用于 Azure 基于角色的访问控制的内置角色
Azure 基于角色的访问控制 (RBAC) 附带以下可分配到用户、组和服务的内置角色。 不能修改内置角色的定义。 但是,可以创建 Azure RBAC 中的自定义角色,以满足组织的特定需要。
内置角色说明
下表提供内置角色的简短说明。 单击角色名称可查看角色的“操作”和“不操作”的详细列表。 操作 属性指定对 Azure 资源允许的操作。 操作字符串可以使用通配符。 不操作 属性指定从允许的操作中排除的操作。
操作定义可以对给定资源类型执行哪种类型的操作。 例如:
- Write 使你可以执行 PUT、POST、PATCH 和 DELETE 操作。
- Read 使你可以执行 GET 操作。
本文仅针对目前存在的各种角色。 不过,向用户分配角色时,可以通过定义作用域进一步限制允许的操作。 如果想要将某人设为网站参与者,但只针对一个资源组,则此功能很有用。
Note
Azure 角色定义不断演化。 本文尽可能地保持处于最新状态,但你总是可在 Azure PowerShell 中找到最新的角色定义。 使用 Get-AzureRmRoleDefinition cmdlet 列出所有当前角色。 可以使用 (get-azurermroledefinition "<role name>").actions 或 (get-azurermroledefinition "<role name>").notactions 深入了解特定角色(如果适用)。 使用 Get-AzureRmProviderOperation 列出特定 Azure 资源提供程序的操作。
下表描述授予每个角色的特定权限。 这可能包括授予权限的 Action 和限制权限的 NotAction。
所有者
允许管理所有功能,包括对资源的访问权限。
参与者
允许管理所有功能(对资源的访问权限除外)。
| 不操作 |
|
| Microsoft.Authorization/*/Delete |
无法删除角色和角色分配 |
| Microsoft.Authorization/*/Write |
无法创建角色和角色分配 |
| Microsoft.Authorization/elevateAccess/Action |
向调用方授予租户范围的“用户访问管理员”访问权限 |
读取器
允许查看所有内容,但不能进行任何更改。
| 操作 |
|
| */read |
读取除密码外的所有类型的资源。 |
API 管理服务参与者
可以管理服务和 API
| 操作 |
|
| Microsoft.ApiManagement/service/* |
创建和管理 API 管理服务 |
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
API 管理服务操作员角色
可以管理服务,但不可管理 API
| 操作 |
|
| Microsoft.ApiManagement/service/*/read |
读取 API 管理服务实例 |
| Microsoft.ApiManagement/service/backup/action |
将 API 管理服务备份到用户提供的存储帐户中的指定容器 |
| Microsoft.ApiManagement/service/delete |
删除 API 管理服务实例 |
| Microsoft.ApiManagement/service/managedeployments/action |
更改 API 管理服务的 SKU/单位,以及添加/删除其区域部署 |
| Microsoft.ApiManagement/service/read |
读取 API 管理服务实例的元数据 |
| Microsoft.ApiManagement/service/restore/action |
从用户提供的存储帐户中的指定容器还原 API 管理服务 |
| Microsoft.ApiManagement/service/updatecertificate/action |
上传 API 管理服务的 SSL 证书 |
| Microsoft.ApiManagement/service/updatehostname/action |
设置、更新或删除 API 管理服务的自定义域名 |
| Microsoft.ApiManagement/service/write |
创建 API 管理服务的新实例 |
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| 不操作 |
|
| Microsoft.ApiManagement/service/users/keys/read |
获取用户密钥的列表 |
API 管理服务读者角色
对服务和 API 的只读访问权限
| 操作 |
|
| Microsoft.ApiManagement/service/*/read |
读取 API 管理服务实例 |
| Microsoft.ApiManagement/service/read |
读取 API 管理服务实例的元数据 |
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| 不操作 |
|
| Microsoft.ApiManagement/service/users/keys/read |
获取用户密钥的列表 |
自动化作业操作员
使用自动化 Runbook 创建和管理作业。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Automation/automationAccounts/jobs/read |
获取 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/resume/action |
恢复 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/stop/action |
停止 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read |
读取混合 Runbook 辅助角色资源 |
| Microsoft.Automation/automationAccounts/jobs/streams/read |
获取 Azure 自动化作业流 |
| Microsoft.Automation/automationAccounts/jobs/suspend/action |
暂停 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/write |
创建 Azure 自动化作业 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
自动化运算符
自动化操作员能够启动、停止、暂停和恢复作业
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Automation/automationAccounts/jobs/read |
获取 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/resume/action |
恢复 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/stop/action |
停止 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/streams/read |
获取 Azure 自动化作业流 |
| Microsoft.Automation/automationAccounts/jobs/suspend/action |
暂停 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobs/write |
创建 Azure 自动化作业 |
| Microsoft.Automation/automationAccounts/jobSchedules/read |
获取 Azure 自动化作业计划 |
| Microsoft.Automation/automationAccounts/jobSchedules/write |
创建 Azure 自动化作业计划 |
| Microsoft.Automation/automationAccounts/linkedWorkspace/read |
获取链接到自动化帐户的工作区 |
| Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read |
读取混合 Runbook 辅助角色资源 |
| Microsoft.Automation/automationAccounts/read |
获取 Azure 自动化帐户 |
| Microsoft.Automation/automationAccounts/runbooks/read |
获取 Azure 自动化 Runbook |
| Microsoft.Automation/automationAccounts/schedules/read |
获取 Azure 自动化计划资产 |
| Microsoft.Automation/automationAccounts/schedules/write |
创建或更新 Azure 自动化计划资产 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
自动化 Runbook 操作员
读取 Runbook 属性 - 以能够创建 runbook 的作业。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Automation/automationAccounts/runbooks/read |
获取 Azure 自动化 Runbook |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
Azure Stack 注册所有者
允许管理 Azure Stack 注册。
| 操作 |
|
| Microsoft.AzureStack/registrations/products/listDetails/action |
检索 Azure Stack Marketplace 产品的扩展详细信息 |
| Microsoft.AzureStack/registrations/products/read |
获取 Azure Stack Marketplace 产品的属性 |
| Microsoft.AzureStack/registrations/read |
获取 Azure Stack 注册的属性 |
备份参与者
允许管理备份服务,但不允许创建保管库以及授予其他人访问权限
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Network/virtualNetworks/read |
获取虚拟网络定义 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/* |
管理备份管理操作的结果 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/* |
在恢复服务保管库的备份结构内创建和管理备份容器 |
| Microsoft.RecoveryServices/Vaults/backupJobs/* |
创建和管理备份作业 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action |
导出作业 |
| Microsoft.RecoveryServices/Vaults/backupManagementMetaData/* |
创建和管理与备份管理相关的元数据 |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/* |
创建和管理备份管理操作的结果 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/* |
创建和管理备份策略 |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/* |
创建和管理可以备份的项 |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/* |
创建和管理已备份的项 |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/* |
创建和管理包含备份项的容器 |
| Microsoft.RecoveryServices/Vaults/certificates/* |
创建和管理与恢复服务保管库中的备份相关的证书 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/* |
创建和管理与保管库相关的扩展信息 |
| Microsoft.RecoveryServices/Vaults/read |
“获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/* |
管理用于获取新创建的容器的发现操作 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/* |
创建和管理已注册的标识 |
| Microsoft.RecoveryServices/Vaults/usages/* |
创建和管理恢复服务保管库的使用情况 |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read |
返回恢复服务的受保护项和受保护服务器的摘要。 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/read |
返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read |
GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* |
|
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read |
获取恢复服务保管库的警报。 |
| Microsoft.RecoveryServices/Vaults/storageConfig/* |
|
| Microsoft.RecoveryServices/Vaults/backupconfig/vaultconfig/* |
|
| Microsoft.RecoveryServices/Vaults/backupJobsExport/operationResults/read |
返回导出作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupSecurityPIN/* |
|
| Microsoft.Support/* |
创建和管理支持票证 |
备份操作员
允许管理备份服务,但删除备份、创建保管库以及授予其他人访问权限除外
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Network/virtualNetworks/read |
获取虚拟网络定义 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read |
返回操作状态 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ operationResults/read |
获取对保护容器执行的操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/backup/action |
对受保护的项执行备份。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/operationResults/read |
获取对受保护项执行的操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/operationsStatus/read |
返回对受保护项执行的操作的状态。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/read |
返回受保护项的对象详细信息 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/read |
获取受保护项的恢复点。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/restore/action |
还原受保护项的恢复点。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/write |
创建备份受保护项 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read |
返回所有已注册的容器 |
| Microsoft.RecoveryServices/Vaults/backupJobs/* |
创建和管理备份作业 |
| Microsoft.RecoveryServices/Vaults/backupJobs/cancel/action |
取消作业 |
| Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read |
返回作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupJobs/read |
返回所有作业对象 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action |
导出作业 |
| Microsoft.RecoveryServices/Vaults/backupManagementMetaData/read |
返回恢复服务保管库的备份管理元数据。 |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/* |
创建和管理备份管理操作的结果 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read |
获取策略操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read |
返回所有保护策略 |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/* |
创建和管理可以备份的项 |
| Microsoft.RecoveryServices/Vaults/backupProtectableItems/read |
返回所有可保护项的列表。 |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/read |
返回所有受保护项的列表。 |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read |
返回属于订阅的所有容器 |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read |
返回恢复服务的受保护项和受保护服务器的摘要。 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read |
“获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/write |
“获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/read |
“获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/* |
管理用于获取新创建的容器的发现操作 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read |
“获取操作结果”操作可用于获取异步提交的操作的操作状态和结果 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read |
“获取容器”操作可用于获取针对资源注册的容器。 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/write |
“注册服务容器”操作可用于向恢复服务注册容器。 |
| Microsoft.RecoveryServices/Vaults/usages/read |
返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/read |
返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/provisionInstantItemRecovery/action |
预配受保护项的即时项恢复 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/revokeInstantItemRecovery/action |
吊销受保护项的即时项恢复 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read |
GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/* |
|
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read |
获取恢复服务保管库的警报。 |
| Microsoft.RecoveryServices/Vaults/storageConfig/* |
|
| Microsoft.RecoveryServices/Vaults/backupconfig/vaultconfig/* |
|
| Microsoft.RecoveryServices/Vaults/backupJobsExport/operationResults/read |
返回导出作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationStatus/read |
|
| Microsoft.RecoveryServices/Vaults/certificates/write |
“更新资源证书”操作更新资源/保管库凭据证书。 |
| Microsoft.Support/* |
创建和管理支持票证 |
备份读取器
可以查看备份服务,但是不能进行更改
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read |
返回操作状态 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ operationResults/read |
获取对保护容器执行的操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/operationResults/read |
获取对受保护项执行的操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/operationsStatus/read |
返回对受保护项执行的操作的状态。 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/read |
返回受保护项的对象详细信息 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read |
返回所有已注册的容器 |
| Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read |
返回作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupJobs/read |
返回所有作业对象 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/action |
导出作业 |
| Microsoft.RecoveryServices/Vaults/backupManagementMetaData/read |
返回恢复服务保管库的备份管理元数据。 |
| Microsoft.RecoveryServices/Vaults/backupOperationResults/read |
返回恢复服务保管库的备份操作结果。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read |
获取策略操作的结果。 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read |
返回所有保护策略 |
| Microsoft.RecoveryServices/Vaults/backupProtectedItems/read |
返回所有受保护项的列表。 |
| Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read |
返回属于订阅的所有容器 |
| Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read |
返回恢复服务的受保护项和受保护服务器的摘要。 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read |
“获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/read |
“获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/read |
|
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read |
“获取操作结果”操作可用于获取异步提交的操作的操作状态和结果 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read |
“获取容器”操作可用于获取针对资源注册的容器。 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read |
GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/ notificationConfiguration/read |
|
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read |
获取恢复服务保管库的警报。 |
| Microsoft.RecoveryServices/Vaults/storageConfig/read |
|
| Microsoft.RecoveryServices/Vaults/backupconfig/vaultconfig/read |
|
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/recoveryPoints/read |
获取受保护项的恢复点。 |
| Microsoft.RecoveryServices/Vaults/backupJobsExport/operationResults/read |
返回导出作业操作的结果。 |
| Microsoft.RecoveryServices/Vaults/usages/read |
返回恢复服务保管库的使用情况详细信息。 |
计费读者
允许对帐单数据进行读取访问
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Billing/*/read |
读取计费信息 |
| Microsoft.Consumption/*/read |
|
| Microsoft.Commerce/*/read |
|
| Microsoft.Management/managementGroups/read |
列出已通过身份验证的用户的管理组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
CDN 终结点参与者
可以管理 CDN 终结点,但不能向其他用户授予访问权限。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Cdn/edgenodes/read |
|
| Microsoft.Cdn/operationresults/* |
|
| Microsoft.Cdn/profiles/endpoints/* |
|
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
CDN 终结点读者
可以查看 CDN 终结点,但不能进行更改。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Cdn/edgenodes/read |
|
| Microsoft.Cdn/operationresults/* |
|
| Microsoft.Cdn/profiles/endpoints/*/read |
|
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
CDN 配置文件参与者
可以管理 CDN 配置文件及其终结点,但不能向其他用户授予访问权限。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Cdn/edgenodes/read |
|
| Microsoft.Cdn/operationresults/* |
|
| Microsoft.Cdn/profiles/* |
|
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
CDN 配置文件读者
可以查看 CDN 配置文件及其终结点,但不能进行更改。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Cdn/edgenodes/read |
|
| Microsoft.Cdn/operationresults/* |
|
| Microsoft.Cdn/profiles/*/read |
|
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
经典网络参与者
允许管理经典网络,但不允许访问这些网络。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.ClassicNetwork/* |
创建和管理经典网络 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
经典存储帐户参与者
允许管理经典存储帐户,但不允许对其进行访问。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.ClassicStorage/storageAccounts/* |
创建和管理存储帐户 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
经典存储帐户密钥操作员服务角色
允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥
| 操作 |
|
| Microsoft.ClassicStorage/storageAccounts/listkeys/action |
列出存储帐户的访问密钥。 |
| Microsoft.ClassicStorage/storageAccounts/regeneratekey/action |
再生成存储帐户的现有访问密钥。 |
经典虚拟机参与者
允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.ClassicCompute/domainNames/* |
创建和管理经典计算域名 |
| Microsoft.ClassicCompute/virtualMachines/* |
创建和管理虚拟机 |
| Microsoft.ClassicNetwork/networkSecurityGroups/join/action |
|
| Microsoft.ClassicNetwork/reservedIps/link/action |
链接保留 IP |
| Microsoft.ClassicNetwork/reservedIps/read |
获取保留 IP |
| Microsoft.ClassicNetwork/virtualNetworks/join/action |
加入虚拟网络。 |
| Microsoft.ClassicNetwork/virtualNetworks/read |
获取虚拟网络。 |
| Microsoft.ClassicStorage/storageAccounts/disks/read |
返回存储帐户磁盘。 |
| Microsoft.ClassicStorage/storageAccounts/images/read |
返回存储帐户映像。 |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action |
列出存储帐户的访问密钥。 |
| Microsoft.ClassicStorage/storageAccounts/read |
返回包含给定帐户的存储帐户。 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
ClearDB MySQL DB 参与者
允许管理 ClearDB MySQL 数据库,但不允许访问这些数据库。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| successbricks.cleardb/databases/* |
创建和管理 ClearDB MySQL 数据库 |
Cosmos DB 帐户读者角色
可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配,可以读取授予每个用户的权限 |
| Microsoft.DocumentDB/*/read |
读取任何集合 |
| Microsoft.DocumentDB/databaseAccounts/readonlykeys/action |
读取数据库帐户只读密钥。 |
| Microsoft.Insights/MetricDefinitions/read |
读取指标定义 |
| Microsoft.Insights/Metrics/read |
添加指标 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
DNS 区域参与者
允许管理 Azure DNS 中的 DNS 区域和记录集,但不允许控制对其访问的人员。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.Network/dnsZones/* |
创建和管理 DNS 区域和记录 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
DocumentDB 帐户参与者
可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.DocumentDb/databaseAccounts/* |
创建并管理 Azure Cosmos DB 帐户 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
Intelligent Systems 帐户参与者
允许管理智能系统帐户,但不允许访问这些帐户。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.IntelligentSystems/accounts/* |
创建和管理智能系统帐户 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
密钥保管库参与者
允许管理密钥保管库,但不允许对其进行访问。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.KeyVault/* |
|
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| 不操作 |
|
| Microsoft.KeyVault/locations/deletedVaults/purge/action |
清除软删除的密钥保管库 |
实验室创建者
允许在 Azure 实验室帐户下创建、管理、删除托管实验室。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.ManagedLab/labAccounts/createLab/action |
在实验室帐户中创建实验室。 |
| Microsoft.ManagedLab/labAccounts/*/read |
|
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
Log Analytics 参与者
Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志集合、创建和配置自动化帐户、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。
| 操作 |
|
| */read |
读取除密码外的所有类型的资源。 |
| Microsoft.Automation/automationAccounts/* |
|
| Microsoft.ClassicCompute/virtualMachines/extensions/* |
|
| Microsoft.ClassicStorage/storageAccounts/listKeys/action |
列出存储帐户的访问密钥。 |
| Microsoft.Compute/virtualMachines/extensions/* |
|
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Insights/diagnosticSettings/* |
创建、更新或读取 Analysis Server 的诊断设置 |
| Microsoft.OperationalInsights/* |
|
| Microsoft.OperationsManagement/* |
|
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourcegroups/deployments/* |
|
| Microsoft.Storage/storageAccounts/listKeys/action |
返回指定存储帐户的访问密钥。 |
| Microsoft.Support/* |
创建和管理支持票证 |
Log Analytics 读者
Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。
| 操作 |
|
| */read |
读取除密码外的所有类型的资源。 |
| Microsoft.OperationalInsights/workspaces/analytics/query/action |
使用新引擎进行搜索。 |
| Microsoft.OperationalInsights/workspaces/search/action |
执行搜索查询 |
| Microsoft.Support/* |
创建和管理支持票证 |
| 不操作 |
|
| Microsoft.OperationalInsights/workspaces/sharedKeys/read |
检索工作区的共享密钥。 这些密钥用于将 Microsoft Operational Insights 代理连接到工作区。 |
逻辑应用参与者
允许管理逻辑应用,但不允许对其进行访问。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.ClassicStorage/storageAccounts/listKeys/action |
列出存储帐户的访问密钥。 |
| Microsoft.ClassicStorage/storageAccounts/read |
返回包含给定帐户的存储帐户。 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Insights/diagnosticSettings/* |
创建、更新或读取 Analysis Server 的诊断设置 |
| Microsoft.Insights/logdefinitions/* |
需要通过门户访问活动日志的用户必须拥有此权限。 列出活动日志中的日志类别。 |
| Microsoft.Insights/metricDefinitions/* |
读取指标定义(资源的可用指标类型的列表)。 |
| Microsoft.Logic/* |
管理逻辑应用资源。 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/operationresults/read |
获取订阅操作结果。 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/listkeys/action |
返回指定存储帐户的访问密钥。 |
| Microsoft.Storage/storageAccounts/read |
返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| Microsoft.Web/connectionGateways/* |
创建和管理连接网关。 |
| Microsoft.Web/connections/* |
创建和管理连接。 |
| Microsoft.Web/customApis/* |
创建和管理自定义 API。 |
| Microsoft.Web/serverFarms/join/action |
|
| Microsoft.Web/serverFarms/read |
获取应用服务计划的属性 |
| Microsoft.Web/sites/functions/listSecrets/action |
列出机密 Web 应用函数。 |
逻辑应用运算符
允许读取、启用和禁用逻辑应用。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/*/read |
读取 Insights 警报规则 |
| Microsoft.Insights/diagnosticSettings/*/read |
获取逻辑应用的诊断设置 |
| Microsoft.Insights/metricDefinitions/*/read |
获取逻辑应用的可用指标。 |
| Microsoft.Logic/*/read |
读取逻辑应用资源。 |
| Microsoft.Logic/workflows/disable/action |
禁用工作流。 |
| Microsoft.Logic/workflows/enable/action |
启用工作流。 |
| Microsoft.Logic/workflows/validate/action |
验证工作流。 |
| Microsoft.Resources/deployments/operations/read |
获取或列出部署操作。 |
| Microsoft.Resources/subscriptions/operationresults/read |
获取订阅操作结果。 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| Microsoft.Web/connectionGateways/*/read |
读取连接网关。 |
| Microsoft.Web/connections/*/read |
读取连接。 |
| Microsoft.Web/customApis/*/read |
读取自定义 API。 |
| Microsoft.Web/serverFarms/read |
获取应用服务计划的属性 |
托管的标识参与者
创建、读取、更新和删除用户分配的标识
| 操作 |
|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/read |
|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/write |
|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/delete |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Support/* |
创建和管理支持票证 |
托管的标识操作员
读取和分配用户分配的标识
| 操作 |
|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/read |
|
| Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Support/* |
创建和管理支持票证 |
监视参与者
可以读取所有监视数据和编辑监视设置。
| 操作 |
|
| */read |
读取除密码外的所有类型的资源。 |
| Microsoft.AlertsManagement/alerts/* |
|
| Microsoft.AlertsManagement/alertsSummary/* |
|
| Microsoft.Insights/AlertRules/* |
读取/写入/删除警报规则。 |
| Microsoft.Insights/DiagnosticSettings/* |
读取/写入/删除诊断设置。 |
| Microsoft.Insights/eventtypes/* |
列出订阅中的活动日志事件(管理事件)。 此权限适用于对活动日志的编程和门户访问。 |
| Microsoft.Insights/LogDefinitions/* |
需要通过门户访问活动日志的用户必须拥有此权限。 列出活动日志中的日志类别。 |
| Microsoft.Insights/MetricDefinitions/* |
读取指标定义(资源的可用指标类型的列表)。 |
| Microsoft.Insights/Metrics/* |
读取资源的指标。 |
| Microsoft.Insights/Register/Action |
注册 Microsoft.Insights 提供程序 |
| Microsoft.OperationalInsights/workspaces/intelligencepacks/* |
读取/写入/删除 Log Analytics 解决方案包。 |
| Microsoft.OperationalInsights/workspaces/savedSearches/* |
读取/写入/删除 Log Analytics 保存的搜索。 |
| Microsoft.OperationalInsights/workspaces/search/action |
执行搜索查询 |
| Microsoft.OperationalInsights/workspaces/sharedKeys/action |
检索工作区的共享密钥。 这些密钥用于将 Microsoft Operational Insights 代理连接到工作区。 |
| Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* |
读取/写入/删除 Log Analytics 存储见解配置。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| Microsoft.WorkloadMonitor/workloads/* |
|
监视读取者
可以读取所有监视数据(指标、日志等)。
| 操作 |
|
| */read |
读取除密码外的所有类型的资源。 |
| Microsoft.OperationalInsights/workspaces/search/action |
执行搜索查询 |
| Microsoft.Support/* |
创建和管理支持票证 |
网络参与者
允许管理网络,但不允许访问这些网络。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.Network/* |
创建并管理网络 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
New elic APM 帐户参与者
允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| NewRelic.APM/accounts/* |
|
Redis 缓存参与者
允许管理 Redis 缓存,但不允许访问这些缓存。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Cache/redis/* |
创建和管理 Redis 缓存 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
计划程序作业集合参与者
允许管理计划程序作业集合,但不允许访问这些集合。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Scheduler/jobcollections/* |
创建和管理作业集合 |
| Microsoft.Support/* |
创建和管理支持票证 |
安全管理员
仅在安全中心内:可以查看安全策略、查看安全状态、编辑安全策略、查看警报和建议、关闭警报和建议
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Authorization/policyAssignments/* |
创建和管理策略分配 |
| Microsoft.Authorization/policyDefinitions/* |
创建和管理策略定义 |
| Microsoft.Authorization/policySetDefinitions/* |
创建和管理策略集 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.operationalInsights/workspaces/*/read |
查看 Log Analytics 数据 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Security/*/read |
读取安全组件和策略 |
| Microsoft.Security/locations/alerts/dismiss/action |
关闭安全警报 |
| Microsoft.Security/locations/tasks/dismiss/action |
关闭安全建议 |
| Microsoft.Security/policies/write |
更新安全策略 |
| Microsoft.Support/* |
创建和管理支持票证 |
安全管理器
允许管理安全性组件、安全策略和虚拟机
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.ClassicCompute/*/read |
读取经典虚拟机的配置信息 |
| Microsoft.ClassicCompute/virtualMachines/*/write |
写入经典虚拟机的配置 |
| Microsoft.ClassicNetwork/*/read |
读取有关经典网络的配置信息 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Security/* |
创建和管理安全组件和策略 |
| Microsoft.Support/* |
创建和管理支持票证 |
安全读取者
仅在安全中心内:可以查看建议和警报、查看安全策略、查看安全状态,但不能进行更改
| 操作 |
|
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.operationalInsights/workspaces/*/read |
查看 Log Analytics 数据 |
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Support/* |
创建和管理支持票证 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Security/*/read |
读取安全组件和策略 |
Site Recovery 参与者
允许管理除保管库创建和角色分配外的 Site Recovery 服务
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.Network/virtualNetworks/read |
获取虚拟网络定义 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read |
GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/locations/allocateStamp/action |
AllocateStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/certificates/write |
“更新资源证书”操作更新资源/保管库凭据证书。 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/* |
创建和管理与保管库相关的扩展信息 |
| Microsoft.RecoveryServices/Vaults/read |
“获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/read |
|
| Microsoft.RecoveryServices/Vaults/registeredIdentities/* |
创建和管理已注册标识 |
| Microsoft.RecoveryServices/vaults/replicationAlertSettings/* |
创建或更新复制警报设置 |
| Microsoft.RecoveryServices/vaults/replicationEvents/read |
读取任何事件 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/* |
创建和管理复制结构 |
| Microsoft.RecoveryServices/vaults/replicationJobs/* |
创建和管理复制作业 |
| Microsoft.RecoveryServices/vaults/replicationPolicies/* |
创建和管理复制策略 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/* |
创建和管理恢复计划 |
| Microsoft.RecoveryServices/Vaults/storageConfig/* |
创建和管理恢复服务保管库的存储配置 |
| Microsoft.RecoveryServices/Vaults/tokenInfo/read |
返回恢复服务保管库的令牌信息。 |
| Microsoft.RecoveryServices/Vaults/usages/read |
返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.RecoveryServices/Vaults/vaultTokens/read |
“保管库令牌”操作可用于获取保管库级后端操作的保管库令牌。 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/* |
读取恢复服务保管库的警报 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/ notificationConfiguration/read |
|
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/read |
返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.Support/* |
创建和管理支持票证 |
Site Recovery 操作员
允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.Network/virtualNetworks/read |
获取虚拟网络定义 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read |
GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/locations/allocateStamp/action |
AllocateStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read |
“获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/read |
“获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/read |
|
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read |
“获取操作结果”操作可用于获取异步提交的操作的操作状态和结果 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read |
“获取容器”操作可用于获取针对资源注册的容器。 |
| Microsoft.RecoveryServices/vaults/replicationAlertSettings/read |
读取任何警报设置 |
| Microsoft.RecoveryServices/vaults/replicationEvents/read |
读取任何事件 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/checkConsistency/action |
检查结构的一致性 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/read |
读取任何结构 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/reassociateGateway/action |
重新关联网关 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/renewcertificate/action |
续订 Fabric 的证书 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationNetworks/read |
读取任何网络 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationNetworks/replicationNetworkMappings/read |
读取任何网络映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/read |
读取任何保护容器 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectableItems/read |
读取任何可保护项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/applyRecoveryPoint/action |
应用还原点 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/failoverCommit/action |
故障转移提交 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/plannedFailover/action |
计划内故障转移 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/read |
读取任何受保护的项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/recoveryPoints/read |
读取任何复制恢复点 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/repairReplication/action |
修复复制 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/reProtect/action |
重新保护受保护的项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/testFailover/action |
测试故障转移 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/testFailoverCleanup/action |
测试故障转移清理 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/unplannedFailover/action |
故障转移 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/updateMobilityService/action |
更新移动服务 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectionContainerMappings/read |
读取任何保护容器映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationRecoveryServicesProviders/read |
读取任何恢复服务提供程序 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationRecoveryServicesProviders/refreshProvider/action |
刷新提供程序 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationStorageClassifications/read |
读取任何存储分类 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationStorageClassifications/replicationStorageClassificationMappings/read |
读取任何存储分类映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationvCenters/read |
读取任何作业 |
| Microsoft.RecoveryServices/vaults/replicationJobs/* |
创建和管理复制作业 |
| Microsoft.RecoveryServices/vaults/replicationPolicies/read |
读取任何策略 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/failoverCommit/action |
故障转移提交恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/plannedFailover/action |
计划内故障转移恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/read |
读取任何恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/reProtect/action |
重新保护恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/testFailover/action |
测试故障转移恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/testFailoverCleanup/action |
测试故障转移清理恢复计划 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/unplannedFailover/action |
故障转移恢复计划 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/* |
读取恢复服务保管库的警报 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/ notificationConfiguration/read |
|
| Microsoft.RecoveryServices/Vaults/storageConfig/read |
|
| Microsoft.RecoveryServices/Vaults/tokenInfo/read |
返回恢复服务保管库的令牌信息。 |
| Microsoft.RecoveryServices/Vaults/usages/read |
返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.RecoveryServices/Vaults/vaultTokens/read |
“保管库令牌”操作可用于获取保管库级后端操作的保管库令牌。 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/read |
返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.Support/* |
创建和管理支持票证 |
Site Recovery 读取者
允许查看 Site Recovery 状态,但不允许执行其他管理操作
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.RecoveryServices/locations/allocatedStamp/read |
GetAllocatedStamp 是服务使用的内部操作 |
| Microsoft.RecoveryServices/Vaults/extendedInformation/read |
“获取扩展信息”操作获取表示“vault”类型的 Azure 资源的对象扩展信息 |
| Microsoft.RecoveryServices/Vaults/monitoringAlerts/read |
获取恢复服务保管库的警报。 |
| Microsoft.RecoveryServices/Vaults/monitoringConfigurations/ notificationConfiguration/read |
|
| Microsoft.RecoveryServices/Vaults/read |
“获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/refreshContainers/read |
|
| Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read |
“获取操作结果”操作可用于获取异步提交的操作的操作状态和结果 |
| Microsoft.RecoveryServices/Vaults/registeredIdentities/read |
“获取容器”操作可用于获取针对资源注册的容器。 |
| Microsoft.RecoveryServices/vaults/replicationAlertSettings/read |
读取任何警报设置 |
| Microsoft.RecoveryServices/vaults/replicationEvents/read |
读取任何事件 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/read |
读取任何结构 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationNetworks/read |
读取任何网络 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationNetworks/replicationNetworkMappings/read |
读取任何网络映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/read |
读取任何保护容器 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectableItems/read |
读取任何可保护项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/read |
读取任何受保护的项 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectedItems/recoveryPoints/read |
读取任何复制恢复点 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationProtectionContainers/replicationProtectionContainerMappings/read |
读取任何保护容器映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationRecoveryServicesProviders/read |
读取任何恢复服务提供程序 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationStorageClassifications/read |
读取任何存储分类 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/ replicationStorageClassifications/replicationStorageClassificationMappings/read |
读取任何存储分类映射 |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationvCenters/read |
读取任何作业 |
| Microsoft.RecoveryServices/vaults/replicationJobs/read |
读取任何作业 |
| Microsoft.RecoveryServices/vaults/replicationPolicies/read |
读取任何策略 |
| Microsoft.RecoveryServices/vaults/replicationRecoveryPlans/read |
读取任何恢复计划 |
| Microsoft.RecoveryServices/Vaults/storageConfig/read |
|
| Microsoft.RecoveryServices/Vaults/tokenInfo/read |
返回恢复服务保管库的令牌信息。 |
| Microsoft.RecoveryServices/Vaults/usages/read |
返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.RecoveryServices/Vaults/vaultTokens/read |
“保管库令牌”操作可用于获取保管库级后端操作的保管库令牌。 |
| Microsoft.Support/* |
创建和管理支持票证 |
SQL DB 参与者
允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Sql/locations/*/read |
|
| Microsoft.Sql/servers/databases/* |
创建和管理 SQL 数据库 |
| Microsoft.Sql/servers/read |
返回服务器列表,或获取指定服务器的属性。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| 不操作 |
|
| Microsoft.Sql/servers/databases/auditingPolicies/* |
无法编辑审核策略 |
| Microsoft.Sql/servers/databases/auditingSettings/* |
无法编辑审核设置 |
| Microsoft.Sql/servers/databases/auditRecords/read |
检索数据库 Blob 审核记录 |
| Microsoft.Sql/servers/databases/connectionPolicies/* |
无法编辑连接策略 |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* |
无法编辑数据屏蔽策略 |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/* |
|
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* |
|
| Microsoft.Sql/servers/databases/securityAlertPolicies/* |
无法编辑安全警报策略 |
| Microsoft.Sql/servers/databases/securityMetrics/* |
无法编辑安全度量值 |
| Microsoft.Sql/servers/databases/sensitivityLabels/* |
|
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* |
|
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* |
|
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* |
|
SQL 安全管理器
允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取 Microsoft 授权 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action |
将存储帐户或 SQL 数据库等资源加入到子网。 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Sql/servers/auditingPolicies/* |
创建和管理 SQL 服务器审核策略 |
| Microsoft.Sql/servers/auditingSettings/* |
创建和管理 SQL 服务器审核设置 |
| Microsoft.Sql/servers/databases/auditingPolicies/* |
创建和管理 SQL 服务器数据库审核策略 |
| Microsoft.Sql/servers/databases/auditingSettings/* |
创建和管理 SQL 服务器数据库审核设置 |
| Microsoft.Sql/servers/databases/auditRecords/read |
读取审核记录 |
| Microsoft.Sql/servers/databases/connectionPolicies/* |
创建和管理 SQL 服务器数据库连接策略 |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* |
创建和管理 SQL 服务器数据库数据屏蔽策略 |
| Microsoft.Sql/servers/databases/read |
返回数据库的列表,或获取指定数据库的属性。 |
| Microsoft.Sql/servers/databases/schemas/read |
检索数据库的架构列表 |
| Microsoft.Sql/servers/databases/schemas/tables/columns/read |
检索表的列列表 |
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* |
|
| Microsoft.Sql/servers/databases/schemas/tables/read |
检索数据库的表列表 |
| Microsoft.Sql/servers/databases/securityAlertPolicies/* |
创建和管理 SQL 服务器数据库安全警报策略 |
| Microsoft.Sql/servers/databases/securityMetrics/* |
创建和管理 SQL 服务器数据库安全度量值 |
| Microsoft.Sql/servers/databases/sensitivityLabels/* |
|
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* |
|
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* |
|
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* |
|
| Microsoft.Sql/servers/firewallRules/* |
|
| Microsoft.Sql/servers/read |
返回服务器列表,或获取指定服务器的属性。 |
| Microsoft.Sql/servers/securityAlertPolicies/* |
创建和管理 SQL 服务器安全警报策略 |
| Microsoft.Support/* |
创建和管理支持票证 |
SQL Server 参与者
允许管理 SQL 服务器和数据库,但不允许访问它们及其安全相关的策略。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Sql/locations/*/read |
|
| Microsoft.Sql/servers/* |
创建和管理 SQL 服务器 |
| Microsoft.Support/* |
创建和管理支持票证 |
| 不操作 |
|
| Microsoft.Sql/servers/auditingPolicies/* |
无法编辑 SQL 服务器审核策略 |
| Microsoft.Sql/servers/auditingSettings/* |
无法编辑 SQL 服务器审核设置 |
| Microsoft.Sql/servers/databases/auditingPolicies/* |
无法编辑 SQL 服务器数据库审核策略 |
| Microsoft.Sql/servers/databases/auditingSettings/* |
无法编辑 SQL 服务器数据库审核设置 |
| Microsoft.Sql/servers/databases/auditRecords/read |
无法读取审核记录 |
| Microsoft.Sql/servers/databases/connectionPolicies/* |
无法编辑 SQL 服务器数据库连接策略 |
| Microsoft.Sql/servers/databases/dataMaskingPolicies/* |
无法编辑 SQL 服务器数据库数据屏蔽策略 |
| Microsoft.Sql/servers/databases/extendedAuditingSettings/* |
|
| Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/* |
|
| Microsoft.Sql/servers/databases/securityAlertPolicies/* |
无法编辑 SQL 服务器数据库安全警报策略 |
| Microsoft.Sql/servers/databases/securityMetrics/* |
无法编辑 SQL 服务器数据库安全度量值 |
| Microsoft.Sql/servers/databases/sensitivityLabels/* |
|
| Microsoft.Sql/servers/databases/vulnerabilityAssessments/* |
|
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/* |
|
| Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/* |
|
| Microsoft.Sql/servers/extendedAuditingSettings/* |
|
| Microsoft.Sql/servers/securityAlertPolicies/* |
无法编辑 SQL 服务器安全警报策略 |
存储帐户参与者
允许管理存储帐户,但不允许对其进行访问。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取所有授权 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Insights/diagnosticSettings/* |
管理诊断设置 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action |
将存储帐户或 SQL 数据库等资源加入到子网。 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/* |
创建和管理存储帐户 |
| Microsoft.Support/* |
创建和管理支持票证 |
存储帐户密钥操作员服务角色
允许存储帐户密钥操作员在存储帐户上列出和重新生成密钥
| 操作 |
|
| Microsoft.Storage/storageAccounts/listkeys/action |
返回指定存储帐户的访问密钥。 |
| Microsoft.Storage/storageAccounts/regeneratekey/action |
再生成指定存储帐户的访问密钥。 |
支持请求参与者
允许创建和管理支持请求
| 操作 |
|
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
流量管理器参与者
允许管理流量管理器配置文件,但不允许控制谁可以访问它们。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取角色和角色分配 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Network/trafficManagerProfiles/* |
|
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
用户访问管理员
允许管理用户对 Azure 资源的访问权限。
| 操作 |
|
| */read |
读取除密码外的所有类型的资源。 |
| Microsoft.Authorization/* |
管理授权 |
| Microsoft.Support/* |
创建和管理支持票证 |
虚拟机管理员登录
- 具有此角色的用户能够以 Windows 管理员或 Linux root 用户权限登录到虚拟机。
| 操作 |
|
| Microsoft.Compute/virtualMachines/loginAsAdmin/action |
|
| Microsoft.Compute/virtualMachines/login/action |
|
| Microsoft.Compute/virtualMachine/loginAsAdmin/action |
|
| Microsoft.Compute/virtualMachine/logon/action |
|
虚拟机参与者
允许管理虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.Compute/availabilitySets/* |
创建和管理计算可用性集 |
| Microsoft.Compute/locations/* |
创建和管理计算位置 |
| Microsoft.Compute/virtualMachines/* |
创建和管理虚拟机 |
| Microsoft.Compute/virtualMachineScaleSets/* |
创建和管理虚拟机规模集 |
| Microsoft.DevTestLab/schedules/* |
|
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Network/applicationGateways/backendAddressPools/join/action |
加入应用程序网关后端地址池 |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action |
加入负载均衡器后端地址池 |
| Microsoft.Network/loadBalancers/inboundNatPools/join/action |
加入负载均衡器入站 NAT 池 |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action |
加入负载均衡器入站 NAT 规则 |
| Microsoft.Network/loadBalancers/probes/join/action |
允许使用负载均衡器的探测。 例如,使用此权限,VM 规模集的 healthProbe 属性可以引用探测。 |
| Microsoft.Network/loadBalancers/read |
获取负载均衡器定义 |
| Microsoft.Network/locations/* |
创建和管理网络位置 |
| Microsoft.Network/networkInterfaces/* |
创建和管理网络接口 |
| Microsoft.Network/networkSecurityGroups/join/action |
加入网络安全组 |
| Microsoft.Network/networkSecurityGroups/read |
获取网络安全组定义 |
| Microsoft.Network/publicIPAddresses/join/action |
联接公共 IP 地址 |
| Microsoft.Network/publicIPAddresses/read |
获取公共 IP 地址定义。 |
| Microsoft.Network/virtualNetworks/read |
获取虚拟网络定义 |
| Microsoft.Network/virtualNetworks/subnets/join/action |
加入虚拟网络 |
| Microsoft.RecoveryServices/locations/* |
|
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/*/read |
|
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/read |
返回受保护项的对象详细信息 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/ protectedItems/write |
创建备份受保护项 |
| Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write |
创建备份保护意向 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/read |
返回所有保护策略 |
| Microsoft.RecoveryServices/Vaults/backupPolicies/write |
创建保护策略 |
| Microsoft.RecoveryServices/Vaults/read |
“获取保管库”操作获取表示“vault”类型的 Azure 资源的对象 |
| Microsoft.RecoveryServices/Vaults/usages/read |
返回恢复服务保管库的使用情况详细信息。 |
| Microsoft.RecoveryServices/Vaults/write |
“创建保管库”操作创建“vault”类型的 Azure 资源 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Storage/storageAccounts/listKeys/action |
返回指定存储帐户的访问密钥。 |
| Microsoft.Storage/storageAccounts/read |
返回存储帐户的列表,或获取指定存储帐户的属性。 |
| Microsoft.Support/* |
创建和管理支持票证 |
虚拟机用户登录
具有此角色的用户能够以常规用户身份登录到虚拟机。
| 操作 |
|
| Microsoft.Compute/virtualMachines/login/action |
|
| Microsoft.Compute/virtualMachine/logon/action |
|
Web 计划参与者
允许管理网站的 Web 计划,但不允许访问这些计划。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| Microsoft.Web/serverFarms/* |
创建和管理服务器场 |
网站参与者
允许管理网站(而非 Web 计划),但不允许访问这些网站。
| 操作 |
|
| Microsoft.Authorization/*/read |
读取授权 |
| Microsoft.Insights/alertRules/* |
创建和管理 Insights 警报规则 |
| Microsoft.Insights/components/* |
创建和管理 Insights 组件 |
| Microsoft.ResourceHealth/availabilityStatuses/read |
获取指定范围内所有资源的可用性状态 |
| Microsoft.Resources/deployments/* |
创建和管理资源组部署 |
| Microsoft.Resources/subscriptions/resourceGroups/read |
获取或列出资源组。 |
| Microsoft.Support/* |
创建和管理支持票证 |
| Microsoft.Web/certificates/* |
创建和管理网站证书 |
| Microsoft.Web/listSitesAssignedToHostName/read |
获取分配给主机名的站点名称。 |
| Microsoft.Web/serverFarms/join/action |
|
| Microsoft.Web/serverFarms/read |
获取应用服务计划的属性 |
| Microsoft.Web/sites/* |
创建和管理网站(站点创建还需要对关联的应用服务计划有写入权限) |
另请参阅
