Support/* 创建和管理支持票证
Microsoft.Web/certificates/* 创建和管理网站证书
Microsoft.Web/listSitesAssignedToHostName/read 获取分配给主机名的站点名称。
Microsoft.Web/serverFarms/join/action
Microsoft.Web/serverFarms/read 获取应用服务计划的属性
Microsoft.Web/sites/* 创建和管理网站(站点创建还需要对关联的应用服务计划有写入权限)

另请参阅