Share via

Exigence d’autorisation pour le Connecter or de service

  • Article

Le Connecter or de service crée des connexions entre les services Azure à l’aide d’un jeton pour le compte. La création d’une connexion à une ressource Azure spécifique nécessite ses autorisations correspondantes.

App Service

Action Description
Microsoft.Web/sites/config/write Met à jour les paramètres de configuration d’application web.
Microsoft.web/sites/config/delete Supprime la configuration de Web Apps.
Microsoft.Web/sites/config/list/action Répertorie les paramètres sensibles de sécurité d’application web, tels que les informations d’identification de publication, les paramètres d’application et les chaînes de connexion.
Microsoft.Web/sites/config/Read Récupère les paramètres de configuration des applications web.
Microsoft.Web/sites/write Crée une application web ou en met une à jour.
Microsoft.Web/sites/read Récupère les propriétés d’une application web.

Emplacement d’application web

Action Description
Microsoft.Web/sites/slots/Write Crée un emplacement d’application web ou en met un à jour.
Microsoft.Web/sites/slots/Read Récupère les propriétés d’un emplacement de déploiement d’une application web.
Microsoft.Web/sites/slots/config/Read Récupère les paramètres de configuration de l’emplacement d’application web.
Microsoft.Web/sites/slots/config/Write Met à jour les paramètres de configuration de l’emplacement d’application web.
microsoft.web/sites/slots/config/delete Supprime la configuration des emplacements Web Apps.
Microsoft.Web/sites/slots/config/list/Action Répertorie les paramètres sensibles de sécurité de l’emplacement d’application web, tels que les informations d’identification de publication, les paramètres d’application et les chaînes de connexion.

Azure Spring App

Action Description
Microsoft.AppPlatform/Spring/read Obtenir une instance de service Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read Récupère les applications pour une instance de service Azure Spring Apps spécifique
Microsoft.AppPlatform/Spring/apps/write Crée ou met à jour l'application pour une instance de service Azure Spring Apps spécifique
Microsoft.AppPlatform/Spring/apps/deployments/*/read Récupère les déploiements d'une application spécifique
Microsoft.AppPlatform/Spring/apps/deployments/*/write Crée ou met à jour le déploiement d'une application spécifique
Microsoft.AppPlatform/Spring/apps/deployments/*/delete Supprime le déploiement d'une application spécifique

Azure Container Apps

Action Description
Microsoft.App/containerApps/read Obtenir une application conteneur
Microsoft.App/containerApps/write Créer ou mettre à jour une application conteneur
Microsoft.App/containerApps/listsecrets/action Répertorier les secrets d’une application conteneur
Microsoft.App/managedEnvironments/read Obtenir un environnement managé
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Obtenir un état d’opération de longue durée d’un environnement managé
microsoft.app/locations/containerappoperationstatuses/read Obtenir l’état de l’opération de longue durée d’une application conteneur
microsoft.app/locations/containerappoperationresults/read Obtenir un résultat de l’opération longue exécution d’une application conteneur
microsoft.app/locations/managedenvironmentoperationresults/read Obtenir un résultat de l’opération de longue durée d’un environnement managé

Dapr dans Azure Container Apps

Action Description
Microsoft.App/managedEnvironments/daprComponents/read Lire le composant Dapr de l’environnement managé
Microsoft.App/managedEnvironments/daprComponents/write Créer ou mettre à jour un composant Dapr d’environnement managé
Microsoft.App/managedEnvironments/daprComponents/delete Supprimer le composant Dapr de l’environnement managé

Cache Azure pour Redis

Action Description
Microsoft.Cache/redis/read Afficher les paramètres et la configuration du cache Redis dans le portail de gestion
Microsoft.Cache/redis/firewallRules/read Obtenir les règles de pare-feu IP d’un cache Redis
Microsoft.Cache/redis/firewallRules/write Modifier les règles de pare-feu IP d’un cache Redis
Microsoft.Cache/redis/firewallRules/delete Supprimer des règles de pare-feu IP d’un cache Redis
Microsoft.Cache/redis/listKeys/action Afficher la valeur des clés d’accès du cache Redis dans le portail de gestion

Azure Cache pour Redis Entreprise

Action Description
Microsoft.Cache/redisEnterprise/read Affiche les paramètres et la configuration du cache Redis Enterprise dans le portail de gestion
Microsoft.Cache/redisEnterprise/databases/read Affiche les paramètres et la configuration de la base de données du cache Redis Enterprise dans le portail de gestion
Microsoft.Cache/redisEnterprise/databases/listKeys/action Voir la valeur des clés d’accès de la base de données Redis Enterprise dans le portail de gestion

Azure Database pour PostgreSQL

Azure Database pour PostgreSQL

Action Description
Microsoft.DBforPostgreSQL/servers/firewallRules/read Retourne la liste des règles de pare-feu pour un serveur ou obtient les propriétés de la règle de pare-feu spécifiée.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Crée une règle de pare-feu avec les paramètres spécifiés ou met à jour une règle existante.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Supprime une règle de pare-feu existante.
Microsoft.DBForPostgreSQL/servers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.DBForPostgreSQL/servers/databases/read Retourner la liste des bases de données PostgreSQL ou obtenir les propriétés pour la base de données spécifiée.
Microsoft.DBforPostgreSQL/servers/write Crée un serveur avec les paramètres spécifiés ou met à jour les propriétés ou balises pour le serveur spécifié.

Azure Database pour PostgreSQL (point de terminaison de service)

Action Description
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Retourne la liste des règles de réseau virtuel ou obtient les propriétés de la règle de réseau virtuel spécifiée.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Crée une règle de réseau virtuel avec les paramètres spécifiés ou met à jour les propriétés ou balises de la règle de réseau virtuel spécifiée.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Supprime une règle de réseau virtuel existante

Azure Database pour PostgreSQL - Serveur flexible

Action Description
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Retourne la liste des règles de pare-feu pour un serveur ou obtient les propriétés de la règle de pare-feu spécifiée.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Crée une règle de pare-feu avec les paramètres spécifiés ou met à jour une règle existante.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Supprime une règle de pare-feu existante.
Microsoft.DBForPostgreSQL/flexibleServers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Renvoie la liste des bases de données de serveur PostgreSQL ou obtient la base de données du serveur spécifié.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Renvoie la liste des configurations de serveur PostgreSQL ou obtient les configurations du serveur spécifié.

Azure Database pour MySQL

Action Description
Microsoft.DBforMySQL/servers/firewallRules/read Retourne la liste des règles de pare-feu pour un serveur ou obtient les propriétés de la règle de pare-feu spécifiée.
Microsoft.DBforMySQL/servers/firewallRules/write Crée une règle de pare-feu avec les paramètres spécifiés ou met à jour une règle existante.
Microsoft.DBforMySQL/servers/firewallRules/delete Supprime une règle de pare-feu existante.
Microsoft.DBforMySQL/servers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.DBforMySQL/servers/databases/read Retourner la liste des bases de données MySQL ou obtenir les propriétés pour la base de données spécifiée.
Microsoft.DBforMySQL/servers/write Crée un serveur avec les paramètres spécifiés ou met à jour les propriétés ou balises pour le serveur spécifié.

Azure Database pour MySQL (point de terminaison de service)

Action Description
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Retourne la liste des règles de réseau virtuel ou obtient les propriétés de la règle de réseau virtuel spécifiée.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Crée une règle de réseau virtuel avec les paramètres spécifiés ou met à jour les propriétés ou balises de la règle de réseau virtuel spécifiée.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Supprime une règle de réseau virtuel existante

Serveurs flexibles Azure Database pour MySQL

Action Description
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Retourne la liste des règles de pare-feu pour un serveur ou obtient les propriétés de la règle de pare-feu spécifiée.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Crée une règle de pare-feu avec les paramètres spécifiés ou met à jour une règle existante.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Supprime une règle de pare-feu existante.
Microsoft.DBforMySQL/flexibleServers/read Retourne la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.DBforMySQL/flexibleServers/databases/read Retourne la liste des bases de données pour un serveur ou obtient les propriétés pour la base de données spécifiée.
Microsoft.DBforMySQL/flexibleServers/configurations/read Renvoie la liste des configurations de serveur MySQL ou obtient les configurations du serveur spécifié.

Azure App Configuration

Action Description
Microsoft.AppConfiguration/configurationStores/ListKeys/action Répertorie les clés API du magasin de configuration spécifié.
Microsoft.AppConfiguration/configurationStores/read Permet d'obtenir les propriétés du magasin de configuration spécifié ou d'afficher tous les magasins de configuration disponibles sous le groupe de ressources ou l'abonnement spécifiés.

Azure Event Hubs

Action Description
Microsoft.EventHub/namespaces/read Obtenir la liste des descriptions des ressources Namespace.
Microsoft.EventHub/namespaces/ipFilterRules/read Obtenir une ressource de filtre IP
Microsoft.EventHub/namespaces/ipFilterRules/write Créer une ressource de filtre IP
Microsoft.EventHub/namespaces/ipFilterRules/delete Supprimer une ressource de filtre IP
Microsoft.EventHub/namespaces/networkrulesets/read Obtient la ressource NetworkRuleSet
Microsoft.EventHub/namespaces/networkrulesets/write Créer une ressource de règle de réseau virtuel
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action Obtenir la chaîne de connexion à la ressource Namespace.

Azure Service Bus

Action Description
Microsoft.ServiceBus/namespaces/read Obtenir la liste des descriptions des ressources Namespace.
Microsoft.ServiceBus/namespaces/ipFilterRules/read Obtenir une ressource de filtre IP
Microsoft.ServiceBus/namespaces/ipFilterRules/write Créer une ressource de filtre IP
Microsoft.ServiceBus/namespaces/ipFilterRules/delete Supprimer une ressource de filtre IP
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action Obtenir la chaîne de connexion à la ressource Namespace.
Microsoft.ServiceBus/namespaces/networkrulesets/read Obtient la ressource NetworkRuleSet
Microsoft.ServiceBus/namespaces/networkrulesets/write Créer une ressource de règle de réseau virtuel

Stockage Blob Azure

Action Description
Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère les propriétés du compte de stockage spécifié.
Microsoft.Storage/storageAccounts/write Crée un compte de stockage avec les paramètres spécifiés ou met à jour les propriétés ou les balises, ou ajoute un domaine personnalisé pour le compte de stockage spécifié.
Microsoft.Storage/storageAccounts/listkeys/action Retourne les clés d’accès au compte de stockage spécifié.

Azure SignalR Service

Action Description
Microsoft.SignalRService/SignalR/read Affiche les paramètres et les configurations de SignalR dans le portail de gestion ou par le biais de l’API
Microsoft.SignalRService/SignalR/write Modifie les paramètres et les configurations de SignalR dans le portail de gestion ou par le biais de l’API
Microsoft.SignalRService/locations/operationresults/signalr/read Interroge le résultat d’une opération asynchrone basée sur un emplacement
Microsoft.SignalRService/locations/operationStatuses/signalr/read Interroge l’état d’une opération asynchrone basée sur un emplacement
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action Afficher la valeur des clés d’accès SignalR dans le portail de gestion ou par le biais d’une API

Service Azure Web PubSub

Action Description
Microsoft.SignalRService/WebPubSub/read Affiche les paramètres et les configurations de WebPubSub dans le portail de gestion ou par le biais de l’API
Microsoft.SignalRService/WebPubSub/write Modifie les paramètres et les configurations de WebPubSub dans le portail de gestion ou par le biais de l’API
Microsoft.SignalRService/locations/operationresults/webpubsub/read Interroge le résultat d’une opération asynchrone basée sur un emplacement
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Interroge l’état d’une opération asynchrone basée sur un emplacement
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read Affiche la valeur des clés d’accès WebPubSub dans le portail de gestion ou par le biais d’une API
Microsoft.SignalRService/WebPubSub/listkeys/action Affiche la valeur des clés d’accès WebPubSub dans le portail de gestion ou par le biais d’une API

Azure Cosmos DB

Action Description
Microsoft.DocumentDB/databaseAccounts/read Lire un compte de base de données.
Microsoft.DocumentDB/databaseAccounts/write Mettre à jour les comptes de base de données.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action Obtenir les chaînes de connexion d’un compte de base de données.
Microsoft.DocumentDB/databaseAccounts/listKeys/action Répertorier les clés d’un compte de base de données.

Azure SQL Database

Action Description
Microsoft.Sql/servers/firewallRules/read Retourne la liste des règles de pare-feu de serveur ou obtient les propriétés pour la règle de pare-feu du serveur spécifié.
Microsoft.Sql/servers/firewallRules/write Crée une règle de pare-feu de serveur avec les paramètres spécifiés, met à jour les propriétés de la règle spécifiée, ou remplace toutes les règles existantes par des règles de pare-feu de serveur plus récentes.
Microsoft.Sql/servers/firewallRules/delete Supprime une règle de pare-feu de serveur existante.
Microsoft.Sql/servers/databases/read Retourner la liste des bases de données ou obtenir les propriétés pour la base de données spécifiée.
Microsoft.Sql/servers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.Sql/servers/virtualNetworkRules/read Retourne la liste des règles de réseau virtuel ou obtient les propriétés de la règle de réseau virtuel spécifiée.
Microsoft.Sql/servers/virtualNetworkRules/write Crée une règle de réseau virtuel avec les paramètres spécifiés ou met à jour les propriétés ou balises de la règle de réseau virtuel spécifiée.
Microsoft.Sql/servers/virtualNetworkRules/delete Supprime une règle de réseau virtuel existante

Azure Key Vault

Action Description
Microsoft.KeyVault/vaults/write Crée un coffre Key Vault ou met à jour les propriétés d’un coffre Key Vault existant. Certaines propriétés peuvent nécessiter plus d’autorisations.
Microsoft.KeyVault/vaults/read Afficher les propriétés d’un coffre Key Vault
Microsoft.KeyVault/vaults/secrets/write Crée un secret ou met à jour la valeur d’un secret existant.
Microsoft.KeyVault/vaults/accessPolicies/write Met à jour une stratégie d’accès existante via la fusion ou le remplacement, ou ajoute une nouvelle stratégie d’accès au coffre Key Vault.

Azure Cosmos DB

Action Description
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Lit une définition de rôle SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Crée ou met à jour une définition de rôle SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Supprimer une attribution de rôle SQL

Le Connecter or de service peut avoir besoin d’accorder des autorisations à l’identité managée ou au principal de service si une connexion est créée avec ces types d’authentification. Le tableau suivant répertorie les exigences d’autorisation pour la création d’une connexion dans ce scénario.

Action Description
Microsoft.Authorization/roleAssignments/read Obtenez des informations sur une affectation de rôle.
Microsoft.Authorization/roleAssignments/write Créez une affectation de rôle au niveau de la portée spécifiée.
Microsoft.Authorization/roleAssignments/delete Supprimez une affectation de rôle au niveau de la portée spécifiée.

Connexion aux identités managées affectées par l’utilisateur

Le Connecter or de service peut avoir besoin d’accorder des autorisations à l’identité managée affectée par l’utilisateur si une connexion est créée avec elle en tant que type d’authentification. Le tableau suivant répertorie les exigences d’autorisation pour la création d’une connexion dans ce scénario.

Action Description
Microsoft.ManagedIdentity/userAssignedIdentities/read Obtient l’identité assignée d’un utilisateur existant
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Action RBAC pour l’affectation de l’identité assignée d’un utilisateur existant à une ressource
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Obtenir ou répertorier les informations d’identification de l’identité fédérée
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Ajouter ou mettre à jour des informations d’identification d’identité fédérée
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Suppression des informations d’identification d’une identité fédérée

Le Connecter or de service peut avoir besoin d’accorder des autorisations à votre identité si une connexion est créée avec un point de terminaison privé ou un point de terminaison de service en tant que solution réseau. Le tableau suivant répertorie les exigences d’autorisation pour la création d’une connexion dans ce scénario.

Action Description
Microsoft.Network/publicIPAddresses/read Obtient une définition d’adresse IP publique.
Microsoft.Network/virtualNetworks/subnets/read Obtient une définition de sous-réseau de réseau virtuel.
Microsoft.Network/virtualNetworks/subnets/write Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant.
Microsoft.Network/privateEndpoints/read Obtient une ressource de point de terminaison privé.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Joint des ressources telles qu’un compte de stockage ou une base de données SQL à un sous-réseau. Impossible à alerter.
Microsoft.Network/networkSecurityGroups/join/action Joint un groupe de sécurité réseau. Impossible à alerter.
Microsoft.Network/serviceEndpointPolicies/join/action Joint une stratégie de point de terminaison de service. Impossible à alerter.
Microsoft.Network/natGateways/join/action Joint une instance NAT Gateway
Microsoft.Network/networkIntentPolicies/join/action Joint une stratégie d’intention de réseau. Impossible à alerter.
Microsoft.Network/networkSecurityGroups/join/action Joint un groupe de sécurité réseau. Impossible à alerter.
Microsoft.Network/routeTables/join/action Joint une table de routage. Impossible à alerter.

Haute disponibilité