Встроенные роли Azure

Управление доступом на основе ролей (Azure RBAC) имеет несколько встроенных ролей Azure, которые можно назначить для пользователей, групп, субъектов-служб и управляемых удостоверений. Назначение ролей является способом управления доступом к ресурсам Azure. Если встроенные роли не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли Azure. Сведения о назначении ролей см. в разделе Действия по назначению роли Azure.

В этой статье перечислены встроенные роли Azure. Если вам нужен список ролей администратора Azure Active Directory (Azure AD), см. статью Встроенные роли Azure.

В таблице ниже содержится краткое описание каждой из встроенных ролей. Щелкните имя роли, чтобы просмотреть список Actions, NotActions, DataActions и NotDataActions для каждой роли. Сведения о том, что означают эти действия и о том, как они применяются к элементу управления и плоскости данных, см. в разделе сведения о определениях ролей Azure.

Все

Встроенные роли Описание ID
Общие сведения
Участник Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC), управлять назначениями в Azure Blueprints или предоставлять общий доступ к галереям изображений. b24988ac-6180-42a0-ab88-20f7382dd24c
Владелец Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC. 8e3af657-a8ff-443c-a75c-2fe8c4bcb635
Читатель Дает возможность просматривать все ресурсы, но не позволяет вносить изменения. acdd72a7-3385-48ef-bd42-f606fba81ae7
Администратор доступа пользователей Позволяет управлять доступом пользователей к ресурсам Azure. 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9
Среда выполнения приложений
Участник классической виртуальной машины Позволяет управлять классическими виртуальными машинами, но не доступом к ним и не учетной записью виртуальной сети или хранения, к которой они подключены. d73bb868-a0df-4d4d-bd69-98a00b01fccb
Администратор виртуальной машины Позволяет просматривать виртуальные машины на портале и входить в систему с правами администратора. 1c0163c0-47e6-4577-8991-ea5c82e286e4
Участник виртуальной машины Создание виртуальных машин и управление ими, управление дисками и моментальными снимками дисков, установка и запуск программного обеспечения, сброс пароля пользователя root виртуальной машины с помощью расширений виртуальной машины и управление учетными записями локальных пользователей с помощью расширений виртуальной машины. Эта роль не предоставляет доступ для управления виртуальной сетью или учетной записью хранения, к которой подключены виртуальные машины. Эта роль не позволяет назначать роли в Azure RBAC. 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
Пользователь виртуальной машины Позволяет просматривать виртуальные машины на портале и входить в систему с правами обычного пользователя. fb879df8-f326-4884-b1cf-06f3ad86be52
Сеть
Участник конечных точек CDN Может управлять конечными точками CDN, но не может предоставлять доступ другим пользователям. 426e0c7f-0c7e-4658-b36f-ff54d6c29b45
Читатель конечной точки CDN Может просматривать конечные точки CDN, но не может вносить изменения. 871e35f6-b5c1-49cc-a043-bde969a0f2cd
Участник профиля CDN Может управлять профилями CDN и их конечными точками, но не может предоставлять доступ другим пользователям. ec156ff8-a8d1-4d15-830c-5b80698ca432
Читатель данных профиля CDN Может просматривать профили CDN и их конечные точки, но не может вносить изменения. 8f96442b-4075-438f-813d-ad51ab4019af
Участник классической сети Позволяет управлять классическими сетями, но не доступом к ним. b34d265f-36f7-4a0d-a4d4-e158ca92e90f
Участник зоны DNS Позволяет управлять зонами DNS и наборами записей в Azure DNS, но не тем, кому они будут доступны. befefa01-2a29-4197-83a8-272ff33ce314
Участник сети Позволяет управлять сетями, но не доступом к ним. 4d97b98b-1d4f-4787-a291-c67834d212e7
Участник частной зоны DNS Позволяет управлять ресурсами частной зоны DNS, но не виртуальными сетями, с которыми они связаны. b12aa53e-6015-4669-85d0-8515ebb3ae7f
Участник диспетчера трафика Позволяет управлять профилями диспетчера трафика, но не доступом к ним. a4b10055-b0c7-44c2-b00f-c7b5b3550cf7
Память
Участник Avere Может создавать и контролировать кластер Avere vFXT. 4f8fab4f-1852-4a58-a46a-8eaf358af14a
Оператор Avere Используется кластером Avere vFXT для управления кластером c025889f-8102-4ebf-b32c-fc0c6f0c6bd9
Участник резервного копирования Позволяет управлять службой архивации, но не разрешает создавать хранилища и предоставлять доступ другим пользователям 5e467623-bb1f-42f4-a55d-6e525e11384b
Оператор резервного копирования Позволяет управлять службами архивации, но не удалять архивные копии, создавать хранилища или предоставлять доступ другим пользователям 00c29273-979b-4161-815c-10b084fb9324
Читатель резервных копий Может просматривать службы резервного копирования, но не может вносить изменения. a795c7a0-d4a2-40c1-ae25-d81f01202912
Участник классической учетной записи хранения Позволяет управлять классическими учетными записями хранения, но не предоставлять доступ к ним. 86e8f5dc-a6e9-4c67-9d15-de283e8eac25
Роль службы оператора ключей классических учетных записей хранения Операторы ключей классических учетных записей хранения могут перечислять и повторно создавать ключи в классических учетных записях хранения. 985d6b00-f706-48f5-a6fe-d0ca12fb668d
Участник Data Box Позволяет управлять всеми данными службы Data Box, кроме предоставления доступа другим пользователям. add466c9-e687-43fc-8d98-dfcf8d720be5
Читатель Data Box Позволяет управлять службой Data Box, но не позволяет создавать заказы и менять их порядок, а также предоставлять доступ другим пользователям. 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027
Разработчик Data Lake Analytics Позволяет отправлять, отслеживать задания и управлять ими, но не позволяет создавать или удалять учетные записи Data Lake Analytics. 47b7735b-770e-4598-a7da-8b91488b4c88
Модуль чтения и доступ к данным Позволяет просматривать все данные, но не позволит удалить или создать учетную запись хранения или содержащий ресурс. Он также предоставит доступ на чтение и запись для всех данных, содержащихся в учетной записи хранения через доступ к ключам учетной записи хранения. c12c1c16-33a1-487b-954d-41c89c60f349
Участник учетной записи хранения Разрешает управление учетными записями хранения. Предоставляет доступ к ключу учетной записи, который можно использовать для доступа к данным посредством авторизации с использованием общего ключа. 17d1049b-9a84-46fb-8f53-869881c3d3ab
Роль службы оператора ключей учетных записей хранения Разрешает перечисление и повторное создание ключей доступа к учетной записи хранения. 81a9662b-bebf-436f-a333-f67b29880f12
участник данных BLOB-объектов хранилища; Чтение, запись и удаление контейнеров службы хранилища Azure и больших двоичных объектов. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. ba92f5b4-2d11-453d-a403-e96b0029c9fe
владелец данных BLOB-объектов хранилища; Предоставляет полный доступ к контейнерам и данным BLOB-объектов службы хранилища Azure, включая назначение элемента управления доступом POSIX. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. b7e6dc6d-f1e8-4753-8033-0f276bb0955b
читатель данных больших двоичных объектов хранилища. Чтение и перечисление контейнеров и больших двоичных объектов службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
Представитель BLOB-объектов хранилища Получение ключа делегирования пользователя, который затем можно использовать для создания подписи общего доступа для контейнера или большого двоичного объекта, подписанного с помощью учетных данных Azure AD. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя. db58b8e5-c6ad-4a2a-8342-4190687cbf4a
Участник общей папки файловых данных хранилища SMB Разрешает доступ на чтение, запись и удаление файлов/каталогов в общих папках Azure. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb
Участник общих папок данных SMB службы хранилища с повышенными правами Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для изменения на файловых серверах Windows. a7264617-510b-434b-a828-9731dc254ea7
Читатель общей папки файловых данных хранилища SMB Разрешает доступ на чтение файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для чтения данных на файловых серверах Windows. aba4ae5f-2193-4029-9191-0cb91df5e314
Участник для данных очереди хранилища Чтение, запись и удаление очередей и сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. 974c5e8b-45b9-4653-ba55-5f855dd0fb88
Обработчик сообщений данных в очереди хранилища Просмотр, получение и удаление сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. 8a0f0c08-91a1-4084-bc3d-661d67233fed
Отправитель сообщений данных в очередь хранилища Добавление сообщений в очередь службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. c6a89b2d-59bc-44d0-9896-0f6e12d7b80a
Читатель данных очереди хранилища Чтение и перечисление очередей и сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. 19e7f393-937e-4f77-808e-94535e297925
Участник данных таблицы хранилища Разрешает доступ на чтение, запись и удаление к таблицам и сущностям службы хранилища Azure 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3
Читатель данных таблицы хранилища Разрешает доступ на чтение к таблицам и сущностям службы хранилища Azure 76199698-9eea-4c19-bc75-cec21354c6b6
Web
Разработчик данных Azure Maps Предоставляет доступ для чтения, записи и удаления связанных данных карт в учетной записи Azure Maps. 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204
Читатель данных Azure Maps Предоставляет доступ на чтение связанных данных карты в учетной записи Azure Maps. 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa
Участник сервера конфигурации Azure Spring Cloud Разрешить доступ для чтения, записи и удаления в Azure весны облачного сервера конфигурации a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b
Читатель сервера конфигурации Azure Spring Cloud Разрешить доступ на чтение к серверу конфигурации Azure весны в облаке d04c6db6-4947-4782-9e91-30a88feb7be7
Читатель данных Azure Spring Cloud Разрешает доступ на чтение данных Azure Spring Cloud. b5537268-8956-4941-a8f0-646150406f0c
Участник реестра службы Azure Spring Cloud Разрешить доступ для чтения, записи и удаления в реестре облачной службы Azure весны f5880b48-c26d-48be-b172-7927bfa1c8f1
Читатель реестра служб Azure Spring Cloud Разрешить доступ на чтение к реестру облачной службы Azure весны cff1b556-2399-4e7e-856d-a8f754be7b65
Администратор учетной записи Служб мультимедиа Создание, чтение, изменение и удаление учетных записей Служб мультимедиа; доступ только на чтение в других ресурсах Служб мультимедиа. 054126f8-9a2b-4f1c-a9ad-eca461f08466
Администратор служб мультимедиа Live Events Создание, чтение, изменение и удаление событий трансляции, ресурсов, фильтров активов и указателей потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа. 532bc159-b25e-42c0-969e-a1d439f60d77
Оператор мультимедиа Служб мультимедиа Создание, чтение, изменение и удаление активов, фильтров активов, указателей потоковой передачи и заданий; доступ только на чтение в других ресурсах Служб мультимедиа. e4395492-1534-4db2-bedf-88c14621589c
Администратор политик Служб мультимедиа Создание, чтение, изменение и удаление фильтров учетных записей, политик потоковой передачи, политик ключей содержимого и преобразований; доступ только на чтение в других ресурсах Служб мультимедиа. Нельзя создавать задания, активы или ресурсы потоковой передачи. c4bba371-dacd-4a26-b320-7250bca963ae
Администратор конечных точек потоковой передачи Служб мультимедиа Создание, чтение, изменение и удаление конечных точек потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа. 99dba123-b5fe-44d5-874c-ced7199a5804
Участник данных индекса поиска Предоставляет полный доступ к данным индекса службы "Когнитивный поиск Azure". 8ebe5a00-799e-43f5-93ac-243d3dce84a7
Читатель данных индекса поиска Предоставляет доступ на чтение к данным индекса службы "Когнитивный поиск Azure". 1407120a-92aa-4202-b7e9-c0e197c71c8f
Участник службы поиска Позволяет управлять службами поиска, но не доступом к ним. 7ca78c08-252a-4471-8644-bb5ff32d4ba0
Читатель AccessKey в SignalR Чтение ключей доступа службы SignalR. 04165923-9d83-45d5-8227-78b77b0a687e
Сервер приложений SignalR (предварительная версия) Разрешает серверу приложений доступ к службе SignalR с использованием параметров аутентификации AAD. 420fcaa2-552c-430f-98ca-3264be4806c7
Владелец REST API SignalR Полный доступ к интерфейсам REST API службы Azure SignalR. fd53cd77-2268-407a-8f46-7e7863d0f521
Средство чтения REST API SignalR Доступ только для чтения к интерфейсам REST API службы Azure SignalR. ddde6b66-c0df-4114-a159-3618637b3035
Владелец службы SignalR Полный доступ к интерфейсам REST API службы Azure SignalR. 7e4f1700-ea5a-4f59-8f37-079cfe29dce3
Участник SignalR/Web PubSub Создание, чтение, изменение и удаление ресурсов службы SignalR. 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761
Участник веб-плана Управление веб-планами для веб-сайтов. Не позволяет назначать роли в Azure RBAC. 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b
Участник веб-сайта Управление веб-сайтами, но не веб-планами. Не позволяет назначать роли в Azure RBAC. de139f84-1756-47ae-9be6-808fbbe84772
Контейнеры
AcrDelete Удаление репозиториев, тегов или манифестов из реестра контейнеров. c2f4ef07-c644-48eb-af81-4b1b4947fb11
AcrImageSigner Отправка или получение доверенных образов в реестре контейнеров с поддержкой доверия к содержимому. 6cef56e8-d556-48e5-a04f-b8e64114680f
AcrPull Извлечение артефактов из реестра контейнеров. 7f951dda-4ed3-4680-a7ca-43fe172d538d
AcrPush Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров. 8311e382-0749-4cb8-b61a-304f252e45ec
AcrQuarantineReader Извлечение помещенных в карантин образов из реестра контейнеров. cdda3590-29a3-44f6-95f2-9f980659eb04
AcrQuarantineWriter Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него. c8d4ff99-41c3-41a8-9f60-21dfdad59608
Роль администратора кластера в Службе Azure Kubernetes Список действий, выполненных с помощью учетных данных администратора кластера. 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8
Роль пользователя кластера в Службе Azure Kubernetes Список действий, выполненных с помощью учетных данных пользователя кластера. 4abbcc35-e782-43d8-92c5-2d3f1bd2253f
Роль участника службы Azure Kubernetes Предоставляет доступ на чтение и запись для кластеров службы Azure Kubernetes. ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8
Администратор RBAC для Службы Azure Kubernetes Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. 3498e952-d568-435e-9b2c-8d77e338d7f7
Администратор кластера RBAC для Службы Azure Kubernetes Позволяет управлять всеми ресурсами в кластере. b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b
Читатель RBAC для службы Azure Kubernetes Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. 7f6c6a51-bcf8-42ba-9220-52d62157d7db
Модуль записи RBAC для службы Azure Kubernetes Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb
Базы данных
Подключение SQL Server, подключенного к Azure Предоставляет SQL Server доступ для чтения и записи к ресурсам Azure на серверах с поддержкой Arc. e8113dce-c529-4d33-91fa-e9b972617508
Роль читателя учетных записей Cosmos DB Позволяет считывать данные учетных записей Azure Cosmos DB. Сведения об управлении учетными записями Azure Cosmos DB см. в разделе Участник учетной записи DocumentDB. fbdf93bf-df7d-467e-a4d2-9458aa1360c8
Оператор Cosmos DB Позволяет управлять учетными записями Azure Cosmos DB, но не доступом к данным. Предотвращает доступ к ключам учетной записи и строкам подключения. 230815da-be43-4aae-9cb4-875f7bd000aa
CosmosBackupOperator Позволяет отправлять запрос на восстановление контейнера или базы данных Cosmos DB для учетной записи. db7b14f2-5adf-42da-9f96-f2ee17bab5cb
CosmosRestoreOperator Может выполнять действие восстановления для учетной записи базы данных Cosmos DB в режиме непрерывного резервного копирования. 5432c526-bc82-444a-b7ba-57c5b0b5b34f
Участник учетной записи DocumentDB Может управлять учетными записями Azure Cosmos DB Служба Azure Cosmos DB раньше называлась DocumentDB. 5bd9cd88-fe45-4216-938b-f97437e15450
Участник кэша Redis Позволяет управлять кэшем Redis, но не доступом к нему. e0f68234-74aa-48ed-b826-c38b57376e17
Участник базы данных SQL Позволяет управлять базами данных SQL, но не доступом к ним. Кроме того, не позволяет управлять их политиками безопасности или родительскими серверами SQL Server. 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec
Участник управляемого экземпляра SQL Позволяет управлять управляемыми экземплярами SQL и требуемой конфигурацией сети, но не предоставлять к ним доступ. 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d
Диспетчер безопасности SQL Позволяет управлять политиками безопасности серверов SQL Server и баз данных SQL, но не доступом к ним. 056cd41c-7e88-42e1-933e-88ba6a50c9c3
Участник SQL Server Позволяет управлять серверами SQL Server и базами данных SQL, но не доступом к ним и их политиками безопасности. 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437
Analytics
Владелец данных Центров событий Azure Разрешает полный доступ к ресурсам Центров событий Azure. f526a384-b230-433a-b45c-95f59c4a2dec
Получатель данных Центров событий Azure Разрешает полный доступ к ресурсам Центров событий Azure. a638d3c7-ab3a-418d-83e6-5f17a39d4fde
Отправитель данных Центров событий Azure Разрешает полный доступ к ресурсам Центров событий Azure. 2b629674-e913-4c01-ae53-ef4638d8f975
Участник фабрики данных Создание фабрик данных и управление ими, а также их дочерними ресурсами. 673868aa-7521-48a0-acc6-0f60742d39f5
Средство очистки данных Удаление личных данных из рабочей области Log Analytics. 150f5e0c-0603-4f03-8c7f-cf70034c4e90
Оператор кластера HDInsight Позволяет считывать и изменять конфигурации кластера HDInsight. 61ed4efc-fab3-44fd-b111-e24485cc132a
Участник доменных служб HDInsight Позволяет читать, создавать, изменять и удалять операции, связанные с доменными службами, необходимыми для Корпоративного пакета безопасности HDInsight 8d8d5a11-05d3-4bda-a417-a08778121c7c
Участник Log Analytics Участник Log Analytics может считывать все данные мониторинга и изменять параметры мониторинга. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, добавление решений и настройку диагностики Azure во всех ресурсах Azure. 92aaf0da-9dab-42b6-94a3-d43ce8d16293
Читатель Log Analytics Читатель Log Analytics может просматривать все данные мониторинга, выполнять по ним поиск и просматривать параметры мониторинга, в том числе конфигурацию системы диагностики Azure для всех ресурсов Azure. 73c42c96-874c-492b-b04d-ab87d138a893
Зрения Data пленку (устаревший) Пленку данных Microsoft. зрения — это устаревшая роль, которая может создавать, читать, изменять и удалять объекты данных каталога и устанавливать связи между объектами. Мы недавно настроили эту роль из доступа на основе ролей Azure и предоставили новый пленку данных внутри плоскости Azure зрения Data. См. раздел Управление доступом в Azure зрения. роли . 8a3c2885-9b38-4fd2-9d99-91af537c1347
Модуль чтения данных зрения (устаревший) Модуль чтения данных Microsoft. зрения — это устаревшая роль, которая может считывать объекты данных каталога. Мы недавно настроили эту роль из доступа на основе ролей Azure и предоставили новый модуль чтения данных в Azure зрения Data плоскость. См. раздел Управление доступом в Azure зрения. роли . ff100721-1b9d-43d8-af52-42b69c1272db
Администратор источника данных зрения (прежний) Администратор источника данных Microsoft. зрения — это устаревшая роль, которая может управлять источниками данных и просмотрами данных. Мы недавно настроили эту роль из доступа на основе ролей Azure и предоставили новый администратор источника данных в Azure зрения Data плоскость. См. раздел Управление доступом в Azure зрения. роли . 200bba9e-f0c8-430f-892b-6f0794863803
Участник реестра схем (предварительная версия) Чтение, запись и удаление групп и схем реестра схем. 5dffeca3-4936-4216-b2bc-10343a5abb25
Читатель реестра схем (предварительная версия) Чтение и перечисление групп и схем в реестре схем. 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2
Блокчейн
Доступ к узлам элементов блокчейна (предварительная версия) Разрешает доступ к узлам элементов блокчейна. 31a002a1-acaf-453e-8a5b-297c9ca1ea24
ИИ и машинное обучение
Специалист по обработке и анализу данных AzureML Может выполнять все действия в рабочем пространстве Машинного обучения Azure, кроме создания и удаления вычислительных ресурсов и изменения самого рабочего пространства. f6c7c914-8db3-469d-8ca1-694a8f32e121
Участник служб Cognitive Services Позволяет создавать, читать, обновлять, удалять ключи служб Cognitive Services и управлять ими. 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68
Участник Пользовательского визуального распознавания Cognitive Services Полный доступ к проектам, включая возможность создавать, редактировать или удалять проекты. c1ff6cc2-c111-46fe-8896-e0ef812ad9f3
Развертывание Пользовательского визуального распознавания Cognitive Services Публикация, отмена публикации или экспорт моделей. Роль развертывания дает возможность просматривать проект, но не позволяет выполнять обновления. 5c4089e1-6d96-4d2f-b296-c1bc7137275f
Разработчик тегов Пользовательского визуального распознавания Cognitive Services Просмотр и изменение обучающих изображений, а также создание, добавление и удаление тегов изображений. Разработчики тегов могут просматривать проекты, но не могут изменять ничего, кроме обучающих изображений и тегов. 88424f51-ebe7-446f-bc41-7fa16989e96c
Читатель Пользовательского визуального распознавания Cognitive Services Действия с доступом только для чтения в проекте. Читатели не могут создавать или обновлять проекты. 93586559-c37d-4a6b-ba08-b9f0940c2d73
Средство обучения Пользовательского визуального распознавания Cognitive Services Просмотр, изменение проектов и обучение моделей, включая возможность публикации, отмены публикации и экспорта моделей. Средства обучения не могут создать или удалять проекты. 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b
Модуль чтения данных Cognitive Services (предварительная версия) Позволяет считывать данные Cognitive Services. b59867f0-fa02-499b-be73-45a86b5b3e1c
Распознаватель лиц Cognitive Services Позволяет выполнять обнаружение, проверку, идентификацию, группирование, а также поиск аналогичных операций в API Распознавания лиц. Эта роль не разрешает операции создания и удаления, что делает ее подходящей для конечных точек, которым требуются только возможности вывода в соответствии с рекомендациями "минимальных привилегий". 9894cab4-e18a-44aa-828b-cb588cd6f2d7
Администратор Помощника по метрикам Cognitive Services Полный доступ к проекту, включая конфигурацию уровня системы. cb43c632-a144-4ec5-977c-e80c4affc34a
Редактор Cognitive Services QnA Maker Позволяет создавать, изменять, импортировать и экспортировать базу знаний. Публикация или удаление базы знаний не поддерживается. f4cc2bf9-21be-47a1-bdf1-5c5804381025
Читатель Cognitive Services QnA Maker Позволяет только читать и проверять базу знаний. 466ccd10-b268-4a11-b098-b4849f024126
Пользователь служб Cognitive Services Позволяет создавать и читать список ключей служб Cognitive Services. a97b65f3-24c7-4388-baec-2e87135dc908
Интернет вещей
Администратор обновлений устройств Предоставляет полный доступ к операциям управления и операциям с содержимым. 02ca0879-e8e4-47a5-a61e-5c618b76e64a
Администратор содержимого обновлений устройств Предоставляет полный доступ к операциям с содержимым. 0378884a-3af5-44ab-8323-f5b22f9f3c98
Читатель содержимого обновлений устройств Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения d1ee9a80-8b14-47f0-bdc2-f4a351625a7b
Администратор развертывания обновлений устройств Предоставляет полный доступ к операциям управления. e4237640-0e3d-4a46-8fda-70bc94856432
Читатель развертывания обновлений устройств Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения. 49e2f5d2-7741-4835-8efa-19e1fe35e47f
Читатель обновлений устройств Предоставляет доступ на чтение к операциям управления и операциям с содержимым, но не позволяет вносить изменения. e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f
Участник данных Центра Интернета вещей Обеспечивает полный доступ к операциям плоскости данных Центра Интернета вещей. 4fc6c259-987e-4a07-842e-c321cc9d413f
Читатель данных Центра Интернета вещей Обеспечивает полный доступ на чтение свойств плоскости данных Центра Интернета вещей b447c946-2db7-41ec-983d-d8bf3b1c77e3
Участник реестра Центра Интернета вещей Обеспечивает полный доступ к реестру устройств Центра Интернета вещей. 4ea46cd5-c1b2-4a8e-910b-273211f9ce47
Участник цифрового двойника Центра Интернета вещей Разрешает доступ на чтение и запись ко всем двойникам устройств и модулей Центра Интернета вещей. 494bdba2-168f-4f31-a0a1-191d2f7c028c
Смешанная реальность
Администратор Удаленной отрисовки Предоставляет пользователю возможности преобразования, управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. 3df8b902-2a6f-47c7-8cc5-360e9b272a7e
Клиент Удаленной отрисовки Предоставляет пользователю возможности управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. d39065c4-c120-43c9-ab0a-63eed9795f0a
Участник учетной записи пространственных привязок Позволяет управлять пространственными привязками в вашей учетной записи, но не удалять их. 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827
Владелец учетной записи пространственных привязок Позволяет управлять пространственными привязками в вашей учетной записи, в том числе удалять их. 70bbe301-9835-447d-afdd-19eb3167307c
Читатель учетной записи пространственных привязок Позволяет найти и прочитать свойства пространственных привязок в вашей учетной записи. 5d51204f-eb77-4b1c-b86a-2ec626c49413
Интеграция
Участник службы управления API Может управлять службой и интерфейсами API. 312a565d-c81f-4fd8-895a-4e21e48d571c
Роль оператора службы управления API Может управлять службой, но не интерфейсами API. e022efe7-f5ba-4159-bbe4-b44f577e9b61
Роль читателя данных службы управления API Доступ к службе и интерфейсам API в режиме "только для чтения". 71522526-b88f-4d52-b57f-d31fc3546d0d
Владелец данных Конфигурации приложений Предоставляет полный доступ к данным Конфигурации приложений. 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b
Читатель данных Конфигурации приложений Предоставляет доступ на чтение данных Конфигурации приложений. 516239f1-63e1-4d78-a4de-a74fb236a071
Прослушиватель Azure Relay Разрешает доступ на прослушивание к ресурсам Azure Relay. 26e0b698-aa6d-4085-9386-aadae190014d
Владелец Azure Relay Разрешает полный доступ к ресурсам Azure Relay. 2787bf04-f1f5-4bfe-8383-c8a24483ee38
Отправитель Azure Relay Разрешает доступ на отправку к ресурсам Azure Relay. 26baccc8-eea7-41f1-98f4-1762cc7f685d
Владелец данных служебной шины Azure Разрешает полный доступ к ресурсам служебной шины Azure. 090c5cfd-751d-490a-894a-3ce6f1109419
Получатель данных Служебной шины Azure Разрешает полный доступ к ресурсам служебной шины Azure. 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0
Отправитель данных Служебной шины Azure Разрешает полный доступ к ресурсам служебной шины Azure. 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39
Владелец регистрации Azure Stack Позволяет управлять регистрациями Azure Stack. 6f12a6df-dd06-4f3e-bcb1-ce8be600526a
Участник EventGrid Позволяет управлять операциями EventGrid. 1e241071-0855-49ea-94dc-649edcd759de
Отправитель данных Сетки событий Разрешает доступ на отправку к событиям сетки событий. d5a91429-5739-47e2-a06b-3470a27159e7
Участник EventGrid EventSubscription Позволяет управлять операциями с подписками на события Сетки событий. 428e0ff0-5e57-4d9c-a221-2c70d0e0a443
Читатель EventGrid EventSubscription Позволяет получить доступ на чтение к подпискам на события Сетки событий. 2414bbcf-6497-4faf-8c65-045460748405
Разработчик данных FHIR Эта роль предоставляет пользователю или субъекту полный доступ к данным FHIR. 5a1fc7df-4bf1-4951-a576-89034ee01acd
Средство экспорта данных FHIR Эта роль позволяет пользователю или субъекту читать и экспортировать данные FHIR. 3db33094-8700-4567-8da5-1501d4e7e843
Читатель данных FHIR Эта роль позволяет пользователю или субъекту читать данные FHIR. 4c8d0bbc-75d3-4935-991f-5f3c56d81508
Модуль записи данных FHIR Эта роль позволяет пользователю или субъекту читать и записывать данные FHIR. 3f88fce4-5892-4214-ae73-ba5294559913
Участник среды службы интеграции Позволяет вам управлять средами службы интеграции, но не доступом к ним. a41e2c5b-bd99-4a07-88f4-9bf657a760b8
Разработчик среды службы интеграции Позволяет разработчикам создавать и изменять рабочие процессы, учетные записи интеграции и подключения API в средах службы интеграции. c7aa55d3-1abb-444a-a5ca-5e51e485d6ec
Участник учетной записи интеллектуальных систем Позволяет управлять учетными записями интеллектуальных систем, но не доступом к ним. 03a6d094-3444-4b3d-88af-7477090a9e5e
Создатель приложений логики Позволяет управлять приложениями логики, но не доступом к ним. 87a39d53-fc1b-424a-814c-f7e04687dc9e
Оператор приложений логики Позволяет читать, включать и отключать приложения логики, но не изменять и не обновлять их. 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe
Удостоверение
Участник управляемого удостоверения Создание, чтение, обновление и удаление пользовательских удостоверений. e40ec5ca-96e0-45a2-b4ff-59039f2c2b59
Оператор управляемого удостоверения Чтение и назначение пользовательских удостоверений. f1a07417-d97a-45cb-824c-7a7467783830
Безопасность
Участник аттестации Может читать, записывать или удалять экземпляр поставщика аттестации. bbf86eb8-f7b4-4cce-96e4-18cddf81d86e
Читатель аттестации Может считывать свойства поставщика аттестации. fd1bd22b-8476-40bc-a0bc-69b95687b9f3
Администратор хранилища ключей Выполняет все операции с плоскостью данных в хранилище ключей и всех его объектах, включая сертификаты, ключи и секреты. Не может управлять ресурсами хранилища ключей или назначениями ролей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 00482a5a-887f-4fb3-b363-3b7fe8e74483
Специалист по сертификатам хранилища ключей Выполняет любые действия с сертификатами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". a4417e6f-fecd-4de8-b567-7b0420556985
Участник Key Vault Предоставляет разрешения на управление хранилищами ключей, но не позволяет назначать роли в Azure RBAC или получать доступ к секретам, ключам или сертификатам. f25e0fa2-a7c8-4377-a976-54943a77a395
Специалист по шифрованию хранилища ключей Выполняет любые действия с ключами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 14b46e9e-c2b7-41b4-b07b-48a6ebf60603
Пользователь шифрования для службы шифрования хранилища ключей Считывает метаданные ключей и выполняет операции упаковки и распаковки. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". e147488a-f6f5-4113-8e2d-b22465e65bf6
Пользователь шифрования хранилища ключей Выполняет криптографические операции с помощью ключей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 12338af0-0e69-4776-bea7-57ae8d297424
Читатель хранилища ключей Считывает метаданные хранилищ ключей и их сертификатов, ключей и секретов. Не может считывать конфиденциальные значения, такие как содержимое секрета или материал ключа. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 21090545-7ca7-4776-b22c-e363652d74d2
Специалист по секретам хранилища ключей Выполняет любые действия с секретами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Пользователь секретов хранилища ключей Считывает содержимое секретов. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". 4633458b-17de-408a-b874-0445c86b69e6
Участник управляемого устройства HSM Позволяет управлять управляемыми модулями HSM, но не доступом к ним. 18500a29-7fe2-46b2-a342-b16a415e101d
Участник автоматизации Microsoft Sentinel Участник автоматизации Microsoft Sentinel f4c81013-99ee-4d62-a7ee-b3f1f648599a
Участник Microsoft Sentinel Участник Microsoft Sentinel ab8e14d6-4a74-4a29-9ba8-549422addade
Читатель Microsoft Sentinel Читатель Microsoft Sentinel 8d289c81-5878-46d4-8554-54e1e3d8b5cb
Ответчик Microsoft Sentinel Ответчик Microsoft Sentinel 3e150937-b8fe-4cfb-8069-0eaf05ecd056
Администратор безопасности Просмотр и обновление разрешений для Центра безопасности. Имеет те же права, что и читатель сведений о безопасности, но также может изменять политику безопасности, отклонять рекомендации и оповещения. fb1c8493-542b-48eb-b624-b4c8fea62acd
Участник оценки безопасности Позволяет отправлять оценки в Центр безопасности. 612c2aa1-cb24-443b-ac28-3ab7272de6f5
Диспетчер безопасности (устаревший) Это устаревшая роль. Используйте вместо нее роль администратора безопасности. e3d13bf0-dd5a-482e-ba6b-9b8433878d10
Читатель сведений о безопасности Просмотр разрешений для Центра безопасности. Может просматривать рекомендации, оповещения, политику и состояние безопасности, но не может вносить изменения. 39bc4728-0917-49c7-9d2c-d95423bc2eb4
DevOps
Пользователь DevTest Labs Позволяет подключать, запускать, перезапускать виртуальные машины и завершать их работу в Azure DevTest Labs. 76283e04-6283-4c54-8f91-bcf1374a3c64
Создатель лаборатории Позволяет создавать лаборатории в учетных записях лабораторий Azure. b97fb8bc-a8b2-4522-a38b-dd33c7e65ead
Мониторинг
Участник компонента Application Insights Может управлять компонентами Application Insights ae349356-3a1b-4a5e-921d-050484c6347e
Отладчик моментальных снимков Application Insights Пользователю предоставляется разрешение на просмотр и загрузку моментальных снимков отладки, собранных с помощью Application Insights Snapshot Debugger. Обратите внимание, что эти разрешения не включены в роли Владелец или Участник. При предоставлении пользователям роли Application Insights Snapshot Debugger необходимо предоставить роль непосредственно пользователю. Роль не распознается при добавлении в настраиваемую роль. 08954f03-6346-4c2e-81c0-ec3a5cfae23b
Monitoring Contributor (Участник мониторинга) Может читать все данные мониторинга и изменять параметры мониторинга. Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. 749f88d5-cbae-40b8-bcfc-e573ddc772fa
Издатель метрик мониторинга Включает публикацию метрик ресурсов Azure 3913510d-42f4-4e42-8a64-420c390055eb
Monitoring Reader (Читатель данных мониторинга) Может читать все данные мониторинга (метрики, журналы и т. д.). Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. 43d0d8ad-25c7-4714-9337-8ba259a9fe05
Участник для книг Может сохранять общие книги. e8ddcd69-c73f-4f9f-9844-4100522f16ad
Читатель книг Может читать книги. b279062a-9be3-42a0-92ae-8b3cf002ec4d
Управление + система управления
Участник службы автоматизации Управляйте ресурсами службы автоматизации Azure и другими ресурсами с помощью службы автоматизации Azure. f353d9bd-d4a6-484e-a77a-8050b599b867
Оператор задания автоматизации Создание заданий и управление ими с помощью модулей Runbook службы автоматизации. 4fe576fe-1146-4730-92eb-48519fa6bf9f
Оператор службы автоматизации Операторы автоматизации могут запускать, останавливать, приостанавливать и возобновлять задания. d3881f73-407a-4167-8283-e981cbba0404
Оператор Runbook автоматизации Чтение свойств Runbook, позволяющее создавать задания Runbook. 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5
Роль пользователя кластера Kubernetes с поддержкой Azure Arc Действие вывода учетных данных пользователей кластера. 00493d72-78f6-4148-b6c5-d3ce8e4799dd
Администратор Kubernetes Azure Arc Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. dffb1e0c-446f-4dde-a09f-99eb5cc68b96
Администратор кластера Kubernetes Azure Arc Позволяет управлять всеми ресурсами в кластере. 8393591c-06b9-48a2-a542-1bd6b377f6a2
Зритель Kubernetes Azure Arc Позволяет просматривать все ресурсы в кластере или пространстве имен, за исключением секретов. 63f0a09d-1495-4db4-a681-037d84835eb4
Писатель Kubernetes Azure Arc Позволяет обновлять все объекты в кластере или пространстве имен, кроме ролей (кластера) и привязок ролей (кластера). 5b999177-9696-4545-85c7-50de3797e5a1
Подключение Azure Connected Machine Может подключать компьютеры Azure Connected Machine. b64e21ea-ac4e-4cdf-9dc9-5b892992bee7
Администратор ресурсов Azure Connected Machine Может считывать, записывать, удалять и повторно подключать компьютеры Azure Connected Machine. cd570a14-e51a-42ad-bac8-bafd67325302
Читатель счетов Разрешает читать данные выставления счетов. fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
Участник схемы Позволяет управлять определениями схем, но не назначать их. 41077137-e803-4205-871c-5a86e6a753b4
Оператор схемы Может назначать существующие опубликованные схемы, но не создавать новые схемы. Обратите внимание, это нужно выполнять только с использованием управляемого удостоверения, назначаемого пользователем. 437d2ced-4a38-4302-8479-ed2bcb43d090
Участник службы "Управление затратами" Позволяет просматривать расходы и управлять конфигурацией затрат (например, бюджеты, экспорты) 434105ed-43f6-45c7-a02f-909b2ba83430
Читатель службы "Управление затратами" Позволяет просматривать данные о расходах и конфигурации (например, бюджеты, экспорты) 72fafb9e-0641-4937-9268-a91bfd8191a3
Администратор параметров иерархии Позволяет пользователям изменять и удалять параметры иерархии. 350f8d15-c687-4448-8ae1-157740a3936d
Кластер Kubernetes — подключение Azure Arc Определение роли, дающее любому пользователю или службе право создавать ресурс connectedClusters. 34e09817-6cbe-4d01-b1a2-e0eac5743d41
Участник расширения Kubernetes Может создавать, обновлять, получать, перечислять и удалять расширения Kubernetes, а также получать асинхронные операции расширений 85cb6faf-e071-4c9b-8136-154b5a04f717
Роль участника для управляемых приложений Позволяет создавать ресурсы управляемых приложений. 641177b8-a67a-45b9-a033-47bc880bb21e
Роль оператора управляемого приложения Позволяет читать и выполнять действия с ресурсами управляемого приложения. c7393b34-138c-406f-901b-d8cf2b17e6ae
Читатель Управляемых приложений Позволяет считывать ресурсы в управляемом приложении и запрашивать доступ JIT. b9331d33-8a36-4f8c-b097-4f54124fdb44
Роль для удаления назначения регистрации управляемых служб Роль для удаления назначения регистрации управляемых служб позволяет пользователям удалять регистрации, назначенные их клиенту управляемых служб. 91c1777a-f3dc-4fae-b103-61d183457e46
Участник группы управления Роль участника группы управления 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c
Читатель группы управления Роль читателя группы управления ac63b705-f282-497d-ac71-919bf39d939d
Участник учетной записи New Relic APM Позволяет управлять учетными записями и приложениями New Relic Application Performance Management, но не доступом к ним. 5d28c62d-5b37-4476-8438-e587778df237
Редактор данных анализа политик (предварительная версия) Предоставляет доступ на чтение политик ресурсов и доступ на запись событий политики компонентов ресурсов. 66bb4e9e-b016-4a94-8249-4c0511c2be84
Оператор запросов квоты Чтение и создание запросов квоты, получение сведений о состоянии запроса квоты и создание запросов в службу поддержки. 0e5f05e5-9ab9-446b-b98d-1e2157c94125
Покупатель резервирований Позволяет покупать резервирования. f7b75c60-3036-4b75-91c3-6b41c27c1689
Участник политики ресурсов Пользователи с правами на создание или изменение политики ресурсов, создание запросов в службу поддержки и чтение ресурсов и иерархии. 36243c78-bf99-498c-9df9-86d9f8d28608
Участник Site Recovery Позволяет управлять службой Site Recovery, за исключением создания хранилищ и назначения ролей. 6670b86e-a3f7-4917-ac9b-5d6ab1be4567
Оператор Site Recovery Позволяет выполнять отработку отказа и восстановление размещения, но не другие операции управления Site Recovery. 494ae006-db33-4328-bf46-533a6560a3ca
Читатель Site Recovery Позволяет просматривать состояние Site Recovery без выполнения других операций управления. dbaa88c4-0c30-4179-9fb3-46319faa6149
Support Request Contributor (Участник с правом создавать запросы на поддержку) Позволяет создавать запросы в службу поддержки и управлять ими. cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e
Участник по тегам Позволяет вам управлять тегами в сущностях, не предоставляя доступ к самим сущностям. 4a9ae827-6dc8-4573-8ac7-8239d42aa03f
Другое
Владелец данных Azure Digital Twins Роль с полным доступом для плоскости данных Digital Twins. bcd981a7-7f74-457b-83e1-cceb9e632ffe
Средство чтения данных Azure Digital Twins Роль только для чтения свойств плоскости данных Digital Twins. d57506d4-4c8d-48b1-8587-93c323f6a5a3
Участник BizTalk Позволяет управлять службами BizTalk, но не доступом к ним. 5e3c6656-6cfa-4708-81fe-0de47ac73342
Участник группы приложений виртуализации рабочих столов Участник группы приложений виртуализации рабочих столов. 86240b0e-9422-4c43-887b-b61143f32ba8
Читатель группы приложений виртуализации рабочих столов Читатель группы приложений виртуализации рабочих столов. aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
Виртуализация рабочего стола, Участник Участник виртуализации рабочих столов. 082f0a83-3be5-4ba1-904c-961cca79b387
Участник пула узлов виртуализации рабочих столов Участник пула узлов виртуализации рабочих столов. e307426c-f9b6-4e81-87de-d99efb3c32bc
Читатель пула узлов виртуализации рабочих столов Читатель пула узлов виртуализации рабочих столов. ceadfde2-b300-400a-ab7b-6143895aa822
Виртуализация рабочего стола, Читатель Читатель виртуализации рабочих столов. 49a72310-ab8d-41df-bbb0-79b649203868
Оператор узла сеансов виртуализации рабочих столов Оператор узла сеансов виртуализации рабочих столов. 2ad6aaab-ead9-4eaa-8ac5-da422f562408
Пользователь виртуализации рабочих столов Позволяет пользователю работать с приложениями в группе приложений. 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
Оператор сеанса пользователей виртуализации рабочих столов Оператор сеанса пользователей виртуализации рабочих столов. ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
Участник рабочей области виртуализации рабочих столов Участник рабочей области виртуализации рабочих столов. 21efdde3-836f-432b-bf3d-3e8e734d4b2b
Читатель рабочей области виртуализации рабочих столов Читатель рабочей области виртуализации рабочих столов. 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
Читатель резервной копии диска Предоставляет резервному хранилищу разрешение для выполнения архивации диска. 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24
Оператор пула дисков Предоставьте разрешение для поставщика ресурсов StoragePool, чтобы управлять дисками, добавленными в пул дисков. 60fc6e62-5479-42d4-8bf4-67625fcc2840
Оператор восстановления дисков Предоставляет резервному хранилищу разрешение на выполнение восстановления диска. b50d9833-a0cb-478e-945f-707fcc997c13
Участник моментальных снимков дисков Предоставляет резервному хранилищу разрешение на управление моментальными снимками дисков. 7efff54f-a5b4-42b5-a1c5-5411624893ce
Участник коллекции заданий планировщика Позволяет управлять коллекциями заданий планировщика, но не доступом к ним. 188a0f2f-5c9e-469b-ae67-2aa5ce574b94
Оператор центра служб Роль оператора центра служб позволяет выполнять все операции чтения, записи и удаления, которые относятся к соединителям центра служб. 82200a5b-e217-47a5-b665-6d8765ee745b

Общие сведения

Участник

Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC), управлять назначениями в Azure Blueprints или предоставлять общий доступ к галереям изображений. Подробнее

Действия Описание
* Создание ресурсов всех типов и управление ими
NotActions
Microsoft.Authorization/*/Delete Удаление ролей, назначение политик, определение политик и определение наборов политик
Microsoft.Authorization/*/Write Создание ролей, назначение ролей, назначение политик, определение политик и определение наборов политик
Microsoft.Authorization/elevateAccess/Action Предоставляет вызывающему доступ с правами администратора для области действия клиента.
Microsoft.Blueprint/blueprintAssignments/write Создание или изменение любых назначений схемы
Microsoft.Blueprint/blueprintAssignments/delete Удаление любых назначений схемы
Microsoft.Compute/galleries/share/action Предоставляет общий доступ к коллекции для разных областей.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [
        "Microsoft.Authorization/*/Delete",
        "Microsoft.Authorization/*/Write",
        "Microsoft.Authorization/elevateAccess/Action",
        "Microsoft.Blueprint/blueprintAssignments/write",
        "Microsoft.Blueprint/blueprintAssignments/delete",
        "Microsoft.Compute/galleries/share/action"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Владелец

Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC. Подробнее

Действия Описание
* Создание ресурсов всех типов и управление ими
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
  "permissions": [
    {
      "actions": [
        "*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель

Дает возможность просматривать все ресурсы, но не позволяет вносить изменения. Подробнее

Действия Описание
*/чтение Чтение ресурсов всех типов, кроме секретов.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "View all resources, but does not allow you to make any changes.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/acdd72a7-3385-48ef-bd42-f606fba81ae7",
  "name": "acdd72a7-3385-48ef-bd42-f606fba81ae7",
  "permissions": [
    {
      "actions": [
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор доступа пользователей

Позволяет управлять доступом пользователей к ресурсам Azure. Подробнее

Действия Описание
*/чтение Чтение ресурсов всех типов, кроме секретов.
Microsoft.Authorization/* Управление авторизацией
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage user access to Azure resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.Authorization/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "User Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Службы вычислений

Участник классической виртуальной машины

Позволяет управлять классическими виртуальными машинами, но не доступом к ним и не учетной записью виртуальной сети или хранения, к которой они подключены.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.ClassicCompute/domainNames/* Создание доменных имен для классических вычислений и управление ими
Microsoft.ClassicCompute/virtualMachines/* создание виртуальных машин и управление ими;
Microsoft.ClassicNetwork/networkSecurityGroups/join/action
Microsoft.ClassicNetwork/reservedIps/link/action Привязывает зарезервированный IP-адрес.
Microsoft.ClassicNetwork/reservedIps/read Возвращает зарезервированные IP-адреса.
Microsoft.ClassicNetwork/virtualNetworks/join/action Подключает виртуальную сеть.
Microsoft.ClassicNetwork/virtualNetworks/read Возвращает виртуальную сеть.
Microsoft.ClassicStorage/storageAccounts/disks/read Возвращает диск в учетной записи хранения.
Microsoft.ClassicStorage/storageAccounts/images/read Возвращает образ в учетной записи хранения. (Не рекомендуется к использованию. Следует использовать Microsoft.ClassicStorage/storageAccounts/vmImages.)
Microsoft.ClassicStorage/storageAccounts/listKeys/action Отображает ключи доступа для учетных записей хранения.
Microsoft.ClassicStorage/storageAccounts/read Возвращает учетную запись хранения для заданной учетной записи.
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage classic virtual machines, but not access to them, and not the virtual network or storage account they're connected to.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d73bb868-a0df-4d4d-bd69-98a00b01fccb",
  "name": "d73bb868-a0df-4d4d-bd69-98a00b01fccb",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicCompute/domainNames/*",
        "Microsoft.ClassicCompute/virtualMachines/*",
        "Microsoft.ClassicNetwork/networkSecurityGroups/join/action",
        "Microsoft.ClassicNetwork/reservedIps/link/action",
        "Microsoft.ClassicNetwork/reservedIps/read",
        "Microsoft.ClassicNetwork/virtualNetworks/join/action",
        "Microsoft.ClassicNetwork/virtualNetworks/read",
        "Microsoft.ClassicStorage/storageAccounts/disks/read",
        "Microsoft.ClassicStorage/storageAccounts/images/read",
        "Microsoft.ClassicStorage/storageAccounts/listKeys/action",
        "Microsoft.ClassicStorage/storageAccounts/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Classic Virtual Machine Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор виртуальной машины

Позволяет просматривать виртуальные машины на портале и входить в систему с правами администратора. Подробнее

Действия Описание
Microsoft.Network/publicIPAddresses/read Возвращает определение общедоступного IP-адреса.
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.Network/loadBalancers/read Возвращает определение подсистемы балансировки нагрузки.
Microsoft.Network/networkInterfaces/read Возвращает определение сетевого интерфейса.
Microsoft.Compute/virtualMachines/*/read
Microsoft.HybridCompute/machines/*/read
NotActions
Нет
Действия с данными
Microsoft.Compute/virtualMachines/login/action Вход в систему на виртуальной машине в качестве обычного пользователя.
Microsoft.Compute/virtualMachines/loginAsAdmin/action Вход в систему на виртуальной машине с правами администратора Windows или привилегированного пользователя Linux.
Microsoft.HybridCompute/machines/login/action Вход в систему на машине Azure Arc в качестве обычного пользователя
Microsoft.HybridCompute/machines/loginAsAdmin/action Вход в систему на машине Azure Arc с правами администратора Windows или привилегированного пользователя Linux
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "View Virtual Machines in the portal and login as administrator",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/1c0163c0-47e6-4577-8991-ea5c82e286e4",
  "name": "1c0163c0-47e6-4577-8991-ea5c82e286e4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Network/publicIPAddresses/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/loadBalancers/read",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Compute/virtualMachines/*/read",
        "Microsoft.HybridCompute/machines/*/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Compute/virtualMachines/login/action",
        "Microsoft.Compute/virtualMachines/loginAsAdmin/action",
        "Microsoft.HybridCompute/machines/login/action",
        "Microsoft.HybridCompute/machines/loginAsAdmin/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Virtual Machine Administrator Login",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник виртуальной машины

Создание виртуальных машин и управление ими, управление дисками и моментальными снимками дисков, установка и запуск программного обеспечения, сброс пароля пользователя root виртуальной машины с помощью расширений виртуальной машины и управление учетными записями локальных пользователей с помощью расширений виртуальной машины. Эта роль не предоставляет доступ для управления виртуальной сетью или учетной записью хранения, к которой подключены виртуальные машины. Эта роль не позволяет назначать роли в Azure RBAC. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Compute/availabilitySets/* Создание групп доступности вычислений и управление ими
Microsoft.Compute/locations/* Создание расположений вычислений и управление ими
Microsoft.Compute/virtualMachines/* Позволяет выполнять любые действия с виртуальной машиной, включая создание, обновление, удаление, запуск, перезапуск и отключение виртуальной машиной. Выполнение скриптов на виртуальных машинах.
Microsoft.Compute/virtualMachineScaleSets/* создание масштабируемых наборов виртуальных машин и управление ими.
Microsoft. COMPUTE/клаудсервицес/*
Microsoft.Compute/disks/write Создает новый диск или обновляет существующий.
Microsoft.Compute/disks/read Возвращает свойства диска.
Microsoft.Compute/disks/delete Удаляет диск.
Microsoft.DevTestLab/schedules/*
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Network/applicationGateways/backendAddressPools/join/action Выполняет присоединение к внутреннему пулу адресов шлюза приложений. Не предусматривает отправку оповещений.
Microsoft.Network/loadBalancers/backendAddressPools/join/action Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений.
Microsoft.Network/loadBalancers/inboundNatPools/join/action Присоединяет пул входящих подключений NAT подсистемы балансировки нагрузки. Не предусматривает отправку оповещений.
Microsoft.Network/loadBalancers/inboundNatRules/join/action Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений.
Microsoft.Network/loadBalancers/probes/join/action Разрешение использования зондов подсистемы балансировки нагрузки. Например, при наличии этого разрешения свойство healthProbe в масштабируемом наборе виртуальных машин может ссылаться на конкретный зонд. Не предусматривает отправку оповещений.
Microsoft.Network/loadBalancers/read Возвращает определение подсистемы балансировки нагрузки.
Microsoft.Network/locations/* Создание сетевых расположений и управление ими
Microsoft.Network/networkInterfaces/* Создание сетевых интерфейсов и управление ими
Microsoft.Network/networkSecurityGroups/join/action Присоединяет группу безопасности сети. Не предусматривает отправку оповещений.
Microsoft.Network/networkSecurityGroups/read Возвращает определение группы безопасности сети.
Microsoft.Network/publicIPAddresses/join/action Присоединяет общедоступный IP-адрес. Не предусматривает отправку оповещений.
Microsoft.Network/publicIPAddresses/read Возвращает определение общедоступного IP-адреса.
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/join/action Присоединяет виртуальную сеть. Не предусматривает отправку оповещений.
Microsoft.RecoveryServices/locations/*
Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write Создание цели защиты для резервной копии.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/*/read
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read Возвращает сведения об объекте для защищенного элемента.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write Создает элемент, защищенный службой архивации.
Microsoft.RecoveryServices/Vaults/backupPolicies/read Возвращает все политики защиты.
Microsoft.RecoveryServices/Vaults/backupPolicies/write Создает политику защиты.
Microsoft.RecoveryServices/Vaults/read Операция получения хранилища возвращает объект, представляющий ресурс Azure типа "хранилище".
Microsoft.RecoveryServices/Vaults/usages/read Возвращает данные об использовании хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/write Создает операцию создания хранилища, которая создает ресурс Azure типа "хранилище".
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft. Сериалконсоле/Сериалпортс/Connect/Action Подключение к последовательному порту
Microsoft.SqlVirtualMachine/*
Microsoft.Storage/storageAccounts/listKeys/action Возвращает ключи доступа для указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/read Возвращает список учетных записей хранения или свойства указанной учетной записи хранения.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage virtual machines, but not access to them, and not the virtual network or storage account they're connected to.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/9980e02c-c2be-4d73-94e8-173b1dc7cf3c",
  "name": "9980e02c-c2be-4d73-94e8-173b1dc7cf3c",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Compute/availabilitySets/*",
        "Microsoft.Compute/locations/*",
        "Microsoft.Compute/virtualMachines/*",
        "Microsoft.Compute/virtualMachineScaleSets/*",
        "Microsoft.Compute/cloudServices/*",
        "Microsoft.Compute/disks/write",
        "Microsoft.Compute/disks/read",
        "Microsoft.Compute/disks/delete",
        "Microsoft.DevTestLab/schedules/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Network/applicationGateways/backendAddressPools/join/action",
        "Microsoft.Network/loadBalancers/backendAddressPools/join/action",
        "Microsoft.Network/loadBalancers/inboundNatPools/join/action",
        "Microsoft.Network/loadBalancers/inboundNatRules/join/action",
        "Microsoft.Network/loadBalancers/probes/join/action",
        "Microsoft.Network/loadBalancers/read",
        "Microsoft.Network/locations/*",
        "Microsoft.Network/networkInterfaces/*",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/networkSecurityGroups/read",
        "Microsoft.Network/publicIPAddresses/join/action",
        "Microsoft.Network/publicIPAddresses/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.RecoveryServices/locations/*",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/*/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write",
        "Microsoft.RecoveryServices/Vaults/backupPolicies/read",
        "Microsoft.RecoveryServices/Vaults/backupPolicies/write",
        "Microsoft.RecoveryServices/Vaults/read",
        "Microsoft.RecoveryServices/Vaults/usages/read",
        "Microsoft.RecoveryServices/Vaults/write",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.SerialConsole/serialPorts/connect/action",
        "Microsoft.SqlVirtualMachine/*",
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Virtual Machine Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь виртуальной машины

Позволяет просматривать виртуальные машины на портале и входить в систему с правами обычного пользователя. Подробнее

Действия Описание
Microsoft.Network/publicIPAddresses/read Возвращает определение общедоступного IP-адреса.
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.Network/loadBalancers/read Возвращает определение подсистемы балансировки нагрузки.
Microsoft.Network/networkInterfaces/read Возвращает определение сетевого интерфейса.
Microsoft.Compute/virtualMachines/*/read
Microsoft.HybridCompute/machines/*/read
NotActions
Нет
Действия с данными
Microsoft.Compute/virtualMachines/login/action Вход в систему на виртуальной машине в качестве обычного пользователя.
Microsoft.HybridCompute/machines/login/action Вход в систему на машине Azure Arc в качестве обычного пользователя
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "View Virtual Machines in the portal and login as a regular user.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fb879df8-f326-4884-b1cf-06f3ad86be52",
  "name": "fb879df8-f326-4884-b1cf-06f3ad86be52",
  "permissions": [
    {
      "actions": [
        "Microsoft.Network/publicIPAddresses/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/loadBalancers/read",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Compute/virtualMachines/*/read",
        "Microsoft.HybridCompute/machines/*/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Compute/virtualMachines/login/action",
        "Microsoft.HybridCompute/machines/login/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Virtual Machine User Login",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Сеть

Участник конечных точек CDN

Может управлять конечными точками CDN, но не может предоставлять доступ другим пользователям.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/endpoints/*
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can manage CDN endpoints, but can't grant access to other users.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/426e0c7f-0c7e-4658-b36f-ff54d6c29b45",
  "name": "426e0c7f-0c7e-4658-b36f-ff54d6c29b45",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Cdn/edgenodes/read",
        "Microsoft.Cdn/operationresults/*",
        "Microsoft.Cdn/profiles/endpoints/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "CDN Endpoint Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель конечной точки CDN

Может просматривать конечные точки CDN, но не может вносить изменения.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/endpoints/*/read
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can view CDN endpoints, but can't make changes.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/871e35f6-b5c1-49cc-a043-bde969a0f2cd",
  "name": "871e35f6-b5c1-49cc-a043-bde969a0f2cd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Cdn/edgenodes/read",
        "Microsoft.Cdn/operationresults/*",
        "Microsoft.Cdn/profiles/endpoints/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "CDN Endpoint Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник профиля CDN

Может управлять профилями CDN и их конечными точками, но не может предоставлять доступ другим пользователям. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/*
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can manage CDN profiles and their endpoints, but can't grant access to other users.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ec156ff8-a8d1-4d15-830c-5b80698ca432",
  "name": "ec156ff8-a8d1-4d15-830c-5b80698ca432",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Cdn/edgenodes/read",
        "Microsoft.Cdn/operationresults/*",
        "Microsoft.Cdn/profiles/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "CDN Profile Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных профиля CDN

Может просматривать профили CDN и их конечные точки, но не может вносить изменения.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Cdn/edgenodes/read
Microsoft.Cdn/operationresults/*
Microsoft.Cdn/profiles/*/read
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can view CDN profiles and their endpoints, but can't make changes.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8f96442b-4075-438f-813d-ad51ab4019af",
  "name": "8f96442b-4075-438f-813d-ad51ab4019af",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Cdn/edgenodes/read",
        "Microsoft.Cdn/operationresults/*",
        "Microsoft.Cdn/profiles/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "CDN Profile Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник классической сети

Позволяет управлять классическими сетями, но не доступом к ним. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.ClassicNetwork/* Создание классических сетей и управление ими
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage classic networks, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b34d265f-36f7-4a0d-a4d4-e158ca92e90f",
  "name": "b34d265f-36f7-4a0d-a4d4-e158ca92e90f",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicNetwork/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Classic Network Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник зоны DNS

Позволяет управлять зонами DNS и наборами записей в Azure DNS, но не тем, кому они будут доступны. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Network/dnsZones/* Создание зон и записей DNS и управление ими.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage DNS zones and record sets in Azure DNS, but does not let you control who has access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/befefa01-2a29-4197-83a8-272ff33ce314",
  "name": "befefa01-2a29-4197-83a8-272ff33ce314",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Network/dnsZones/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "DNS Zone Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник сети

Позволяет управлять сетями, но не доступом к ним.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Network/* Создание сетей и управление ими
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage networks, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4d97b98b-1d4f-4787-a291-c67834d212e7",
  "name": "4d97b98b-1d4f-4787-a291-c67834d212e7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Network/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Network Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник частной зоны DNS

Позволяет управлять ресурсами частной зоны DNS, но не виртуальными сетями, с которыми они связаны. Подробнее

Действия Описание
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Network/privateDnsZones/*
Microsoft.Network/privateDnsOperationResults/*
Microsoft.Network/privateDnsOperationStatuses/*
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.Network/virtualNetworks/join/action Присоединяет виртуальную сеть. Не предусматривает отправку оповещений.
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage private DNS zone resources, but not the virtual networks they are linked to.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b12aa53e-6015-4669-85d0-8515ebb3ae7f",
  "name": "b12aa53e-6015-4669-85d0-8515ebb3ae7f",
  "permissions": [
    {
      "actions": [
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Network/privateDnsZones/*",
        "Microsoft.Network/privateDnsOperationResults/*",
        "Microsoft.Network/privateDnsOperationStatuses/*",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/join/action",
        "Microsoft.Authorization/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Private DNS Zone Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник диспетчера трафика

Позволяет управлять профилями диспетчера трафика, но не доступом к ним.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Network/trafficManagerProfiles/*
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage Traffic Manager profiles, but does not let you control who has access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a4b10055-b0c7-44c2-b00f-c7b5b3550cf7",
  "name": "a4b10055-b0c7-44c2-b00f-c7b5b3550cf7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Network/trafficManagerProfiles/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Traffic Manager Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Память

Участник Avere

Может создавать и контролировать кластер Avere vFXT. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Compute/*/read
Microsoft.Compute/availabilitySets/*
Microsoft.Compute/proximityPlacementGroups/*
Microsoft.Compute/virtualMachines/*
Microsoft.Compute/disks/*
Microsoft.Network/*/read
Microsoft.Network/networkInterfaces/*
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/read Возвращает определение подсети виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/join/action Присоединяет виртуальную сеть. Не предусматривает отправку оповещений.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений.
Microsoft.Network/networkSecurityGroups/join/action Присоединяет группу безопасности сети. Не предусматривает отправку оповещений.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Storage/*/read
Microsoft.Storage/storageAccounts/* Создание учетных записей хранения и управление ими
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Resources/subscriptions/resourceGroups/resources/read Возвращает ресурсы группы ресурсов.
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Возвращение результата, полученного при удалении большого двоичного объекта.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Возвращение большого двоичного объекта или списка таких объектов.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Возвращение результата, полученного при записи большого двоичного объекта.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can create and manage an Avere vFXT cluster.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4f8fab4f-1852-4a58-a46a-8eaf358af14a",
  "name": "4f8fab4f-1852-4a58-a46a-8eaf358af14a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Compute/*/read",
        "Microsoft.Compute/availabilitySets/*",
        "Microsoft.Compute/proximityPlacementGroups/*",
        "Microsoft.Compute/virtualMachines/*",
        "Microsoft.Compute/disks/*",
        "Microsoft.Network/*/read",
        "Microsoft.Network/networkInterfaces/*",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Storage/*/read",
        "Microsoft.Storage/storageAccounts/*",
        "Microsoft.Support/*",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Avere Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор Avere

Используется кластером Avere vFXT для управления кластером. Подробнее

Действия Описание
Microsoft.Compute/virtualMachines/read Возвращает свойства виртуальной машины.
Microsoft.Network/networkInterfaces/read Возвращает определение сетевого интерфейса.
Microsoft.Network/networkInterfaces/write Создает новый сетевой интерфейс или обновляет существующий.
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/read Возвращает определение подсети виртуальной сети.
Microsoft.Network/virtualNetworks/subnets/join/action Присоединяет виртуальную сеть. Не предусматривает отправку оповещений.
Microsoft.Network/networkSecurityGroups/join/action Присоединяет группу безопасности сети. Не предусматривает отправку оповещений.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Storage/storageAccounts/blobServices/containers/delete Возвращение результата удаления контейнера.
Microsoft.Storage/storageAccounts/blobServices/containers/read Возвращает список контейнеров.
Microsoft.Storage/storageAccounts/blobServices/containers/write Возвращает результат размещения контейнера больших двоичных объектов.
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Возвращение результата, полученного при удалении большого двоичного объекта.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Возвращение большого двоичного объекта или списка таких объектов.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Возвращение результата, полученного при записи большого двоичного объекта.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Used by the Avere vFXT cluster to manage the cluster",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c025889f-8102-4ebf-b32c-fc0c6f0c6bd9",
  "name": "c025889f-8102-4ebf-b32c-fc0c6f0c6bd9",
  "permissions": [
    {
      "actions": [
        "Microsoft.Compute/virtualMachines/read",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkInterfaces/write",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/delete",
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Avere Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник резервного копирования

Позволяет управлять службой архивации, но не разрешает создавать хранилища и предоставлять доступ другим пользователям. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.RecoveryServices/locations/*
Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/* Управление результатами операций управления резервным копированием
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/* Создание контейнеров резервных копий внутри структуры резервного копирования хранилища служб восстановления и управление этими контейнерами
Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action Обновляет список контейнеров.
Microsoft.RecoveryServices/Vaults/backupJobs/* Создание заданий резервного копирования и управление ими
Microsoft.RecoveryServices/Vaults/backupJobsExport/action Экспортирует задания.
Microsoft.RecoveryServices/Vaults/backupOperationResults/* Создание результатов операций управления резервным копированием и управление ими
Microsoft.RecoveryServices/Vaults/backupPolicies/* Создание политик резервного копирования и управление ими
Microsoft.RecoveryServices/Vaults/backupProtectableItems/* Создание элементов, для которых можно создавать резервные копии, и управление ими
Microsoft.RecoveryServices/Vaults/backupProtectedItems/* Создание элементов, включаемых в резервную копию, и управление ими
Microsoft.RecoveryServices/Vaults/backupProtectionContainers/* Создание контейнеров с элементами, включаемыми в резервную копию, и управление такими контейнерами
Microsoft.RecoveryServices/Vaults/backupSecurityPIN/*
Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read Возвращает сводки по защищенным элементам и защищенным серверам для служб восстановления.
Microsoft.RecoveryServices/Vaults/certificates/* Создание сертификатов, связанных с резервной копией в хранилище служб восстановления, и управление ими
Microsoft.RecoveryServices/Vaults/extendedInformation/* Создание расширенных сведений, связанных с хранилищем, и управление ими
Microsoft.RecoveryServices/Vaults/monitoringAlerts/read Возвращает оповещения для хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*
Microsoft.RecoveryServices/Vaults/read Операция получения хранилища возвращает объект, представляющий ресурс Azure типа "хранилище".
Microsoft.RecoveryServices/Vaults/registeredIdentities/* Создание зарегистрированных удостоверений и управление ими
Microsoft.RecoveryServices/Vaults/usages/* Создание хранилища служб восстановления и управление его использованием
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Storage/storageAccounts/read Возвращает список учетных записей хранения или свойства указанной учетной записи хранения.
Microsoft.RecoveryServices/Vaults/backupstorageconfig/*
Microsoft.RecoveryServices/Vaults/backupconfig/*
Microsoft.RecoveryServices/Vaults/backupValidateOperation/action Проверка операций для защищенного элемента
Microsoft.RecoveryServices/Vaults/write Создает операцию создания хранилища, которая создает ресурс Azure типа "хранилище".
Microsoft.RecoveryServices/Vaults/backupOperations/read Возвращает состояние операции архивации для хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/backupEngines/read Возвращение всех серверов управления архивацией, зарегистрированных в хранилище.
Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/*
Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read Получение всех защищаемых контейнеров.
Microsoft.RecoveryServices/locations/backupStatus/action Проверка состояния архивации хранилищ служб восстановления.
Microsoft.RecoveryServices/locations/backupPreValidateProtection/action
Microsoft.RecoveryServices/locations/backupValidateFeatures/action Проверка компонентов.
Microsoft.RecoveryServices/Vaults/monitoringAlerts/write Разрешение оповещения.
Microsoft.RecoveryServices/operations/read Получение списка операций для поставщика ресурсов.
Microsoft.RecoveryServices/locations/operationStatus/read Возвращает состояние операции для данной операции
Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read Вывод списка всех целей защиты для резервного копирования.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.DataProtection/locations/getBackupStatus/action Проверка состояния архивации хранилищ служб восстановления.
Microsoft.DataProtection/backupVaults/backupInstances/write Создает экземпляр резервной копии
Microsoft.DataProtection/backupVaults/backupInstances/delete Удаляет экземпляр резервной копии
Microsoft.DataProtection/backupVaults/backupInstances/read Возвращает все экземпляры резервных копий
Microsoft.DataProtection/backupVaults/backupInstances/read Возвращает все экземпляры резервных копий
Microsoft.DataProtection/backupVaults/backupInstances/backup/action Выполняет резервное копирование экземпляра резервной копии
Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action Проверяет восстановление экземпляра резервной копии
Microsoft.DataProtection/backupVaults/backupInstances/restore/action Активирует восстановление экземпляра резервной копии
Microsoft.DataProtection/backupVaults/backupPolicies/write Создает политику резервного копирования
Microsoft.DataProtection/backupVaults/backupPolicies/delete Удаляет политику резервного копирования
Microsoft.DataProtection/backupVaults/backupPolicies/read Возвращает все политики резервного копирования
Microsoft.DataProtection/backupVaults/backupPolicies/read Возвращает все политики резервного копирования
Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read Возвращает все точки восстановления
Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read Возвращает все точки восстановления
Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action Выполняет поиск диапазонов времени с возможностью восстановления
Microsoft.DataProtection/backupVaults/write Операция создания резервного хранилища создает ресурс Azure типа "Хранилище резервных копий"
Microsoft.DataProtection/backupVaults/read Получает список хранилищ резервных копий в подписке
Microsoft.DataProtection/backupVaults/operationResults/read Возвращает результат операции PATCH для хранилища резервных копий
Microsoft.DataProtection/locations/checkNameAvailability/action Проверяет, доступно ли запрошенное имя хранилища резервных копий
Microsoft.DataProtection/backupVaults/read Получает список хранилищ резервных копий в подписке
Microsoft.DataProtection/backupVaults/read Получает список хранилищ резервных копий в подписке
Microsoft.DataProtection/locations/operationStatus/read Возвращает сведения о состоянии операции резервного копирования для хранилища резервных копий
Microsoft.DataProtection/locations/operationResults/read Возвращает результат операции резервного копирования для хранилища резервных копий
Microsoft.DataProtection/backupVaults/validateForBackup/action Проверяет резервное копирование экземпляра резервной копии
Microsoft.DataProtection/providers/operations/read Получение списка операций для поставщика ресурсов.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage backup service,but can't create vaults and give access to others",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5e467623-bb1f-42f4-a55d-6e525e11384b",
  "name": "5e467623-bb1f-42f4-a55d-6e525e11384b",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.RecoveryServices/locations/*",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/*",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/*",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action",
        "Microsoft.RecoveryServices/Vaults/backupJobs/*",
        "Microsoft.RecoveryServices/Vaults/backupJobsExport/action",
        "Microsoft.RecoveryServices/Vaults/backupOperationResults/*",
        "Microsoft.RecoveryServices/Vaults/backupPolicies/*",
        "Microsoft.RecoveryServices/Vaults/backupProtectableItems/*",
        "Microsoft.RecoveryServices/Vaults/backupProtectedItems/*",
        "Microsoft.RecoveryServices/Vaults/backupProtectionContainers/*",
        "Microsoft.RecoveryServices/Vaults/backupSecurityPIN/*",
        "Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read",
        "Microsoft.RecoveryServices/Vaults/certificates/*",
        "Microsoft.RecoveryServices/Vaults/extendedInformation/*",
        "Microsoft.RecoveryServices/Vaults/monitoringAlerts/read",
        "Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*",
        "Microsoft.RecoveryServices/Vaults/read",
        "Microsoft.RecoveryServices/Vaults/registeredIdentities/*",
        "Microsoft.RecoveryServices/Vaults/usages/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.RecoveryServices/Vaults/backupstorageconfig/*",
        "Microsoft.RecoveryServices/Vaults/backupconfig/*",
        "Microsoft.RecoveryServices/Vaults/backupValidateOperation/action",
        "Microsoft.RecoveryServices/Vaults/write",
        "Microsoft.RecoveryServices/Vaults/backupOperations/read",
        "Microsoft.RecoveryServices/Vaults/backupEngines/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/*",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read",
        "Microsoft.RecoveryServices/locations/backupStatus/action",
        "Microsoft.RecoveryServices/locations/backupPreValidateProtection/action",
        "Microsoft.RecoveryServices/locations/backupValidateFeatures/action",
        "Microsoft.RecoveryServices/Vaults/monitoringAlerts/write",
        "Microsoft.RecoveryServices/operations/read",
        "Microsoft.RecoveryServices/locations/operationStatus/read",
        "Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read",
        "Microsoft.Support/*",
        "Microsoft.DataProtection/locations/getBackupStatus/action",
        "Microsoft.DataProtection/backupVaults/backupInstances/write",
        "Microsoft.DataProtection/backupVaults/backupInstances/delete",
        "Microsoft.DataProtection/backupVaults/backupInstances/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/backup/action",
        "Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action",
        "Microsoft.DataProtection/backupVaults/backupInstances/restore/action",
        "Microsoft.DataProtection/backupVaults/backupPolicies/write",
        "Microsoft.DataProtection/backupVaults/backupPolicies/delete",
        "Microsoft.DataProtection/backupVaults/backupPolicies/read",
        "Microsoft.DataProtection/backupVaults/backupPolicies/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action",
        "Microsoft.DataProtection/backupVaults/write",
        "Microsoft.DataProtection/backupVaults/read",
        "Microsoft.DataProtection/backupVaults/operationResults/read",
        "Microsoft.DataProtection/locations/checkNameAvailability/action",
        "Microsoft.DataProtection/backupVaults/read",
        "Microsoft.DataProtection/backupVaults/read",
        "Microsoft.DataProtection/locations/operationStatus/read",
        "Microsoft.DataProtection/locations/operationResults/read",
        "Microsoft.DataProtection/backupVaults/validateForBackup/action",
        "Microsoft.DataProtection/providers/operations/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Backup Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор резервного копирования

Позволяет управлять службами архивации, но не удалять архивные копии, создавать хранилища или предоставлять доступ другим пользователям. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Network/virtualNetworks/read Возвращает определение виртуальной сети.
Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read Возвращает состояние операции.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read Возвращает результат операции, выполненной с контейнером защиты.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/backup/action Архивирует защищенный элемент.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read Возвращает результат операции, выполненной с защищенными элементами.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read Возвращает состояние операции, выполненной с защищенными элементами.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read Возвращает сведения об объекте для защищенного элемента.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/provisionInstantItemRecovery/action Подготавливает мгновенное восстановление для защищенного элемента.
Microsoft.RecoveryServices/vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/accessToken/action Получает AccessToken для восстановления между регионами.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read Возвращает точки восстановления для защищенных элементов.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/restore/action Восстанавливает точки восстановления для защищенных элементов.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/revokeInstantItemRecovery/action Отменяет мгновенное восстановление для защищенного элемента.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write Создает элемент, защищенный службой архивации.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read Возвращает все зарегистрированные контейнеры.
Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action Обновляет список контейнеров.
Microsoft.RecoveryServices/Vaults/backupJobs/* Создание заданий резервного копирования и управление ими
Microsoft.RecoveryServices/Vaults/backupJobsExport/action Экспортирует задания.
Microsoft.RecoveryServices/Vaults/backupOperationResults/* Создание результатов операций управления резервным копированием и управление ими
Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read Возвращает результаты операции политики.
Microsoft.RecoveryServices/Vaults/backupPolicies/read Возвращает все политики защиты.
Microsoft.RecoveryServices/Vaults/backupProtectableItems/* Создание элементов, для которых можно создавать резервные копии, и управление ими
Microsoft.RecoveryServices/Vaults/backupProtectedItems/read Возвращает список всех защищенных элементов.
Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read Возвращает все контейнеры, принадлежащие подписке.
Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read Возвращает сводки по защищенным элементам и защищенным серверам для служб восстановления.
Microsoft.RecoveryServices/Vaults/certificates/write Операция обновления сертификата ресурса обновляет сертификат учетных данных для ресурса или хранилища.
Microsoft.RecoveryServices/Vaults/extendedInformation/read Операция получения расширенных сведений о хранилище возвращает расширенные сведения об объекте, представляющие ресурс Azure типа "хранилище".
Microsoft.RecoveryServices/Vaults/extendedInformation/write Операция получения расширенных сведений о хранилище возвращает расширенные сведения об объекте, представляющие ресурс Azure типа "хранилище".
Microsoft.RecoveryServices/Vaults/monitoringAlerts/read Возвращает оповещения для хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*
Microsoft.RecoveryServices/Vaults/read Операция получения хранилища возвращает объект, представляющий ресурс Azure типа "хранилище".
Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read Операцию получения результатов операции можно использовать, чтобы получить состояние и результат асинхронно отправленной операции.
Microsoft.RecoveryServices/Vaults/registeredIdentities/read Операцию получения контейнеров можно использовать для получения контейнеров, зарегистрированных для ресурса.
Microsoft.RecoveryServices/Vaults/registeredIdentities/write Операцию регистрации контейнера в службе можно использовать для регистрации контейнера в службе восстановления.
Microsoft.RecoveryServices/Vaults/usages/read Возвращает данные об использовании хранилища служб восстановления.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Storage/storageAccounts/read Возвращает список учетных записей хранения или свойства указанной учетной записи хранения.
Microsoft.RecoveryServices/Vaults/backupstorageconfig/*
Microsoft.RecoveryServices/Vaults/backupValidateOperation/action Проверка операций для защищенного элемента
Microsoft.RecoveryServices/Vaults/backupOperations/read Возвращает состояние операции архивации для хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read Возвращает состояние операции политики.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/write Создание зарегистрированного контейнера.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/inquire/action Запрос рабочих нагрузок в контейнере.
Microsoft.RecoveryServices/Vaults/backupEngines/read Возвращение всех серверов управления архивацией, зарегистрированных в хранилище.
Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write Создание цели защиты для резервной копии.
Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read Получение цели защиты для резервного копирования.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read Получение всех защищаемых контейнеров.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read Получение всех элементов в контейнере.
Microsoft.RecoveryServices/locations/backupStatus/action Проверка состояния архивации хранилищ служб восстановления.
Microsoft.RecoveryServices/locations/backupPreValidateProtection/action
Microsoft.RecoveryServices/locations/backupValidateFeatures/action Проверка компонентов.
Microsoft.RecoveryServices/locations/backupAadProperties/read Получает свойства AAD для проверки подлинности в третичном регионе для восстановления между регионами.
Microsoft.RecoveryServices/locations/backupCrrJobs/action Получает список заданий восстановления между регионами в дополнительном регионе для хранилища Служб восстановления.
Microsoft.RecoveryServices/locations/backupCrrJob/action Получает сведения о задании восстановления между регионами в дополнительном регионе для хранилища Служб восстановления.
Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action Активация восстановления между регионами.
Microsoft.RecoveryServices/locations/backupCrrOperationResults/read Возвращает результат операции восстановления между регионами для хранилища Служб восстановления.
Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read Возвращает состояние операции восстановления между регионами для хранилища Служб восстановления.
Microsoft.RecoveryServices/Vaults/monitoringAlerts/write Разрешение оповещения.
Microsoft.RecoveryServices/operations/read Получение списка операций для поставщика ресурсов.
Microsoft.RecoveryServices/locations/operationStatus/read Возвращает состояние операции для данной операции
Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read Вывод списка всех целей защиты для резервного копирования.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.DataProtection/backupVaults/backupInstances/read Возвращает все экземпляры резервных копий
Microsoft.DataProtection/backupVaults/backupInstances/read Возвращает все экземпляры резервных копий
Microsoft.DataProtection/backupVaults/backupPolicies/read Возвращает все политики резервного копирования
Microsoft.DataProtection/backupVaults/backupPolicies/read Возвращает все политики резервного копирования
Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read Возвращает все точки восстановления
Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read Возвращает все точки восстановления
Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action Выполняет поиск диапазонов времени с возможностью восстановления
Microsoft.DataProtection/backupVaults/read Получает список хранилищ резервных копий в подписке
Microsoft.DataProtection/backupVaults/operationResults/read Возвращает результат операции PATCH для хранилища резервных копий
Microsoft.DataProtection/backupVaults/read Получает список хранилищ резервных копий в подписке
Microsoft.DataProtection/backupVaults/read Получает список хранилищ резервных копий в подписке
Microsoft.DataProtection/locations/operationStatus/read Возвращает сведения о состоянии операции резервного копирования для хранилища резервных копий
Microsoft.DataProtection/locations/operationResults/read Возвращает результат операции резервного копирования для хранилища резервных копий
Microsoft.DataProtection/providers/operations/read Получение списка операций для поставщика ресурсов.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage backup services, except removal of backup, vault creation and giving access to others",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/00c29273-979b-4161-815c-10b084fb9324",
  "name": "00c29273-979b-4161-815c-10b084fb9324",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Network/virtualNetworks/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/backup/action",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/provisionInstantItemRecovery/action",
        "Microsoft.RecoveryServices/vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/accessToken/action",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/restore/action",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/revokeInstantItemRecovery/action",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/write",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/refreshContainers/action",
        "Microsoft.RecoveryServices/Vaults/backupJobs/*",
        "Microsoft.RecoveryServices/Vaults/backupJobsExport/action",
        "Microsoft.RecoveryServices/Vaults/backupOperationResults/*",
        "Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupPolicies/read",
        "Microsoft.RecoveryServices/Vaults/backupProtectableItems/*",
        "Microsoft.RecoveryServices/Vaults/backupProtectedItems/read",
        "Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read",
        "Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read",
        "Microsoft.RecoveryServices/Vaults/certificates/write",
        "Microsoft.RecoveryServices/Vaults/extendedInformation/read",
        "Microsoft.RecoveryServices/Vaults/extendedInformation/write",
        "Microsoft.RecoveryServices/Vaults/monitoringAlerts/read",
        "Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*",
        "Microsoft.RecoveryServices/Vaults/read",
        "Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/registeredIdentities/read",
        "Microsoft.RecoveryServices/Vaults/registeredIdentities/write",
        "Microsoft.RecoveryServices/Vaults/usages/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.RecoveryServices/Vaults/backupstorageconfig/*",
        "Microsoft.RecoveryServices/Vaults/backupValidateOperation/action",
        "Microsoft.RecoveryServices/Vaults/backupOperations/read",
        "Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/write",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/inquire/action",
        "Microsoft.RecoveryServices/Vaults/backupEngines/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/write",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectableContainers/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read",
        "Microsoft.RecoveryServices/locations/backupStatus/action",
        "Microsoft.RecoveryServices/locations/backupPreValidateProtection/action",
        "Microsoft.RecoveryServices/locations/backupValidateFeatures/action",
        "Microsoft.RecoveryServices/locations/backupAadProperties/read",
        "Microsoft.RecoveryServices/locations/backupCrrJobs/action",
        "Microsoft.RecoveryServices/locations/backupCrrJob/action",
        "Microsoft.RecoveryServices/locations/backupCrossRegionRestore/action",
        "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read",
        "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read",
        "Microsoft.RecoveryServices/Vaults/monitoringAlerts/write",
        "Microsoft.RecoveryServices/operations/read",
        "Microsoft.RecoveryServices/locations/operationStatus/read",
        "Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read",
        "Microsoft.Support/*",
        "Microsoft.DataProtection/backupVaults/backupInstances/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/read",
        "Microsoft.DataProtection/backupVaults/backupPolicies/read",
        "Microsoft.DataProtection/backupVaults/backupPolicies/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action",
        "Microsoft.DataProtection/backupVaults/read",
        "Microsoft.DataProtection/backupVaults/operationResults/read",
        "Microsoft.DataProtection/backupVaults/read",
        "Microsoft.DataProtection/backupVaults/read",
        "Microsoft.DataProtection/locations/operationStatus/read",
        "Microsoft.DataProtection/locations/operationResults/read",
        "Microsoft.DataProtection/providers/operations/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Backup Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель резервных копий

Может просматривать службы резервного копирования, но не может вносить изменения. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.RecoveryServices/locations/allocatedStamp/read GetAllocatedStamp является внутренней операцией, используемой службой.
Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read Возвращает состояние операции.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read Возвращает результат операции, выполненной с контейнером защиты.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read Возвращает результат операции, выполненной с защищенными элементами.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read Возвращает состояние операции, выполненной с защищенными элементами.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read Возвращает сведения об объекте для защищенного элемента.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read Возвращает точки восстановления для защищенных элементов.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read Возвращает все зарегистрированные контейнеры.
Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read Возвращает результат операции задания.
Microsoft.RecoveryServices/Vaults/backupJobs/read Возвращает все объекты заданий.
Microsoft.RecoveryServices/Vaults/backupJobsExport/action Экспортирует задания.
Microsoft.RecoveryServices/Vaults/backupOperationResults/read Возвращает результат операции архивации для хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read Возвращает результаты операции политики.
Microsoft.RecoveryServices/Vaults/backupPolicies/read Возвращает все политики защиты.
Microsoft.RecoveryServices/Vaults/backupProtectedItems/read Возвращает список всех защищенных элементов.
Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read Возвращает все контейнеры, принадлежащие подписке.
Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read Возвращает сводки по защищенным элементам и защищенным серверам для служб восстановления.
Microsoft.RecoveryServices/Vaults/extendedInformation/read Операция получения расширенных сведений о хранилище возвращает расширенные сведения об объекте, представляющие ресурс Azure типа "хранилище".
Microsoft.RecoveryServices/Vaults/monitoringAlerts/read Возвращает оповещения для хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/read Операция получения хранилища возвращает объект, представляющий ресурс Azure типа "хранилище".
Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read Операцию получения результатов операции можно использовать, чтобы получить состояние и результат асинхронно отправленной операции.
Microsoft.RecoveryServices/Vaults/registeredIdentities/read Операцию получения контейнеров можно использовать для получения контейнеров, зарегистрированных для ресурса.
Microsoft.RecoveryServices/Vaults/backupstorageconfig/read Возвращает конфигурацию службы хранилища для хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/backupconfig/read Возвращает конфигурацию хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/backupOperations/read Возвращает состояние операции архивации для хранилища служб восстановления.
Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read Возвращает состояние операции политики.
Microsoft.RecoveryServices/Vaults/backupEngines/read Возвращение всех серверов управления архивацией, зарегистрированных в хранилище.
Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read Получение цели защиты для резервного копирования.
Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read Получение всех элементов в контейнере.
Microsoft.RecoveryServices/locations/backupStatus/action Проверка состояния архивации хранилищ служб восстановления.
Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*
Microsoft.RecoveryServices/Vaults/monitoringAlerts/write Разрешение оповещения.
Microsoft.RecoveryServices/operations/read Получение списка операций для поставщика ресурсов.
Microsoft.RecoveryServices/locations/operationStatus/read Возвращает состояние операции для данной операции
Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read Вывод списка всех целей защиты для резервного копирования.
Microsoft.RecoveryServices/Vaults/usages/read Возвращает данные об использовании хранилища служб восстановления.
Microsoft.RecoveryServices/locations/backupValidateFeatures/action Проверка компонентов.
Microsoft.RecoveryServices/locations/backupCrrJobs/action Получает список заданий восстановления между регионами в дополнительном регионе для хранилища Служб восстановления.
Microsoft.RecoveryServices/locations/backupCrrJob/action Получает сведения о задании восстановления между регионами в дополнительном регионе для хранилища Служб восстановления.
Microsoft.RecoveryServices/locations/backupCrrOperationResults/read Возвращает результат операции восстановления между регионами для хранилища Служб восстановления.
Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read Возвращает состояние операции восстановления между регионами для хранилища Служб восстановления.
Microsoft.DataProtection/locations/getBackupStatus/action Проверка состояния архивации хранилищ служб восстановления.
Microsoft.DataProtection/backupVaults/backupInstances/write Создает экземпляр резервной копии
Microsoft.DataProtection/backupVaults/backupInstances/read Возвращает все экземпляры резервных копий
Microsoft.DataProtection/backupVaults/backupInstances/read Возвращает все экземпляры резервных копий
Microsoft.DataProtection/backupVaults/backupInstances/backup/action Выполняет резервное копирование экземпляра резервной копии
Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action Проверяет восстановление экземпляра резервной копии
Microsoft.DataProtection/backupVaults/backupInstances/restore/action Активирует восстановление экземпляра резервной копии
Microsoft.DataProtection/backupVaults/backupPolicies/read Возвращает все политики резервного копирования
Microsoft.DataProtection/backupVaults/backupPolicies/read Возвращает все политики резервного копирования
Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read Возвращает все точки восстановления
Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read Возвращает все точки восстановления
Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action Выполняет поиск диапазонов времени с возможностью восстановления
Microsoft.DataProtection/backupVaults/read Получает список хранилищ резервных копий в подписке
Microsoft.DataProtection/backupVaults/operationResults/read Возвращает результат операции PATCH для хранилища резервных копий
Microsoft.DataProtection/backupVaults/read Получает список хранилищ резервных копий в подписке
Microsoft.DataProtection/backupVaults/read Получает список хранилищ резервных копий в подписке
Microsoft.DataProtection/locations/operationStatus/read Возвращает сведения о состоянии операции резервного копирования для хранилища резервных копий
Microsoft.DataProtection/locations/operationResults/read Возвращает результат операции резервного копирования для хранилища резервных копий
Microsoft.DataProtection/backupVaults/validateForBackup/action Проверяет резервное копирование экземпляра резервной копии
Microsoft.DataProtection/providers/operations/read Получение списка операций для поставщика ресурсов.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can view backup services, but can't make changes",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a795c7a0-d4a2-40c1-ae25-d81f01202912",
  "name": "a795c7a0-d4a2-40c1-ae25-d81f01202912",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.RecoveryServices/locations/allocatedStamp/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/operationsStatus/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/protectedItems/recoveryPoints/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/read",
        "Microsoft.RecoveryServices/Vaults/backupJobs/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupJobs/read",
        "Microsoft.RecoveryServices/Vaults/backupJobsExport/action",
        "Microsoft.RecoveryServices/Vaults/backupOperationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupPolicies/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/backupPolicies/read",
        "Microsoft.RecoveryServices/Vaults/backupProtectedItems/read",
        "Microsoft.RecoveryServices/Vaults/backupProtectionContainers/read",
        "Microsoft.RecoveryServices/Vaults/backupUsageSummaries/read",
        "Microsoft.RecoveryServices/Vaults/extendedInformation/read",
        "Microsoft.RecoveryServices/Vaults/monitoringAlerts/read",
        "Microsoft.RecoveryServices/Vaults/read",
        "Microsoft.RecoveryServices/Vaults/registeredIdentities/operationResults/read",
        "Microsoft.RecoveryServices/Vaults/registeredIdentities/read",
        "Microsoft.RecoveryServices/Vaults/backupstorageconfig/read",
        "Microsoft.RecoveryServices/Vaults/backupconfig/read",
        "Microsoft.RecoveryServices/Vaults/backupOperations/read",
        "Microsoft.RecoveryServices/Vaults/backupPolicies/operations/read",
        "Microsoft.RecoveryServices/Vaults/backupEngines/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/backupProtectionIntent/read",
        "Microsoft.RecoveryServices/Vaults/backupFabrics/protectionContainers/items/read",
        "Microsoft.RecoveryServices/locations/backupStatus/action",
        "Microsoft.RecoveryServices/Vaults/monitoringConfigurations/*",
        "Microsoft.RecoveryServices/Vaults/monitoringAlerts/write",
        "Microsoft.RecoveryServices/operations/read",
        "Microsoft.RecoveryServices/locations/operationStatus/read",
        "Microsoft.RecoveryServices/Vaults/backupProtectionIntents/read",
        "Microsoft.RecoveryServices/Vaults/usages/read",
        "Microsoft.RecoveryServices/locations/backupValidateFeatures/action",
        "Microsoft.RecoveryServices/locations/backupCrrJobs/action",
        "Microsoft.RecoveryServices/locations/backupCrrJob/action",
        "Microsoft.RecoveryServices/locations/backupCrrOperationResults/read",
        "Microsoft.RecoveryServices/locations/backupCrrOperationsStatus/read",
        "Microsoft.DataProtection/locations/getBackupStatus/action",
        "Microsoft.DataProtection/backupVaults/backupInstances/write",
        "Microsoft.DataProtection/backupVaults/backupInstances/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/backup/action",
        "Microsoft.DataProtection/backupVaults/backupInstances/validateRestore/action",
        "Microsoft.DataProtection/backupVaults/backupInstances/restore/action",
        "Microsoft.DataProtection/backupVaults/backupPolicies/read",
        "Microsoft.DataProtection/backupVaults/backupPolicies/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/recoveryPoints/read",
        "Microsoft.DataProtection/backupVaults/backupInstances/findRestorableTimeRanges/action",
        "Microsoft.DataProtection/backupVaults/read",
        "Microsoft.DataProtection/backupVaults/operationResults/read",
        "Microsoft.DataProtection/backupVaults/read",
        "Microsoft.DataProtection/backupVaults/read",
        "Microsoft.DataProtection/locations/operationStatus/read",
        "Microsoft.DataProtection/locations/operationResults/read",
        "Microsoft.DataProtection/backupVaults/validateForBackup/action",
        "Microsoft.DataProtection/providers/operations/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Backup Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник классической учетной записи хранения

Позволяет управлять классическими учетными записями хранения, но не предоставлять доступ к ним.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.ClassicStorage/storageAccounts/* Создание учетных записей хранения и управление ими
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage classic storage accounts, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/86e8f5dc-a6e9-4c67-9d15-de283e8eac25",
  "name": "86e8f5dc-a6e9-4c67-9d15-de283e8eac25",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicStorage/storageAccounts/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Classic Storage Account Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль службы оператора ключей классических учетных записей хранения

Операторы ключей классических учетных записей хранения могут перечислять и повторно создавать ключи в классических учетных записях хранения. Подробнее

Действия Описание
Microsoft.ClassicStorage/storageAccounts/listkeys/action Отображает ключи доступа для учетных записей хранения.
Microsoft.ClassicStorage/storageAccounts/regeneratekey/action Повторно создает существующие ключи доступа для учетной записи хранения.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Classic Storage Account Key Operators are allowed to list and regenerate keys on Classic Storage Accounts",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/985d6b00-f706-48f5-a6fe-d0ca12fb668d",
  "name": "985d6b00-f706-48f5-a6fe-d0ca12fb668d",
  "permissions": [
    {
      "actions": [
        "Microsoft.ClassicStorage/storageAccounts/listkeys/action",
        "Microsoft.ClassicStorage/storageAccounts/regeneratekey/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Classic Storage Account Key Operator Service Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник Data Box

Позволяет управлять всеми данными службы Data Box, кроме предоставления доступа другим пользователям. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Databox/*
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage everything under Data Box Service except giving access to others.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/add466c9-e687-43fc-8d98-dfcf8d720be5",
  "name": "add466c9-e687-43fc-8d98-dfcf8d720be5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Databox/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Data Box Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель Data Box

Позволяет управлять службой Data Box, но не позволяет создавать заказы и менять их порядок, а также предоставлять доступ другим пользователям. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Databox/*/read
Microsoft.Databox/jobs/listsecrets/action
Microsoft.Databox/jobs/listcredentials/action Выводит список незашифрованных учетных данных, связанных с заказом.
Microsoft.Databox/locations/availableSkus/action Этот метод возвращает список доступных номеров SKU.
Microsoft.Databox/locations/validateInputs/action Этот метод выполняет все типы проверок.
Microsoft.Databox/locations/regionConfiguration/action Этот метод возвращает конфигурации для региона.
Microsoft.Databox/locations/validateAddress/action Проверяет адрес доставки и предлагает альтернативные адреса, если они доступны.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage Data Box Service except creating order or editing order details and giving access to others.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027",
  "name": "028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Databox/*/read",
        "Microsoft.Databox/jobs/listsecrets/action",
        "Microsoft.Databox/jobs/listcredentials/action",
        "Microsoft.Databox/locations/availableSkus/action",
        "Microsoft.Databox/locations/validateInputs/action",
        "Microsoft.Databox/locations/regionConfiguration/action",
        "Microsoft.Databox/locations/validateAddress/action",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Data Box Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Разработчик Data Lake Analytics

Позволяет отправлять, отслеживать задания и управлять ими, но не позволяет создавать или удалять учетные записи Data Lake Analytics. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.BigAnalytics/accounts/*
Microsoft.DataLakeAnalytics/accounts/*
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.BigAnalytics/accounts/Delete
Microsoft.BigAnalytics/accounts/TakeOwnership/action
Microsoft.BigAnalytics/accounts/Write
Microsoft.DataLakeAnalytics/accounts/Delete Удаление учетной записи Data Lake Analytics.
Microsoft.DataLakeAnalytics/accounts/TakeOwnership/action Предоставление разрешений на отмену заданий, отправленных другими пользователями.
Microsoft.DataLakeAnalytics/accounts/Write Создание или обновление учетной записи Data Lake Analytics.
Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Write Создание или обновление связанной учетной записи Data Lake Store для учетной записи Data Lake Analytics.
Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Delete Отмена связи учетной записи Data Lake Store с учетной записью Data Lake Analytics.
Microsoft.DataLakeAnalytics/accounts/storageAccounts/Write Создание или обновление связанной учетной записи хранения для учетной записи Data Lake Analytics.
Microsoft.DataLakeAnalytics/accounts/storageAccounts/Delete Удаление связи учетной записи хранения с учетной записью Data Lake Analytics.
Microsoft.DataLakeAnalytics/accounts/firewallRules/Write Создает или обновляет правило брандмауэра.
Microsoft.DataLakeAnalytics/accounts/firewallRules/Delete Удаляет правило брандмауэра.
Microsoft.DataLakeAnalytics/accounts/computePolicies/Write Создание или обновление политики вычислений.
Microsoft.DataLakeAnalytics/accounts/computePolicies/Delete Удаление политики вычислений.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you submit, monitor, and manage your own jobs but not create or delete Data Lake Analytics accounts.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/47b7735b-770e-4598-a7da-8b91488b4c88",
  "name": "47b7735b-770e-4598-a7da-8b91488b4c88",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.BigAnalytics/accounts/*",
        "Microsoft.DataLakeAnalytics/accounts/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.BigAnalytics/accounts/Delete",
        "Microsoft.BigAnalytics/accounts/TakeOwnership/action",
        "Microsoft.BigAnalytics/accounts/Write",
        "Microsoft.DataLakeAnalytics/accounts/Delete",
        "Microsoft.DataLakeAnalytics/accounts/TakeOwnership/action",
        "Microsoft.DataLakeAnalytics/accounts/Write",
        "Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Write",
        "Microsoft.DataLakeAnalytics/accounts/dataLakeStoreAccounts/Delete",
        "Microsoft.DataLakeAnalytics/accounts/storageAccounts/Write",
        "Microsoft.DataLakeAnalytics/accounts/storageAccounts/Delete",
        "Microsoft.DataLakeAnalytics/accounts/firewallRules/Write",
        "Microsoft.DataLakeAnalytics/accounts/firewallRules/Delete",
        "Microsoft.DataLakeAnalytics/accounts/computePolicies/Write",
        "Microsoft.DataLakeAnalytics/accounts/computePolicies/Delete"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Data Lake Analytics Developer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Модуль чтения и доступ к данным

Позволяет просматривать все данные, но не позволит удалить или создать учетную запись хранения или содержащий ресурс. Он также предоставит доступ на чтение и запись для всех данных, содержащихся в учетной записи хранения через доступ к ключам учетной записи хранения.

Действия Описание
Microsoft.Storage/storageAccounts/listKeys/action Возвращает ключи доступа для указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/ListAccountSas/action Возвращает маркер SAS для указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/read Возвращает список учетных записей хранения или свойства указанной учетной записи хранения.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you view everything but will not let you delete or create a storage account or contained resource. It will also allow read/write access to all data contained in a storage account via access to storage account keys.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c12c1c16-33a1-487b-954d-41c89c60f349",
  "name": "c12c1c16-33a1-487b-954d-41c89c60f349",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Storage/storageAccounts/ListAccountSas/action",
        "Microsoft.Storage/storageAccounts/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Reader and Data Access",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник учетной записи хранения

Разрешает управление учетными записями хранения. Предоставляет доступ к ключу учетной записи, который можно использовать для доступа к данным посредством авторизации с использованием общего ключа. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/diagnosticSettings/* Создание, обновление или считывание параметра диагностики для сервера анализа данных.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Storage/storageAccounts/* Создание учетных записей хранения и управление ими
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage storage accounts, including accessing storage account keys which provide full access to storage account data.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/17d1049b-9a84-46fb-8f53-869881c3d3ab",
  "name": "17d1049b-9a84-46fb-8f53-869881c3d3ab",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/diagnosticSettings/*",
        "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Storage/storageAccounts/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Account Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль службы оператора ключей учетных записей хранения

Разрешает перечисление и повторное создание ключей доступа к учетной записи хранения. Подробнее

Действия Описание
Microsoft.Storage/storageAccounts/listkeys/action Возвращает ключи доступа для указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/regeneratekey/action Повторно создает ключи доступа для указанной учетной записи хранения.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Storage Account Key Operators are allowed to list and regenerate keys on Storage Accounts",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/81a9662b-bebf-436f-a333-f67b29880f12",
  "name": "81a9662b-bebf-436f-a333-f67b29880f12",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/listkeys/action",
        "Microsoft.Storage/storageAccounts/regeneratekey/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Account Key Operator Service Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник для данных BLOB-объектов хранилища

Чтение, запись и удаление контейнеров службы хранилища Azure и больших двоичных объектов. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее

Действия Описание
Microsoft.Storage/storageAccounts/blobServices/containers/delete Удаление контейнера.
Microsoft.Storage/storageAccounts/blobServices/containers/read Возвращение контейнера или списка контейнеров.
Microsoft.Storage/storageAccounts/blobServices/containers/write Изменение метаданных или свойств контейнера.
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Возвращает ключ делегирования пользователя для службы BLOB-объектов.
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete Удалить большой двоичный объект.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Возвращение большого двоичного объекта или списка таких объектов.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Запись в большой двоичный объект.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action Перемещает большой двоичный объект из одного пути в другой.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action Возвращение результата, полученного при добавлении содержимого большого двоичного объекта.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read, write and delete access to Azure Storage blob containers and data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ba92f5b4-2d11-453d-a403-e96b0029c9fe",
  "name": "ba92f5b4-2d11-453d-a403-e96b0029c9fe",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/delete",
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/write",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action",
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Blob Data Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Владелец данных BLOB-объектов хранилища

Предоставляет полный доступ к контейнерам и данным BLOB-объектов службы хранилища Azure, включая назначение элемента управления доступом POSIX. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее

Действия Описание
Microsoft.Storage/storageAccounts/blobServices/containers/* Полные разрешения на действия с контейнерами.
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Возвращает ключ делегирования пользователя для службы BLOB-объектов.
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/* Полные разрешения на действия с большими двоичными объектами.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for full access to Azure Storage blob containers and data, including assigning POSIX access control.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b7e6dc6d-f1e8-4753-8033-0f276bb0955b",
  "name": "b7e6dc6d-f1e8-4753-8033-0f276bb0955b",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/*",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Blob Data Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных больших двоичных объектов хранилища

Чтение и перечисление контейнеров и больших двоичных объектов службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее

Действия Описание
Microsoft.Storage/storageAccounts/blobServices/containers/read Возвращение контейнера или списка контейнеров.
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Возвращает ключ делегирования пользователя для службы BLOB-объектов.
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Возвращение большого двоичного объекта или списка таких объектов.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read access to Azure Storage blob containers and data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
  "name": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Blob Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Представитель BLOB-объектов хранилища

Получение ключа делегирования пользователя, который затем можно использовать для создания подписи общего доступа для контейнера или большого двоичного объекта, подписанного с помощью учетных данных Azure AD. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя. Подробнее

Действия Описание
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Возвращает ключ делегирования пользователя для службы BLOB-объектов.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for generation of a user delegation key which can be used to sign SAS tokens",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/db58b8e5-c6ad-4a2a-8342-4190687cbf4a",
  "name": "db58b8e5-c6ad-4a2a-8342-4190687cbf4a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Blob Delegator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник общей папки файловых данных хранилища SMB

Разрешает доступ на чтение, запись и удаление файлов/каталогов в общих папках Azure. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read Возвращает файл, папку или список файлов или папок.
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write Возвращает результат записи файла или создания папки.
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Возвращает результат удаления файла или папки.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read, write, and delete access in Azure Storage file shares over SMB",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb",
  "name": "0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read",
        "Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write",
        "Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage File Data SMB Share Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник общих папок данных SMB службы хранилища с повышенными правами

Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для изменения на файловых серверах Windows. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read Возвращает файл, папку или список файлов или папок.
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write Возвращает результат записи файла или создания папки.
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete Возвращает результат удаления файла или папки.
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action Возвращает результат изменения разрешений для файла или папки.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read, write, delete and modify NTFS permission access in Azure Storage file shares over SMB",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a7264617-510b-434b-a828-9731dc254ea7",
  "name": "a7264617-510b-434b-a828-9731dc254ea7",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read",
        "Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write",
        "Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete",
        "Microsoft.Storage/storageAccounts/fileServices/fileshares/files/modifypermissions/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage File Data SMB Share Elevated Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель общей папки файловых данных хранилища SMB

Разрешает доступ на чтение файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для чтения данных на файловых серверах Windows. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read Возвращает файл, папку или список файлов или папок.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read access to Azure File Share over SMB",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/aba4ae5f-2193-4029-9191-0cb91df5e314",
  "name": "aba4ae5f-2193-4029-9191-0cb91df5e314",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage File Data SMB Share Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник для данных очереди хранилища

Чтение, запись и удаление очередей и сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее

Действия Описание
Microsoft.Storage/storageAccounts/queueServices/queues/delete Удаление очереди.
Microsoft.Storage/storageAccounts/queueServices/queues/read Возвращение очереди или списка очередей.
Microsoft.Storage/storageAccounts/queueServices/queues/write Изменение метаданных или свойств очереди.
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete Удаление одного или нескольких сообщений из очереди.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/read Просмотр или извлечение одного или нескольких сообщений из очереди.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/write Добавление сообщения в очередь.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action Возвращение результата, полученного при обработке сообщения.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read, write, and delete access to Azure Storage queues and queue messages",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/974c5e8b-45b9-4653-ba55-5f855dd0fb88",
  "name": "974c5e8b-45b9-4653-ba55-5f855dd0fb88",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/queueServices/queues/delete",
        "Microsoft.Storage/storageAccounts/queueServices/queues/read",
        "Microsoft.Storage/storageAccounts/queueServices/queues/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete",
        "Microsoft.Storage/storageAccounts/queueServices/queues/messages/read",
        "Microsoft.Storage/storageAccounts/queueServices/queues/messages/write",
        "Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Queue Data Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Обработчик сообщений данных в очереди хранилища

Просмотр, получение и удаление сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/queueServices/queues/messages/read Просмотр сообщения.
Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action Получение и удаление сообщения.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for peek, receive, and delete access to Azure Storage queue messages",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8a0f0c08-91a1-4084-bc3d-661d67233fed",
  "name": "8a0f0c08-91a1-4084-bc3d-661d67233fed",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/queueServices/queues/messages/read",
        "Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Queue Data Message Processor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Отправитель сообщений данных в очередь хранилища

Добавление сообщений в очередь службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action Добавление сообщения в очередь.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for sending of Azure Storage queue messages",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c6a89b2d-59bc-44d0-9896-0f6e12d7b80a",
  "name": "c6a89b2d-59bc-44d0-9896-0f6e12d7b80a",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Queue Data Message Sender",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных очереди хранилища

Чтение и перечисление очередей и сообщений в очередях службы хранилища Azure. Сведения о том, какие действия необходимы для конкретной операции с данными, см. в разделе Разрешения на вызов операций с данными BLOB-объектов и очередей. Подробнее

Действия Описание
Microsoft.Storage/storageAccounts/queueServices/queues/read Возвращение очереди или списка очередей.
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/queueServices/queues/messages/read Просмотр или извлечение одного или нескольких сообщений из очереди.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read access to Azure Storage queues and queue messages",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/19e7f393-937e-4f77-808e-94535e297925",
  "name": "19e7f393-937e-4f77-808e-94535e297925",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/queueServices/queues/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/queueServices/queues/messages/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Queue Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник данных таблицы хранилища

Разрешает доступ на чтение, запись и удаление к таблицам и сущностям службы хранилища Azure

Действия Описание
Microsoft.Storage/storageAccounts/tableServices/tables/read Запросы к таблицам
Microsoft.Storage/storageAccounts/tableServices/tables/write Создание таблиц
Microsoft.Storage/storageAccounts/tableServices/tables/delete Удаление таблиц
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/tableServices/tables/entities/read Запрос сущностей таблицы
Microsoft.Storage/storageAccounts/tableServices/tables/entities/write Вставка, объединение или замена сущностей таблицы
Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete удаление сущностей таблицы.
Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action Вставка сущностей таблицы
Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action Объединение или обновление сущностей таблицы
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read, write and delete access to Azure Storage tables and entities",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3",
  "name": "0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/tableServices/tables/read",
        "Microsoft.Storage/storageAccounts/tableServices/tables/write",
        "Microsoft.Storage/storageAccounts/tableServices/tables/delete"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/tableServices/tables/entities/read",
        "Microsoft.Storage/storageAccounts/tableServices/tables/entities/write",
        "Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete",
        "Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action",
        "Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Table Data Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных таблицы хранилища

Разрешает доступ на чтение к таблицам и сущностям службы хранилища Azure

Действия Описание
Microsoft.Storage/storageAccounts/tableServices/tables/read Запросы к таблицам
NotActions
Нет
Действия с данными
Microsoft.Storage/storageAccounts/tableServices/tables/entities/read Запрос сущностей таблицы
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read access to Azure Storage tables and entities",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/76199698-9eea-4c19-bc75-cec21354c6b6",
  "name": "76199698-9eea-4c19-bc75-cec21354c6b6",
  "permissions": [
    {
      "actions": [
        "Microsoft.Storage/storageAccounts/tableServices/tables/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Storage/storageAccounts/tableServices/tables/entities/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Storage Table Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Интернет

Разработчик данных Azure Maps

Предоставляет доступ для чтения, записи и удаления связанных данных карт в учетной записи Azure Maps. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Maps/accounts/*/read
Microsoft.Maps/accounts/*/write
Microsoft.Maps/accounts/*/delete
Microsoft. Карты/аккаунтс/*/action
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants access to read, write, and delete access to map related data from an Azure maps account.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204",
  "name": "8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Maps/accounts/*/read",
        "Microsoft.Maps/accounts/*/write",
        "Microsoft.Maps/accounts/*/delete",
        "Microsoft.Maps/accounts/*/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Maps Data Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных Azure Maps

Предоставляет доступ на чтение связанных данных карты в учетной записи Azure Maps. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Maps/accounts/*/read
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants access to read map related data from an Azure maps account.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/423170ca-a8f6-4b0f-8487-9e4eb8f49bfa",
  "name": "423170ca-a8f6-4b0f-8487-9e4eb8f49bfa",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Maps/accounts/*/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Maps Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник сервера конфигурации Azure Spring Cloud

Разрешить доступ на чтение, запись и удаление для сервера настройки Azure весн Cloud дополнительные сведения

Действия Описание
Нет
NotActions
Нет
Действия с данными
/Спринг/конфигсервице/Реад Microsoft. аппплатформ Чтение содержимого конфигурации (например, application.yaml) для указанного экземпляра службы Azure Spring Cloud
/Спринг/конфигсервице/Врите Microsoft. аппплатформ Запись содержимого сервера конфигурации для конкретного экземпляра облачной службы Azure весны
/Спринг/конфигсервице/делете Microsoft. аппплатформ Удаление содержимого сервера конфигурации для конкретного экземпляра облачной службы Azure весны
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allow read, write and delete access to Azure Spring Cloud Config Server",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b",
  "name": "a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.AppPlatform/Spring/configService/read",
        "Microsoft.AppPlatform/Spring/configService/write",
        "Microsoft.AppPlatform/Spring/configService/delete"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Spring Cloud Config Server Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель сервера конфигурации Azure Spring Cloud

Разрешение доступа на чтение к серверу настройки Azure пружины Cloud дополнительные сведения

Действия Описание
Нет
NotActions
Нет
Действия с данными
/Спринг/конфигсервице/Реад Microsoft. аппплатформ Чтение содержимого конфигурации (например, application.yaml) для указанного экземпляра службы Azure Spring Cloud
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allow read access to Azure Spring Cloud Config Server",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d04c6db6-4947-4782-9e91-30a88feb7be7",
  "name": "d04c6db6-4947-4782-9e91-30a88feb7be7",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.AppPlatform/Spring/configService/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Spring Cloud Config Server Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных Azure Spring Cloud

Разрешает доступ на чтение данных Azure Spring Cloud.

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.AppPlatform/Spring/*/read
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allow read access to Azure Spring Cloud Data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b5537268-8956-4941-a8f0-646150406f0c",
  "name": "b5537268-8956-4941-a8f0-646150406f0c",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.AppPlatform/Spring/*/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Spring Cloud Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник реестра службы Azure Spring Cloud

Разрешить доступ для чтения, записи и удаления в реестре облачной службы Azure весны Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
/Спринг/еурекасервице/Реад Microsoft. аппплатформ Чтение сведений о регистрации пользовательских приложений для конкретного экземпляра службы Azure Spring Cloud
/Спринг/еурекасервице/Врите Microsoft. аппплатформ Запись сведений о регистрации пользовательских приложений для конкретного экземпляра службы Azure Spring Cloud
/Спринг/еурекасервице/делете Microsoft. аппплатформ Удаление сведений о регистрации пользовательского приложения для конкретного экземпляра службы Azure Spring Cloud
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allow read, write and delete access to Azure Spring Cloud Service Registry",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f5880b48-c26d-48be-b172-7927bfa1c8f1",
  "name": "f5880b48-c26d-48be-b172-7927bfa1c8f1",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.AppPlatform/Spring/eurekaService/read",
        "Microsoft.AppPlatform/Spring/eurekaService/write",
        "Microsoft.AppPlatform/Spring/eurekaService/delete"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Spring Cloud Service Registry Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель реестра служб Azure Spring Cloud

Разрешить доступ для чтения к реестру облачной службы Azure весны Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
/Спринг/еурекасервице/Реад Microsoft. аппплатформ Чтение сведений о регистрации пользовательских приложений для конкретного экземпляра службы Azure Spring Cloud
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allow read access to Azure Spring Cloud Service Registry",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/cff1b556-2399-4e7e-856d-a8f754be7b65",
  "name": "cff1b556-2399-4e7e-856d-a8f754be7b65",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.AppPlatform/Spring/eurekaService/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Spring Cloud Service Registry Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор учетной записи Служб мультимедиа

Создание, чтение, изменение и удаление учетных записей Служб мультимедиа; доступ только на чтение в других ресурсах Служб мультимедиа.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.Insights/metricDefinitions/read Считывает определения метрик.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Media/mediaservices/*/read
Microsoft.Media/mediaservices/assets/listStreamingLocators/action Вывод списка указателей потоковой передачи для ресурса.
Microsoft.Media/mediaservices/streamingLocators/listPaths/action Вывод списка путей.
Microsoft.Media/mediaservices/write Создание или обновление учетной записи служб мультимедиа.
Microsoft.Media/mediaservices/delete Удаление учетной записи служб мультимедиа.
Microsoft.Media/mediaservices/privateEndpointConnectionsApproval/action Утверждение подключений к частным конечным точкам
Microsoft.Media/mediaservices/privateEndpointConnections/*
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, modify, and delete Media Services accounts; read-only access to other Media Services resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/054126f8-9a2b-4f1c-a9ad-eca461f08466",
  "name": "054126f8-9a2b-4f1c-a9ad-eca461f08466",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Media/mediaservices/*/read",
        "Microsoft.Media/mediaservices/assets/listStreamingLocators/action",
        "Microsoft.Media/mediaservices/streamingLocators/listPaths/action",
        "Microsoft.Media/mediaservices/write",
        "Microsoft.Media/mediaservices/delete",
        "Microsoft.Media/mediaservices/privateEndpointConnectionsApproval/action",
        "Microsoft.Media/mediaservices/privateEndpointConnections/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Media Services Account Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор служб мультимедиа Live Events

Создание, чтение, изменение и удаление событий трансляции, ресурсов, фильтров активов и указателей потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.Insights/metricDefinitions/read Считывает определения метрик.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Media/mediaservices/*/read
Microsoft.Media/mediaservices/assets/*
Microsoft.Media/mediaservices/assets/assetfilters/*
Microsoft.Media/mediaservices/streamingLocators/*
Microsoft.Media/mediaservices/liveEvents/*
NotActions
Microsoft.Media/mediaservices/assets/getEncryptionKey/action Получение ключа шифрования ресурса.
Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action Вывод списка ключей содержимого.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, modify, and delete Live Events, Assets, Asset Filters, and Streaming Locators; read-only access to other Media Services resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/532bc159-b25e-42c0-969e-a1d439f60d77",
  "name": "532bc159-b25e-42c0-969e-a1d439f60d77",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Media/mediaservices/*/read",
        "Microsoft.Media/mediaservices/assets/*",
        "Microsoft.Media/mediaservices/assets/assetfilters/*",
        "Microsoft.Media/mediaservices/streamingLocators/*",
        "Microsoft.Media/mediaservices/liveEvents/*"
      ],
      "notActions": [
        "Microsoft.Media/mediaservices/assets/getEncryptionKey/action",
        "Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Media Services Live Events Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор мультимедиа Служб мультимедиа

Создание, чтение, изменение и удаление активов, фильтров активов, указателей потоковой передачи и заданий; доступ только на чтение в других ресурсах Служб мультимедиа.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.Insights/metricDefinitions/read Считывает определения метрик.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Media/mediaservices/*/read
Microsoft.Media/mediaservices/assets/*
Microsoft.Media/mediaservices/assets/assetfilters/*
Microsoft.Media/mediaservices/streamingLocators/*
Microsoft.Media/mediaservices/transforms/jobs/*
NotActions
Microsoft.Media/mediaservices/assets/getEncryptionKey/action Получение ключа шифрования ресурса.
Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action Вывод списка ключей содержимого.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, modify, and delete Assets, Asset Filters, Streaming Locators, and Jobs; read-only access to other Media Services resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e4395492-1534-4db2-bedf-88c14621589c",
  "name": "e4395492-1534-4db2-bedf-88c14621589c",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Media/mediaservices/*/read",
        "Microsoft.Media/mediaservices/assets/*",
        "Microsoft.Media/mediaservices/assets/assetfilters/*",
        "Microsoft.Media/mediaservices/streamingLocators/*",
        "Microsoft.Media/mediaservices/transforms/jobs/*"
      ],
      "notActions": [
        "Microsoft.Media/mediaservices/assets/getEncryptionKey/action",
        "Microsoft.Media/mediaservices/streamingLocators/listContentKeys/action"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Media Services Media Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор политик Служб мультимедиа

Создание, чтение, изменение и удаление фильтров учетных записей, политик потоковой передачи, политик ключей содержимого и преобразований; доступ только на чтение в других ресурсах Служб мультимедиа. Нельзя создавать задания, активы или ресурсы потоковой передачи.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.Insights/metricDefinitions/read Считывает определения метрик.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Media/mediaservices/*/read
Microsoft.Media/mediaservices/assets/listStreamingLocators/action Вывод списка указателей потоковой передачи для ресурса.
Microsoft.Media/mediaservices/streamingLocators/listPaths/action Вывод списка путей.
Microsoft.Media/mediaservices/accountFilters/*
Microsoft.Media/mediaservices/streamingPolicies/*
Microsoft.Media/mediaservices/contentKeyPolicies/*
Microsoft.Media/mediaservices/transforms/*
NotActions
Microsoft.Media/mediaservices/contentKeyPolicies/getPolicyPropertiesWithSecrets/action Получение свойств политики с секретами.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, modify, and delete Account Filters, Streaming Policies, Content Key Policies, and Transforms; read-only access to other Media Services resources. Cannot create Jobs, Assets or Streaming resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c4bba371-dacd-4a26-b320-7250bca963ae",
  "name": "c4bba371-dacd-4a26-b320-7250bca963ae",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Media/mediaservices/*/read",
        "Microsoft.Media/mediaservices/assets/listStreamingLocators/action",
        "Microsoft.Media/mediaservices/streamingLocators/listPaths/action",
        "Microsoft.Media/mediaservices/accountFilters/*",
        "Microsoft.Media/mediaservices/streamingPolicies/*",
        "Microsoft.Media/mediaservices/contentKeyPolicies/*",
        "Microsoft.Media/mediaservices/transforms/*"
      ],
      "notActions": [
        "Microsoft.Media/mediaservices/contentKeyPolicies/getPolicyPropertiesWithSecrets/action"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Media Services Policy Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор конечных точек потоковой передачи Служб мультимедиа

Создание, чтение, изменение и удаление конечных точек потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.Insights/metricDefinitions/read Считывает определения метрик.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Media/mediaservices/*/read
Microsoft.Media/mediaservices/assets/listStreamingLocators/action Вывод списка указателей потоковой передачи для ресурса.
Microsoft.Media/mediaservices/streamingLocators/listPaths/action Вывод списка путей.
Microsoft.Media/mediaservices/streamingEndpoints/*
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, modify, and delete Streaming Endpoints; read-only access to other Media Services resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/99dba123-b5fe-44d5-874c-ced7199a5804",
  "name": "99dba123-b5fe-44d5-874c-ced7199a5804",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Media/mediaservices/*/read",
        "Microsoft.Media/mediaservices/assets/listStreamingLocators/action",
        "Microsoft.Media/mediaservices/streamingLocators/listPaths/action",
        "Microsoft.Media/mediaservices/streamingEndpoints/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Media Services Streaming Endpoints Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник данных индекса поиска

Предоставляет полный доступ к данным индекса службы "Когнитивный поиск Azure".

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Search/searchServices/indexes/documents/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants full access to Azure Cognitive Search index data.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8ebe5a00-799e-43f5-93ac-243d3dce84a7",
  "name": "8ebe5a00-799e-43f5-93ac-243d3dce84a7",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Search/searchServices/indexes/documents/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Search Index Data Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных индекса поиска

Предоставляет доступ на чтение к данным индекса службы "Когнитивный поиск Azure".

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Search/searchServices/indexes/documents/read Считывает документы или предлагаемые термины запроса из индекса
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read access to Azure Cognitive Search index data.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/1407120a-92aa-4202-b7e9-c0e197c71c8f",
  "name": "1407120a-92aa-4202-b7e9-c0e197c71c8f",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Search/searchServices/indexes/documents/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Search Index Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник службы поиска

Позволяет управлять службами поиска, но не доступом к ним. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Search/searchServices/* Создание служб поиска и управление ими
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage Search services, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/7ca78c08-252a-4471-8644-bb5ff32d4ba0",
  "name": "7ca78c08-252a-4471-8644-bb5ff32d4ba0",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Search/searchServices/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Search Service Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель AccessKey в SignalR

Чтение ключей доступа службы SignalR.

Действия Описание
Microsoft.SignalRService/*/read
Microsoft.SignalRService/SignalR/listkeys/action Просмотр значений ключей доступа SignalR на портале управления или с помощью API.
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read SignalR Service Access Keys",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/04165923-9d83-45d5-8227-78b77b0a687e",
  "name": "04165923-9d83-45d5-8227-78b77b0a687e",
  "permissions": [
    {
      "actions": [
        "Microsoft.SignalRService/*/read",
        "Microsoft.SignalRService/SignalR/listkeys/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SignalR AccessKey Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Сервер приложений SignalR (предварительная версия)

Разрешает серверу приложений доступ к службе SignalR с использованием параметров аутентификации AAD.

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.SignalRService/SignalR/auth/accessKey/action Создание AccessKey для подписи AccessTokens. По умолчанию срок действия ключа истекает через 90 минут.
Microsoft.SignalRService/SignalR/serverConnection/write Запуск соединения с сервером.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets your app server access SignalR Service with AAD auth options.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/420fcaa2-552c-430f-98ca-3264be4806c7",
  "name": "420fcaa2-552c-430f-98ca-3264be4806c7",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.SignalRService/SignalR/auth/accessKey/action",
        "Microsoft.SignalRService/SignalR/serverConnection/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "SignalR App Server (Preview)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Владелец REST API SignalR

Полный доступ к интерфейсам REST API службы Azure SignalR.

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.SignalRService/SignalR/auth/clientToken/action Создание AccessToken для подключения клиента к ASRS. По умолчанию срок действия токена истекает через 5 минут.
Microsoft.SignalRService/SignalR/hub/send/action Широковещательная рассылка сообщений по всем клиентским соединениям в центре.
Microsoft.SignalRService/SignalR/group/send/action Широковещательная рассылка сообщения для группы.
Microsoft.SignalRService/SignalR/group/read Проверка существования группы или присутствия пользователя в группе.
Microsoft.SignalRService/SignalR/group/write Присоединение к группе или выход из нее.
Microsoft.SignalRService/SignalR/clientConnection/send/action Отправка сообщений непосредственно в клиентское соединение.
Microsoft.SignalRService/SignalR/clientConnection/read Проверка существования клиентского соединения.
Microsoft.SignalRService/SignalR/clientConnection/write Закрытие клиентского соединения.
Microsoft.SignalRService/SignalR/user/send/action Отправка сообщений пользователю, который может состоять из нескольких клиентских соединений.
Microsoft.SignalRService/SignalR/user/read Проверка существования пользователя.
Microsoft.SignalRService/SignalR/user/write Изменение пользователя.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Full access to Azure SignalR Service REST APIs",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fd53cd77-2268-407a-8f46-7e7863d0f521",
  "name": "fd53cd77-2268-407a-8f46-7e7863d0f521",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.SignalRService/SignalR/auth/clientToken/action",
        "Microsoft.SignalRService/SignalR/hub/send/action",
        "Microsoft.SignalRService/SignalR/group/send/action",
        "Microsoft.SignalRService/SignalR/group/read",
        "Microsoft.SignalRService/SignalR/group/write",
        "Microsoft.SignalRService/SignalR/clientConnection/send/action",
        "Microsoft.SignalRService/SignalR/clientConnection/read",
        "Microsoft.SignalRService/SignalR/clientConnection/write",
        "Microsoft.SignalRService/SignalR/user/send/action",
        "Microsoft.SignalRService/SignalR/user/read",
        "Microsoft.SignalRService/SignalR/user/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "SignalR REST API Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Средство чтения REST API SignalR

Доступ только для чтения к интерфейсам REST API службы Azure SignalR.

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.SignalRService/SignalR/group/read Проверка существования группы или присутствия пользователя в группе.
Microsoft.SignalRService/SignalR/clientConnection/read Проверка существования клиентского соединения.
Microsoft.SignalRService/SignalR/user/read Проверка существования пользователя.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read-only access to Azure SignalR Service REST APIs",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ddde6b66-c0df-4114-a159-3618637b3035",
  "name": "ddde6b66-c0df-4114-a159-3618637b3035",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.SignalRService/SignalR/group/read",
        "Microsoft.SignalRService/SignalR/clientConnection/read",
        "Microsoft.SignalRService/SignalR/user/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "SignalR REST API Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Владелец службы SignalR

Полный доступ к интерфейсам REST API службы Azure SignalR.

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.SignalRService/SignalR/auth/accessKey/action Создание AccessKey для подписи AccessTokens. По умолчанию срок действия ключа истекает через 90 минут.
Microsoft.SignalRService/SignalR/auth/clientToken/action Создание AccessToken для подключения клиента к ASRS. По умолчанию срок действия токена истекает через 5 минут.
Microsoft.SignalRService/SignalR/hub/send/action Широковещательная рассылка сообщений по всем клиентским соединениям в центре.
Microsoft.SignalRService/SignalR/group/send/action Широковещательная рассылка сообщения для группы.
Microsoft.SignalRService/SignalR/group/read Проверка существования группы или присутствия пользователя в группе.
Microsoft.SignalRService/SignalR/group/write Присоединение к группе или выход из нее.
Microsoft.SignalRService/SignalR/clientConnection/send/action Отправка сообщений непосредственно в клиентское соединение.
Microsoft.SignalRService/SignalR/clientConnection/read Проверка существования клиентского соединения.
Microsoft.SignalRService/SignalR/clientConnection/write Закрытие клиентского соединения.
Microsoft.SignalRService/SignalR/serverConnection/write Запуск соединения с сервером.
Microsoft.SignalRService/SignalR/user/send/action Отправка сообщений пользователю, который может состоять из нескольких клиентских соединений.
Microsoft.SignalRService/SignalR/user/read Проверка существования пользователя.
Microsoft.SignalRService/SignalR/user/write Изменение пользователя.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Full access to Azure SignalR Service REST APIs",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/7e4f1700-ea5a-4f59-8f37-079cfe29dce3",
  "name": "7e4f1700-ea5a-4f59-8f37-079cfe29dce3",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.SignalRService/SignalR/auth/accessKey/action",
        "Microsoft.SignalRService/SignalR/auth/clientToken/action",
        "Microsoft.SignalRService/SignalR/hub/send/action",
        "Microsoft.SignalRService/SignalR/group/send/action",
        "Microsoft.SignalRService/SignalR/group/read",
        "Microsoft.SignalRService/SignalR/group/write",
        "Microsoft.SignalRService/SignalR/clientConnection/send/action",
        "Microsoft.SignalRService/SignalR/clientConnection/read",
        "Microsoft.SignalRService/SignalR/clientConnection/write",
        "Microsoft.SignalRService/SignalR/serverConnection/write",
        "Microsoft.SignalRService/SignalR/user/send/action",
        "Microsoft.SignalRService/SignalR/user/read",
        "Microsoft.SignalRService/SignalR/user/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "SignalR Service Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник SignalR/Web PubSub

Создание, чтение, изменение и удаление ресурсов службы SignalR.

Действия Описание
Microsoft.SignalRService/*
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, Read, Update, and Delete SignalR service resources",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761",
  "name": "8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761",
  "permissions": [
    {
      "actions": [
        "Microsoft.SignalRService/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SignalR/Web PubSub Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник веб-плана

Управление веб-планами для веб-сайтов. Не позволяет назначать роли в Azure RBAC.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Web/serverFarms/* Создание ферм серверов и управление ими
Microsoft.Web/hostingEnvironments/Join/Action Присоединяет среду службы приложений
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage the web plans for websites, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b",
  "name": "2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Web/serverFarms/*",
        "Microsoft.Web/hostingEnvironments/Join/Action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Web Plan Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник веб-сайта

Управление веб-сайтами, но не веб-планами. Не позволяет назначать роли в Azure RBAC.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/components/* Создание компонентов Insights и управление ими
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Web/certificates/* Создание сертификатов веб-сайтов и управление ими
Microsoft.Web/listSitesAssignedToHostName/read Возвращает имена сайтов, назначенные имени узла.
Microsoft.Web/serverFarms/join/action Объединение плана службы приложений.
Microsoft.Web/serverFarms/read Возвращает свойства плана службы приложений.
Microsoft.Web/sites/* Создание веб-сайтов и управление ими (создание сайта также требует разрешений на запись к связанному плану службы приложений).
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage websites (not web plans), but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/de139f84-1756-47ae-9be6-808fbbe84772",
  "name": "de139f84-1756-47ae-9be6-808fbbe84772",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/components/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Web/certificates/*",
        "Microsoft.Web/listSitesAssignedToHostName/read",
        "Microsoft.Web/serverFarms/join/action",
        "Microsoft.Web/serverFarms/read",
        "Microsoft.Web/sites/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Website Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Контейнеры

AcrDelete

Удаление репозиториев, тегов или манифестов из реестра контейнеров. Подробнее

Действия Описание
Microsoft.ContainerRegistry/registries/artifacts/delete Удаление артефакта в реестре контейнеров.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr delete",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
  "name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/artifacts/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrDelete",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrImageSigner

Отправка или получение доверенных образов в реестре контейнеров с поддержкой доверия к содержимому. Подробнее

Действия Описание
Microsoft.ContainerRegistry/registries/sign/write Передача или извлечение метаданных доверия к содержимому для реестра контейнеров.
NotActions
Нет
Действия с данными
Microsoft.ContainerRegistry/registries/trustedCollections/write Позволяет отправлять или публиковать доверенные коллекции содержимого реестра контейнеров Похоже на действие Microsoft.ContainerRegistry/registries/sign/write, за исключением того, что это действие с данными
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr image signer",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
  "name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/sign/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/trustedCollections/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrImageSigner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrPull

Извлечение артефактов из реестра контейнеров. Подробнее

Действия Описание
Microsoft.ContainerRegistry/registries/pull/read Извлечение или получение образов из реестра контейнеров.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr pull",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
  "name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/pull/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrPull",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrPush

Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров. Подробнее

Действия Описание
Microsoft.ContainerRegistry/registries/pull/read Извлечение или получение образов из реестра контейнеров.
Microsoft.ContainerRegistry/registries/push/write Передача или запись образов в реестр контейнеров.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr push",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
  "name": "8311e382-0749-4cb8-b61a-304f252e45ec",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/pull/read",
        "Microsoft.ContainerRegistry/registries/push/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrPush",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrQuarantineReader

Извлечение помещенных в карантин образов из реестра контейнеров. Подробнее

Действия Описание
Microsoft.ContainerRegistry/registries/quarantine/read Извлечение или получение помещенных в карантин образов из реестра контейнеров.
NotActions
Нет
Действия с данными
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/read, за исключением того, что это действие с данными
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr quarantine data reader",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
  "name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/quarantine/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrQuarantineReader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrQuarantineWriter

Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него. Подробнее

Действия Описание
Microsoft.ContainerRegistry/registries/quarantine/read Извлечение или получение помещенных в карантин образов из реестра контейнеров.
Microsoft.ContainerRegistry/registries/quarantine/write Запись и изменение состояния карантина образов, помещенных в карантин.
NotActions
Нет
Действия с данными
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/read, за исключением того, что это действие с данными
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write Позволяет записывать или обновлять состояние карантина для артефактов, помещенных на карантин Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/write, за исключением того, что это действие с данными
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr quarantine data writer",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
  "name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/quarantine/read",
        "Microsoft.ContainerRegistry/registries/quarantine/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrQuarantineWriter",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль администратора кластера в Службе Azure Kubernetes

Список действий, выполненных с помощью учетных данных администратора кластера. Подробнее

Действия Описание
Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action Перечисляет учетные данные clusterAdmin управляемого кластера.
Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action Получение профиля доступа управляемого кластера по имени роли с помощью вывода учетных данных.
Microsoft.ContainerService/managedClusters/read Получение управляемого кластера.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster admin credential action.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
  "name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
        "Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
        "Microsoft.ContainerService/managedClusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster Admin Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль пользователя кластера в Службе Azure Kubernetes

Список действий, выполненных с помощью учетных данных пользователя кластера. Подробнее

Действия Описание
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Перечисляет учетные данные clusterUser управляемого кластера.
Microsoft.ContainerService/managedClusters/read Получение управляемого кластера.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credential action.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
  "name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
        "Microsoft.ContainerService/managedClusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль участника службы Azure Kubernetes

Предоставляет доступ на чтение и запись для кластеров службы Azure Kubernetes. Подробнее

Действия Описание
Microsoft.ContainerService/managedClusters/read Получение управляемого кластера.
Microsoft.ContainerService/managedClusters/write Создание нового управляемого кластера или обновление имеющегося.
Microsoft.Resources/deployments/* Создание развертывания и управление им
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants access to read and write Azure Kubernetes Service clusters",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
  "name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/read",
        "Microsoft.ContainerService/managedClusters/write",
        "Microsoft.Resources/deployments/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Contributor Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор RBAC для Службы Azure Kubernetes

Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Перечисляет учетные данные clusterUser управляемого кластера.
NotActions
Нет
Действия с данными
Microsoft.ContainerService/managedClusters/*
NotDataActions
Microsoft.ContainerService/managedClusters/resourcequotas/write Записывает resourcequotas.
Microsoft.ContainerService/managedClusters/resourcequotas/delete Удаляет resourcequotas.
Microsoft.ContainerService/managedClusters/namespaces/write Записывает namespaces.
Microsoft.ContainerService/managedClusters/namespaces/delete Удаляет namespaces.
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
  "name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/*"
      ],
      "notDataActions": [
        "Microsoft.ContainerService/managedClusters/resourcequotas/write",
        "Microsoft.ContainerService/managedClusters/resourcequotas/delete",
        "Microsoft.ContainerService/managedClusters/namespaces/write",
        "Microsoft.ContainerService/managedClusters/namespaces/delete"
      ]
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор кластера RBAC для Службы Azure Kubernetes

Позволяет управлять всеми ресурсами в кластере. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Перечисляет учетные данные clusterUser управляемого кластера.
NotActions
Нет
Действия с данными
Microsoft.ContainerService/managedClusters/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources in the cluster.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
  "name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель RBAC для службы Azure Kubernetes

Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read Считывает controllerrevisions.
Microsoft.ContainerService/managedClusters/apps/daemonsets/read Считывает daemonsets.
Microsoft.ContainerService/managedClusters/apps/deployments/read Считывает deployments.
Microsoft.ContainerService/managedClusters/apps/replicasets/read Считывает replicasets.
Microsoft.ContainerService/managedClusters/apps/statefulsets/read Считывает statefulsets.
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read Считывает horizontalpodautoscalers.
Microsoft.ContainerService/managedClusters/batch/cronjobs/read Считывает cronjobs.
Microsoft.ContainerService/managedClusters/batch/jobs/read Считывает jobs.
Microsoft.ContainerService/managedClusters/configmaps/read Считывает configmaps.
Microsoft.ContainerService/managedClusters/endpoints/read Считывает endpoints.
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read Считывает events.
Microsoft.ContainerService/managedClusters/events/read Считывает events.
Microsoft.ContainerService/managedClusters/extensions/daemonsets/read Считывает daemonsets.
Microsoft.ContainerService/managedClusters/extensions/deployments/read Считывает deployments.
Microsoft.ContainerService/managedClusters/extensions/ingresses/read Считывает ingresses.
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read Считывает networkpolicies.
Microsoft.ContainerService/managedClusters/extensions/replicasets/read Считывает replicasets.
Microsoft.ContainerService/managedClusters/limitranges/read Считывает limitranges.
Microsoft.ContainerService/managedClusters/namespaces/read Считывает namespaces.
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read Считывает ingresses.
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read Считывает networkpolicies.
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read Считывает persistentvolumeclaims.
Microsoft.ContainerService/managedClusters/pods/read Считывает pods.
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read Считывает poddisruptionbudgets.
Microsoft.ContainerService/managedClusters/replicationcontrollers/read Считывает replicationcontrollers.
Microsoft.ContainerService/managedClusters/replicationcontrollers/read Считывает replicationcontrollers.
Microsoft.ContainerService/managedClusters/resourcequotas/read Считывает resourcequotas.
Microsoft.ContainerService/managedClusters/serviceaccounts/read Считывает serviceaccounts.
Microsoft.ContainerService/managedClusters/services/read Считывает services.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
  "name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
        "Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
        "Microsoft.ContainerService/managedClusters/apps/deployments/read",
        "Microsoft.ContainerService/managedClusters/apps/replicasets/read",
        "Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
        "Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
        "Microsoft.ContainerService/managedClusters/batch/jobs/read",
        "Microsoft.ContainerService/managedClusters/configmaps/read",
        "Microsoft.ContainerService/managedClusters/endpoints/read",
        "Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
        "Microsoft.ContainerService/managedClusters/events/read",
        "Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
        "Microsoft.ContainerService/managedClusters/extensions/deployments/read",
        "Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
        "Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
        "Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
        "Microsoft.ContainerService/managedClusters/limitranges/read",
        "Microsoft.ContainerService/managedClusters/namespaces/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
        "Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
        "Microsoft.ContainerService/managedClusters/pods/read",
        "Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
        "Microsoft.ContainerService/managedClusters/resourcequotas/read",
        "Microsoft.ContainerService/managedClusters/serviceaccounts/read",
        "Microsoft.ContainerService/managedClusters/services/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Модуль записи RBAC для службы Azure Kubernetes

Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read Считывает controllerrevisions.
Microsoft.ContainerService/managedClusters/apps/daemonsets/*
Microsoft.ContainerService/managedClusters/apps/deployments/*
Microsoft.ContainerService/managedClusters/apps/replicasets/*
Microsoft.ContainerService/managedClusters/apps/statefulsets/*
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*
Microsoft.ContainerService/managedClusters/batch/cronjobs/*
Microsoft.ContainerService/managedClusters/batch/jobs/*
Microsoft.ContainerService/managedClusters/configmaps/*
Microsoft.ContainerService/managedClusters/endpoints/*
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read Считывает events.
Microsoft.ContainerService/managedClusters/events/read Считывает events.
Microsoft.ContainerService/managedClusters/extensions/daemonsets/*
Microsoft.ContainerService/managedClusters/extensions/deployments/*
Microsoft.ContainerService/managedClusters/extensions/ingresses/*
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*
Microsoft.ContainerService/managedClusters/extensions/replicasets/*
Microsoft.ContainerService/managedClusters/limitranges/read Считывает limitranges.
Microsoft.ContainerService/managedClusters/namespaces/read Считывает namespaces.
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*
Microsoft.ContainerService/managedClusters/pods/*
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*
Microsoft.ContainerService/managedClusters/replicationcontrollers/*
Microsoft.ContainerService/managedClusters/replicationcontrollers/*
Microsoft.ContainerService/managedClusters/resourcequotas/read Считывает resourcequotas.
Microsoft.ContainerService/managedClusters/secrets/*
Microsoft.ContainerService/managedClusters/serviceaccounts/*
Microsoft.ContainerService/managedClusters/services/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
  "name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
        "Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
        "Microsoft.ContainerService/managedClusters/apps/deployments/*",
        "Microsoft.ContainerService/managedClusters/apps/replicasets/*",
        "Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
        "Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
        "Microsoft.ContainerService/managedClusters/batch/jobs/*",
        "Microsoft.ContainerService/managedClusters/configmaps/*",
        "Microsoft.ContainerService/managedClusters/endpoints/*",
        "Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
        "Microsoft.ContainerService/managedClusters/events/read",
        "Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
        "Microsoft.ContainerService/managedClusters/extensions/deployments/*",
        "Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
        "Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
        "Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
        "Microsoft.ContainerService/managedClusters/limitranges/read",
        "Microsoft.ContainerService/managedClusters/namespaces/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
        "Microsoft.ContainerService/managedClusters/pods/*",
        "Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
        "Microsoft.ContainerService/managedClusters/resourcequotas/read",
        "Microsoft.ContainerService/managedClusters/secrets/*",
        "Microsoft.ContainerService/managedClusters/serviceaccounts/*",
        "Microsoft.ContainerService/managedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Базы данных

подключение Azure SQL Server

Предоставляет SQL Server доступ для чтения и записи к ресурсам Azure на серверах с поддержкой Arc. Подробнее

Действия Описание
Microsoft.AzureArcData/sqlServerInstances/read извлекает ресурс экземпляра SQL Server
Microsoft.AzureArcData/sqlServerInstances/write обновляет ресурс экземпляра SQL Server
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft.AzureArcData service role to access the resources of Microsoft.AzureArcData stored with RPSAAS.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e8113dce-c529-4d33-91fa-e9b972617508",
  "name": "e8113dce-c529-4d33-91fa-e9b972617508",
  "permissions": [
    {
      "actions": [
        "Microsoft.AzureArcData/sqlServerInstances/read",
        "Microsoft.AzureArcData/sqlServerInstances/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Connected SQL Server Onboarding",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль читателя учетных записей Cosmos DB

Позволяет считывать данные учетных записей Azure Cosmos DB. Сведения об управлении учетными записями Azure Cosmos DB см. в разделе Участник учетной записи DocumentDB. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.DocumentDB/*/read Чтение любой коллекции
Microsoft.DocumentDB/databaseAccounts/readonlykeys/action Считывает ключи только для чтения учетной записи базы данных.
Microsoft.Insights/MetricDefinitions/read Считывает определения метрик.
Microsoft.Insights/Metrics/read Считывает метрики.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read Azure Cosmos DB Accounts data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
  "name": "fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.DocumentDB/*/read",
        "Microsoft.DocumentDB/databaseAccounts/readonlykeys/action",
        "Microsoft.Insights/MetricDefinitions/read",
        "Microsoft.Insights/Metrics/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Cosmos DB Account Reader Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор Cosmos DB

Позволяет управлять учетными записями Azure Cosmos DB, но не доступом к данным. Предотвращает доступ к ключам учетной записи и строкам подключения. Подробнее

Действия Описание
Microsoft.DocumentDb/databaseAccounts/*
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений.
NotActions
Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*
Microsoft.DocumentDB/databaseAccounts/regenerateKey/*
Microsoft.DocumentDB/databaseAccounts/listKeys/*
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*
Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write Создание или обновление определения роли SQL.
Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete Удаление определения роли SQL.
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Создание или обновление назначения роли SQL.
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Удаление назначения роли SQL.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa",
  "name": "230815da-be43-4aae-9cb4-875f7bd000aa",
  "permissions": [
    {
      "actions": [
        "Microsoft.DocumentDb/databaseAccounts/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
      ],
      "notActions": [
        "Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*",
        "Microsoft.DocumentDB/databaseAccounts/regenerateKey/*",
        "Microsoft.DocumentDB/databaseAccounts/listKeys/*",
        "Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*",
        "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write",
        "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete",
        "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write",
        "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Cosmos DB Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

CosmosBackupOperator

Позволяет отправлять запрос на восстановление контейнера или базы данных Cosmos DB для учетной записи. Подробнее

Действия Описание
Microsoft.DocumentDB/databaseAccounts/backup/action Отправка запроса на настройку резервного копирования
Microsoft.DocumentDB/databaseAccounts/restore/action Отправка запроса восстановления
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can submit restore request for a Cosmos DB database or a container for an account",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/db7b14f2-5adf-42da-9f96-f2ee17bab5cb",
  "name": "db7b14f2-5adf-42da-9f96-f2ee17bab5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.DocumentDB/databaseAccounts/backup/action",
        "Microsoft.DocumentDB/databaseAccounts/restore/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "CosmosBackupOperator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

CosmosRestoreOperator

Может выполнять действие восстановления для учетной записи базы данных Cosmos DB в режиме непрерывного резервного копирования.

Действия Описание
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action Отправка запроса восстановления
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read Чтение восстанавливаемой учетной записи базы данных или вывод списка всех таких учетных записей.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can perform restore action for Cosmos DB database account with continuous backup mode",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5432c526-bc82-444a-b7ba-57c5b0b5b34f",
  "name": "5432c526-bc82-444a-b7ba-57c5b0b5b34f",
  "permissions": [
    {
      "actions": [
        "Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action",
        "Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read",
        "Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "CosmosRestoreOperator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник учетной записи DocumentDB

Может управлять учетными записями Azure Cosmos DB Служба Azure Cosmos DB раньше называлась DocumentDB. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.DocumentDb/databaseAccounts/* Создание учетных записей Azure Cosmos DB и управление ими
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage DocumentDB accounts, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5bd9cd88-fe45-4216-938b-f97437e15450",
  "name": "5bd9cd88-fe45-4216-938b-f97437e15450",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.DocumentDb/databaseAccounts/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "DocumentDB Account Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник кэша Redis

Позволяет управлять кэшем Redis, но не доступом к нему.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Cache/register/action Регистрирует поставщик ресурсов Microsoft.Cache для подписки.
Microsoft.Cache/redis/* Создание кэшей Redis и управление ими
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage Redis caches, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e0f68234-74aa-48ed-b826-c38b57376e17",
  "name": "e0f68234-74aa-48ed-b826-c38b57376e17",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Cache/register/action",
        "Microsoft.Cache/redis/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Redis Cache Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник БД SQL

Позволяет управлять базами данных SQL, но не доступом к ним. Кроме того, не позволяет управлять их политиками безопасности или родительскими серверами SQL Server. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Sql/locations/*/read
Microsoft.Sql/servers/databases/* Создание баз данных SQL и управление ими
Microsoft.Sql/servers/read Возвращение списка серверов или получение свойств для указанного сервера.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.Insights/metricDefinitions/read Считывает определения метрик.
NotActions
Microsoft.Sql/servers/databases/ledgerDigestUploads/write Включение передачи хэш-кодов реестра.
Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action Отключение передачи хэш-кодов реестра.
Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*
Microsoft.Sql/managedInstances/databases/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*
Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/auditingSettings/* Изменение параметров аудита.
Microsoft.Sql/servers/databases/auditRecords/read Извлекает записи аудита больших двоичных объектов для базы данных.
Microsoft.Sql/servers/databases/currentSensitivityLabels/*
Microsoft.Sql/servers/databases/dataMaskingPolicies/* Изменение политик маскирования данных.
Microsoft.Sql/servers/databases/extendedAuditingSettings/*
Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/servers/databases/securityAlertPolicies/* Изменение политик оповещения системы безопасности.
Microsoft.Sql/servers/databases/securityMetrics/* Изменение метрик безопасности.
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*
Microsoft.Sql/servers/vulnerabilityAssessments/*
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage SQL databases, but not access to them. Also, you can't manage their security-related policies or their parent SQL servers.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/9b7fa17d-e63e-47b0-bb0a-15c516ac86ec",
  "name": "9b7fa17d-e63e-47b0-bb0a-15c516ac86ec",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Sql/locations/*/read",
        "Microsoft.Sql/servers/databases/*",
        "Microsoft.Sql/servers/read",
        "Microsoft.Support/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read"
      ],
      "notActions": [
        "Microsoft.Sql/servers/databases/ledgerDigestUploads/write",
        "Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action",
        "Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/managedInstances/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/databases/auditingSettings/*",
        "Microsoft.Sql/servers/databases/auditRecords/read",
        "Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
        "Microsoft.Sql/servers/databases/extendedAuditingSettings/*",
        "Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/securityAlertPolicies/*",
        "Microsoft.Sql/servers/databases/securityMetrics/*",
        "Microsoft.Sql/servers/databases/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
        "Microsoft.Sql/servers/vulnerabilityAssessments/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SQL DB Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник управляемого экземпляра SQL

Позволяет управлять управляемыми экземплярами SQL и требуемой конфигурацией сети, но не предоставлять к ним доступ.

Действия Описание
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Network/networkSecurityGroups/*
Microsoft.Network/routeTables/*
Microsoft.Sql/locations/*/read
Microsoft.Sql/locations/instanceFailoverGroups/*
Microsoft.Sql/managedInstances/*
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Network/virtualNetworks/subnets/*
Microsoft.Network/virtualNetworks/*
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.Insights/metricDefinitions/read Считывает определения метрик.
NotActions
Microsoft.Sql/managedInstances/azureADOnlyAuthentications/delete Удаляет только объект проверки подлинности Azure Active Directory указанного управляемого сервера.
Microsoft.Sql/managedInstances/azureADOnlyAuthentications/write Добавляет или обновляет только объект проверки подлинности Azure Active Directory указанного управляемого сервера.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage SQL Managed Instances and required network configuration, but can't give access to others.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4939a1f6-9ae0-4e48-a1e0-f2cbe897382d",
  "name": "4939a1f6-9ae0-4e48-a1e0-f2cbe897382d",
  "permissions": [
    {
      "actions": [
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Network/networkSecurityGroups/*",
        "Microsoft.Network/routeTables/*",
        "Microsoft.Sql/locations/*/read",
        "Microsoft.Sql/locations/instanceFailoverGroups/*",
        "Microsoft.Sql/managedInstances/*",
        "Microsoft.Support/*",
        "Microsoft.Network/virtualNetworks/subnets/*",
        "Microsoft.Network/virtualNetworks/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read"
      ],
      "notActions": [
        "Microsoft.Sql/managedInstances/azureADOnlyAuthentications/delete",
        "Microsoft.Sql/managedInstances/azureADOnlyAuthentications/write"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SQL Managed Instance Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Диспетчер безопасности SQL

Позволяет управлять политиками безопасности серверов SQL Server и баз данных SQL, но не доступом к ним. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Sql/locations/administratorAzureAsyncOperation/read Возвращает результат операций асинхронного администрирования Azure для управляемого экземпляра.
Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*
Microsoft.Sql/managedInstances/databases/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*
Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/databases/transparentDataEncryption/*
Microsoft.Sql/managedInstances/vulnerabilityAssessments/*
Microsoft.Sql/servers/auditingSettings/* Создание параметров аудита SQL Server и управление ими
Microsoft.Sql/servers/extendedAuditingSettings/read Извлечение сведений о расширенной политике аудита больших двоичных объектов, настроенной на заданном сервере.
Microsoft.Sql/servers/databases/auditingSettings/* Создание параметров аудита баз данных SQL Server и управление ими
Microsoft.Sql/servers/databases/auditRecords/read Извлекает записи аудита больших двоичных объектов для базы данных.
Microsoft.Sql/servers/databases/currentSensitivityLabels/*
Microsoft.Sql/servers/databases/dataMaskingPolicies/* Создание политик маскирования данных баз данных SQL Server и управление ими
Microsoft.Sql/servers/databases/extendedAuditingSettings/read Извлечение сведений о расширенной политике аудита больших двоичных объектов, настроенной для заданной базы данных.
Microsoft.Sql/servers/databases/read Возвращение списка баз данных или возвращение свойств указанной базы данных.
Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
Microsoft.Sql/servers/databases/schemas/read Получение схемы базы данных.
Microsoft.Sql/servers/databases/schemas/tables/columns/read Получение столбца базы данных.
Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/servers/databases/schemas/tables/read Получение таблицы базы данных.
Microsoft.Sql/servers/databases/securityAlertPolicies/* Создание политик оповещения системы безопасности баз данных SQL Server и управление ими
Microsoft.Sql/servers/databases/securityMetrics/* Создание метрик безопасности базы данных SQL и управление ими
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/transparentDataEncryption/*
Microsoft.Sql/servers/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*
Microsoft.Sql/servers/devOpsAuditingSettings/*
Microsoft.Sql/servers/firewallRules/*
Microsoft.Sql/servers/read Возвращение списка серверов или получение свойств для указанного сервера.
Microsoft.Sql/servers/securityAlertPolicies/* Создание политик оповещения системы безопасности SQL Server и управление ими
Microsoft.Sql/servers/vulnerabilityAssessments/*
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Sql/servers/azureADOnlyAuthentications/*
Microsoft.Sql/managedInstances/read Возвращение списка управляемых экземпляров или получение свойств указанного управляемого экземпляра.
Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
Microsoft.Security/sqlVulnerabilityAssessments/*
Microsoft.Sql/managedInstances/administrators/read Получение списка администраторов управляемого экземпляра.
Microsoft.Sql/servers/administrators/read Возвращает конкретный объект Azure Active Directory администратора.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage the security-related policies of SQL servers and databases, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/056cd41c-7e88-42e1-933e-88ba6a50c9c3",
  "name": "056cd41c-7e88-42e1-933e-88ba6a50c9c3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Sql/locations/administratorAzureAsyncOperation/read",
        "Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/managedInstances/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/databases/transparentDataEncryption/*",
        "Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/auditingSettings/*",
        "Microsoft.Sql/servers/extendedAuditingSettings/read",
        "Microsoft.Sql/servers/databases/auditingSettings/*",
        "Microsoft.Sql/servers/databases/auditRecords/read",
        "Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
        "Microsoft.Sql/servers/databases/extendedAuditingSettings/read",
        "Microsoft.Sql/servers/databases/read",
        "Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/schemas/read",
        "Microsoft.Sql/servers/databases/schemas/tables/columns/read",
        "Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/schemas/tables/read",
        "Microsoft.Sql/servers/databases/securityAlertPolicies/*",
        "Microsoft.Sql/servers/databases/securityMetrics/*",
        "Microsoft.Sql/servers/databases/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/transparentDataEncryption/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
        "Microsoft.Sql/servers/devOpsAuditingSettings/*",
        "Microsoft.Sql/servers/firewallRules/*",
        "Microsoft.Sql/servers/read",
        "Microsoft.Sql/servers/securityAlertPolicies/*",
        "Microsoft.Sql/servers/vulnerabilityAssessments/*",
        "Microsoft.Support/*",
        "Microsoft.Sql/servers/azureADOnlyAuthentications/*",
        "Microsoft.Sql/managedInstances/read",
        "Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*",
        "Microsoft.Security/sqlVulnerabilityAssessments/*",
        "Microsoft.Sql/managedInstances/administrators/read",
        "Microsoft.Sql/servers/administrators/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SQL Security Manager",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник SQL Server

Позволяет управлять серверами SQL Server и базами данных SQL, но не доступом к ним и их политиками безопасности. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Sql/locations/*/read
Microsoft.Sql/servers/* Создание серверов SQL Server и управление ими
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.Insights/metricDefinitions/read Считывает определения метрик.
NotActions
Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*
Microsoft.Sql/managedInstances/databases/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*
Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/vulnerabilityAssessments/*
Microsoft.Sql/servers/auditingSettings/* Изменение параметров аудита SQL Server.
Microsoft.Sql/servers/databases/auditingSettings/* Изменение параметров аудита баз данных SQL Server.
Microsoft.Sql/servers/databases/auditRecords/read Извлекает записи аудита больших двоичных объектов для базы данных.
Microsoft.Sql/servers/databases/currentSensitivityLabels/*
Microsoft.Sql/servers/databases/dataMaskingPolicies/* Изменение политик маскирования данных баз данных SQL Server.
Microsoft.Sql/servers/databases/extendedAuditingSettings/*
Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/servers/databases/securityAlertPolicies/* Изменение политик оповещения системы безопасности баз данных SQL Server.
Microsoft.Sql/servers/databases/securityMetrics/* Изменение метрик безопасности баз данных SQL Server.
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*
Microsoft.Sql/servers/devOpsAuditingSettings/*
Microsoft.Sql/servers/extendedAuditingSettings/*
Microsoft.Sql/servers/securityAlertPolicies/* Изменение политик оповещения системы безопасности SQL Server.
Microsoft.Sql/servers/vulnerabilityAssessments/*
Microsoft.Sql/servers/azureADOnlyAuthentications/delete Удаляет только объект проверки подлинности Azure Active Directory указанного сервера.
Microsoft.Sql/servers/azureADOnlyAuthentications/write Добавляет или обновляет только объект проверки подлинности Azure Active Directory указанного сервера.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage SQL servers and databases, but not access to them, and not their security -related policies.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437",
  "name": "6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Sql/locations/*/read",
        "Microsoft.Sql/servers/*",
        "Microsoft.Support/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read"
      ],
      "notActions": [
        "Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/managedInstances/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/auditingSettings/*",
        "Microsoft.Sql/servers/databases/auditingSettings/*",
        "Microsoft.Sql/servers/databases/auditRecords/read",
        "Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
        "Microsoft.Sql/servers/databases/extendedAuditingSettings/*",
        "Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/securityAlertPolicies/*",
        "Microsoft.Sql/servers/databases/securityMetrics/*",
        "Microsoft.Sql/servers/databases/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
        "Microsoft.Sql/servers/devOpsAuditingSettings/*",
        "Microsoft.Sql/servers/extendedAuditingSettings/*",
        "Microsoft.Sql/servers/securityAlertPolicies/*",
        "Microsoft.Sql/servers/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/azureADOnlyAuthentications/delete",
        "Microsoft.Sql/servers/azureADOnlyAuthentications/write"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SQL Server Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Analytics

Владелец данных Центров событий Azure

Разрешает полный доступ к ресурсам Центров событий Azure. Подробнее

Действия Описание
Microsoft.EventHub/*
NotActions
Нет
Действия с данными
Microsoft.EventHub/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for full access to Azure Event Hubs resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f526a384-b230-433a-b45c-95f59c4a2dec",
  "name": "f526a384-b230-433a-b45c-95f59c4a2dec",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventHub/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.EventHub/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Event Hubs Data Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Получатель данных Центров событий Azure

Разрешает полный доступ к ресурсам Центров событий Azure. Подробнее

Действия Описание
Microsoft.EventHub/*/eventhubs/consumergroups/read
NotActions
Нет
Действия с данными
Microsoft.EventHub/*/receive/action
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows receive access to Azure Event Hubs resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a638d3c7-ab3a-418d-83e6-5f17a39d4fde",
  "name": "a638d3c7-ab3a-418d-83e6-5f17a39d4fde",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventHub/*/eventhubs/consumergroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.EventHub/*/receive/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Event Hubs Data Receiver",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Отправитель данных Центров событий Azure

Разрешает полный доступ к ресурсам Центров событий Azure. Подробнее

Действия Описание
Microsoft.EventHub/*/eventhubs/read
NotActions
Нет
Действия с данными
Microsoft.EventHub/*/send/action
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows send access to Azure Event Hubs resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2b629674-e913-4c01-ae53-ef4638d8f975",
  "name": "2b629674-e913-4c01-ae53-ef4638d8f975",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventHub/*/eventhubs/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.EventHub/*/send/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Event Hubs Data Sender",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник фабрики данных

Создание фабрик данных и управление ими, а также их дочерними ресурсами. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.DataFactory/dataFactories/* Создание фабрик данных и дочерних ресурсов внутри их, а также управление ими.
Microsoft.DataFactory/factories/* Создание фабрик данных и дочерних ресурсов внутри их, а также управление ими.
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.EventGrid/eventSubscriptions/write Создание или обновление eventSubscription
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create and manage data factories, as well as child resources within them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/673868aa-7521-48a0-acc6-0f60742d39f5",
  "name": "673868aa-7521-48a0-acc6-0f60742d39f5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.DataFactory/dataFactories/*",
        "Microsoft.DataFactory/factories/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.EventGrid/eventSubscriptions/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Data Factory Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Средство очистки данных

Удаление личных данных из рабочей области Log Analytics. Подробнее

Действия Описание
Microsoft.Insights/components/*/read
Microsoft.Insights/components/purge/action Очистка данных Application Insights.
Microsoft.OperationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.OperationalInsights/workspaces/purge/action Удаление указанных данных из рабочей области.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can purge analytics data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/150f5e0c-0603-4f03-8c7f-cf70034c4e90",
  "name": "150f5e0c-0603-4f03-8c7f-cf70034c4e90",
  "permissions": [
    {
      "actions": [
        "Microsoft.Insights/components/*/read",
        "Microsoft.Insights/components/purge/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/purge/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Data Purger",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор кластера HDInsight

Позволяет считывать и изменять конфигурации кластера HDInsight. Подробнее

Действия Описание
Microsoft.HDInsight/*/read
Microsoft.HDInsight/clusters/getGatewaySettings/action Получение параметров шлюза для кластера HDInsight
Microsoft.HDInsight/clusters/updateGatewaySettings/action Обновление параметров шлюза для кластера HDInsight
Microsoft.HDInsight/clusters/configurations/*
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Resources/deployments/operations/read Возвращает операции развертывания или выводит их список.
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you read and modify HDInsight cluster configurations.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/61ed4efc-fab3-44fd-b111-e24485cc132a",
  "name": "61ed4efc-fab3-44fd-b111-e24485cc132a",
  "permissions": [
    {
      "actions": [
        "Microsoft.HDInsight/*/read",
        "Microsoft.HDInsight/clusters/getGatewaySettings/action",
        "Microsoft.HDInsight/clusters/updateGatewaySettings/action",
        "Microsoft.HDInsight/clusters/configurations/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "HDInsight Cluster Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник доменных служб HDInsight

Позволяет читать, создавать, изменять и удалять операции, связанные с доменными службами, необходимыми для Корпоративного пакета безопасности HDInsight. Подробнее

Действия Описание
Microsoft.AAD/*/read
Microsoft.AAD/domainServices/*/read
Microsoft.AAD/domainServices/oucontainer/*
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can Read, Create, Modify and Delete Domain Services related operations needed for HDInsight Enterprise Security Package",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8d8d5a11-05d3-4bda-a417-a08778121c7c",
  "name": "8d8d5a11-05d3-4bda-a417-a08778121c7c",
  "permissions": [
    {
      "actions": [
        "Microsoft.AAD/*/read",
        "Microsoft.AAD/domainServices/*/read",
        "Microsoft.AAD/domainServices/oucontainer/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "HDInsight Domain Services Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

участник Log Analytics.

Участник Log Analytics может считывать все данные мониторинга и изменять параметры мониторинга. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, добавление решений и настройку диагностики Azure во всех ресурсах Azure. Подробнее

Действия Описание
*/чтение Чтение ресурсов всех типов, кроме секретов.
Microsoft.ClassicCompute/virtualMachines/extensions/*
Microsoft.ClassicStorage/storageAccounts/listKeys/action Отображает ключи доступа для учетных записей хранения.
Microsoft.Compute/virtualMachines/extensions/*
Microsoft.HybridCompute/machines/extensions/write Установка или обновление расширения Arc Azure
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/diagnosticSettings/* Создание, обновление или считывание параметра диагностики для сервера анализа данных.
Microsoft.OperationalInsights/*
Microsoft.OperationsManagement/*
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Storage/storageAccounts/listKeys/action Возвращает ключи доступа для указанной учетной записи хранения.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Log Analytics Contributor can read all monitoring data and edit monitoring settings. Editing monitoring settings includes adding the VM extension to VMs; reading storage account keys to be able to configure collection of logs from Azure Storage; adding solutions; and configuring Azure diagnostics on all Azure resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/92aaf0da-9dab-42b6-94a3-d43ce8d16293",
  "name": "92aaf0da-9dab-42b6-94a3-d43ce8d16293",
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.ClassicCompute/virtualMachines/extensions/*",
        "Microsoft.ClassicStorage/storageAccounts/listKeys/action",
        "Microsoft.Compute/virtualMachines/extensions/*",
        "Microsoft.HybridCompute/machines/extensions/write",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/diagnosticSettings/*",
        "Microsoft.OperationalInsights/*",
        "Microsoft.OperationsManagement/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Log Analytics Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

читатель Log Analytics;

Читатель Log Analytics может просматривать все данные мониторинга, выполнять по ним поиск и просматривать параметры мониторинга, в том числе конфигурацию системы диагностики Azure для всех ресурсов Azure. Подробнее

Действия Описание
*/чтение Чтение ресурсов всех типов, кроме секретов.
Microsoft.OperationalInsights/workspaces/analytics/query/action Поиск с помощью нового механизма.
Microsoft.OperationalInsights/workspaces/search/action Выполняет поисковый запрос.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.OperationalInsights/workspaces/sharedKeys/read Извлекает открытые ключи для рабочей области. Эти ключи используются для подключения агентов Microsoft Operational Insights к рабочей области.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Log Analytics Reader can view and search all monitoring data as well as and view monitoring settings, including viewing the configuration of Azure diagnostics on all Azure resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/73c42c96-874c-492b-b04d-ab87d138a893",
  "name": "73c42c96-874c-492b-b04d-ab87d138a893",
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/search/action",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.OperationalInsights/workspaces/sharedKeys/read"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Log Analytics Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Зрения Data пленку (устаревший)

Пленку данных Microsoft. зрения — это устаревшая роль, которая может создавать, читать, изменять и удалять объекты данных каталога и устанавливать связи между объектами. Мы недавно настроили эту роль из доступа на основе ролей Azure и предоставили новый пленку данных внутри плоскости Azure зрения Data. См. раздел Управление доступом в Azure зрения. роли .

Действия Описание
Microsoft.Purview/accounts/read Чтение ресурса учетной записи для поставщика Microsoft Purview.
NotActions
Нет
Действия с данными
Microsoft.Purview/accounts/data/read Чтение объектов данных.
Microsoft.Purview/accounts/data/write Создание, обновление и удаление объектов данных.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "The Microsoft.Purview data curator is a legacy role that can create, read, modify and delete catalog data objects and establish relationships between objects. We have recently deprecated this role from Azure role-based access and introduced a new data curator inside Azure Purview data plane. See https://docs.microsoft.com/azure/purview/catalog-permissions#roles",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8a3c2885-9b38-4fd2-9d99-91af537c1347",
  "name": "8a3c2885-9b38-4fd2-9d99-91af537c1347",
  "permissions": [
    {
      "actions": [
        "Microsoft.Purview/accounts/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Purview/accounts/data/read",
        "Microsoft.Purview/accounts/data/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Purview Data Curator (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Модуль чтения данных зрения (устаревший)

Модуль чтения данных Microsoft. зрения — это устаревшая роль, которая может считывать объекты данных каталога. Мы недавно настроили эту роль из доступа на основе ролей Azure и предоставили новый модуль чтения данных в Azure зрения Data плоскость. См. раздел Управление доступом в Azure зрения. роли .

Действия Описание
Microsoft.Purview/accounts/read Чтение ресурса учетной записи для поставщика Microsoft Purview.
NotActions
Нет
Действия с данными
Microsoft.Purview/accounts/data/read Чтение объектов данных.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "The Microsoft.Purview data reader is a legacy role that can read catalog data objects. We have recently deprecated this role from Azure role-based access and introduced a new data reader inside Azure Purview data plane. See https://docs.microsoft.com/azure/purview/catalog-permissions#roles",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ff100721-1b9d-43d8-af52-42b69c1272db",
  "name": "ff100721-1b9d-43d8-af52-42b69c1272db",
  "permissions": [
    {
      "actions": [
        "Microsoft.Purview/accounts/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Purview/accounts/data/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Purview Data Reader (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор источника данных зрения (прежний)

Администратор источника данных Microsoft. зрения — это устаревшая роль, которая может управлять источниками данных и просмотрами данных. Мы недавно настроили эту роль из доступа на основе ролей Azure и предоставили новый администратор источника данных в Azure зрения Data плоскость. См. раздел Управление доступом в Azure зрения. роли .

Действия Описание
Microsoft.Purview/accounts/read Чтение ресурса учетной записи для поставщика Microsoft Purview.
NotActions
Нет
Действия с данными
Microsoft.Purview/accounts/scan/read Чтение источников данных и проверок.
Microsoft.Purview/accounts/scan/write Создание, обновление и удаление источников данных и управление проверками.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "The Microsoft.Purview data source administrator is a legacy role that can manage data sources and data scans. We have recently deprecated this role from Azure role-based access and introduced a new data source admin inside Azure Purview data plane. See https://docs.microsoft.com/azure/purview/catalog-permissions#roles",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/200bba9e-f0c8-430f-892b-6f0794863803",
  "name": "200bba9e-f0c8-430f-892b-6f0794863803",
  "permissions": [
    {
      "actions": [
        "Microsoft.Purview/accounts/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Purview/accounts/scan/read",
        "Microsoft.Purview/accounts/scan/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Purview Data Source Administrator (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник реестра схем (предварительная версия)

Чтение, запись и удаление групп и схем реестра схем.

Действия Описание
Microsoft.EventHub/namespaces/schemagroups/*
NotActions
Нет
Действия с данными
Microsoft.EventHub/namespaces/schemas/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read, write, and delete Schema Registry groups and schemas.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5dffeca3-4936-4216-b2bc-10343a5abb25",
  "name": "5dffeca3-4936-4216-b2bc-10343a5abb25",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventHub/namespaces/schemagroups/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.EventHub/namespaces/schemas/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Schema Registry Contributor (Preview)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель реестра схем (предварительная версия)

Чтение и перечисление групп и схем в реестре схем.

Действия Описание
Microsoft.EventHub/namespaces/schemagroups/read Возвращает список описаний ресурсов группы схем.
NotActions
Нет
Действия с данными
Microsoft.EventHub/namespaces/schemas/read Получение схем.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read and list Schema Registry groups and schemas.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2c56ea50-c6b3-40a6-83c0-9d98858bc7d2",
  "name": "2c56ea50-c6b3-40a6-83c0-9d98858bc7d2",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventHub/namespaces/schemagroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.EventHub/namespaces/schemas/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Schema Registry Reader (Preview)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Блокчейн

Доступ к узлам элементов блокчейна (предварительная версия)

Разрешает доступ к узлам элементов блокчейна. Подробнее

Действия Описание
Microsoft.Blockchain/blockchainMembers/transactionNodes/read Возвращает или перечисляет существующие узлы транзакций элемента блокчейна.
NotActions
Нет
Действия с данными
Microsoft.Blockchain/blockchainMembers/transactionNodes/connect/action Подключается к узлу транзакции элемента блокчейна.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for access to Blockchain Member nodes",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/31a002a1-acaf-453e-8a5b-297c9ca1ea24",
  "name": "31a002a1-acaf-453e-8a5b-297c9ca1ea24",
  "permissions": [
    {
      "actions": [
        "Microsoft.Blockchain/blockchainMembers/transactionNodes/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Blockchain/blockchainMembers/transactionNodes/connect/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Blockchain Member Node Access (Preview)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

ИИ и машинное обучение

Специалист по обработке и анализу данных MLflow

Может выполнять все действия в рабочей области Машинного обучения Azure, кроме создания и удаления вычислительных ресурсов и изменения самой рабочей области.

Действия Описание
Microsoft.MachineLearningServices/workspaces/*/read
Microsoft.MachineLearningServices/workspaces/*/action
Microsoft.MachineLearningServices/workspaces/*/delete
Microsoft.MachineLearningServices/workspaces/*/write
NotActions
Microsoft.MachineLearningServices/workspaces/delete Удаляет рабочие области служб машинного обучения.
Microsoft.MachineLearningServices/workspaces/write Создает или обновляет рабочие области служб машинного обучения.
Microsoft.MachineLearningServices/workspaces/computes/*/write
Microsoft.MachineLearningServices/workspaces/computes/*/delete
Microsoft.MachineLearningServices/workspaces/computes/listKeys/action Выводит список секретов для вычислительных ресурсов в рабочей области служб машинного обучения.
Microsoft.MachineLearningServices/workspaces/listKeys/action Выводит список секретов для рабочей области служб машинного обучения.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can perform all actions within an Azure Machine Learning workspace, except for creating or deleting compute resources and modifying the workspace itself.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f6c7c914-8db3-469d-8ca1-694a8f32e121",
  "name": "f6c7c914-8db3-469d-8ca1-694a8f32e121",
  "permissions": [
    {
      "actions": [
        "Microsoft.MachineLearningServices/workspaces/*/read",
        "Microsoft.MachineLearningServices/workspaces/*/action",
        "Microsoft.MachineLearningServices/workspaces/*/delete",
        "Microsoft.MachineLearningServices/workspaces/*/write"
      ],
      "notActions": [
        "Microsoft.MachineLearningServices/workspaces/delete",
        "Microsoft.MachineLearningServices/workspaces/write",
        "Microsoft.MachineLearningServices/workspaces/computes/*/write",
        "Microsoft.MachineLearningServices/workspaces/computes/*/delete",
        "Microsoft.MachineLearningServices/workspaces/computes/listKeys/action",
        "Microsoft.MachineLearningServices/workspaces/listKeys/action"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AzureML Data Scientist",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник служб Cognitive Services

Позволяет создавать, читать, обновлять, удалять ключи служб Cognitive Services и управлять ими. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.CognitiveServices/*
Microsoft.Features/features/read Возвращает функции подписки.
Microsoft.Features/providers/features/read Возвращает функцию подписки в заданном поставщике ресурсов.
Microsoft.Features/providers/features/register/action Регистрирует функцию для подписки в заданном поставщике ресурсов.
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/diagnosticSettings/* Создание, обновление или считывание параметра диагностики для сервера анализа данных.
Microsoft.Insights/logDefinitions/read Считывает определения журналов.
Microsoft.Insights/metricdefinitions/read Считывает определения метрик.
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/deployments/operations/read Возвращает операции развертывания или выводит их список.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourcegroups/deployments/*
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you create, read, update, delete and manage keys of Cognitive Services.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68",
  "name": "25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.CognitiveServices/*",
        "Microsoft.Features/features/read",
        "Microsoft.Features/providers/features/read",
        "Microsoft.Features/providers/features/register/action",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/diagnosticSettings/*",
        "Microsoft.Insights/logDefinitions/read",
        "Microsoft.Insights/metricdefinitions/read",
        "Microsoft.Insights/metrics/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourcegroups/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Cognitive Services Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник Пользовательского визуального распознавания Cognitive Services

Полный доступ к проектам, включая возможность создавать, редактировать или удалять проекты. Подробнее

Действия Описание
Microsoft.CognitiveServices/*/read
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/accounts/CustomVision/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Full access to the project, including the ability to view, create, edit, or delete projects.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c1ff6cc2-c111-46fe-8896-e0ef812ad9f3",
  "name": "c1ff6cc2-c111-46fe-8896-e0ef812ad9f3",
  "permissions": [
    {
      "actions": [
        "Microsoft.CognitiveServices/*/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/accounts/CustomVision/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Cognitive Services Custom Vision Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Развертывание Пользовательского визуального распознавания Cognitive Services

Публикация, отмена публикации или экспорт моделей. Роль развертывания дает возможность просматривать проект, но не позволяет выполнять обновления. Подробнее

Действия Описание
Microsoft.CognitiveServices/*/read
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/accounts/CustomVision/*/read
Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/*
Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/publish/*
Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/export/*
Microsoft.CognitiveServices/accounts/CustomVision/projects/quicktest/*
Microsoft.CognitiveServices/accounts/CustomVision/classify/*
Microsoft.CognitiveServices/accounts/CustomVision/detect/*
NotDataActions
Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read Экспортирует проект.
{
  "assignableScopes": [
    "/"
  ],
  "description": "Publish, unpublish or export models. Deployment can view the project but can't update.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5c4089e1-6d96-4d2f-b296-c1bc7137275f",
  "name": "5c4089e1-6d96-4d2f-b296-c1bc7137275f",
  "permissions": [
    {
      "actions": [
        "Microsoft.CognitiveServices/*/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/accounts/CustomVision/*/read",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/*",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/publish/*",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/iterations/export/*",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/quicktest/*",
        "Microsoft.CognitiveServices/accounts/CustomVision/classify/*",
        "Microsoft.CognitiveServices/accounts/CustomVision/detect/*"
      ],
      "notDataActions": [
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
      ]
    }
  ],
  "roleName": "Cognitive Services Custom Vision Deployment",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Разработчик тегов Пользовательского визуального распознавания Cognitive Services

Просмотр и изменение обучающих изображений, а также создание, добавление и удаление тегов изображений. Разработчики тегов могут просматривать проекты, но не могут изменять ничего, кроме обучающих изображений и тегов. Подробнее

Действия Описание
Microsoft.CognitiveServices/*/read
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/accounts/CustomVision/*/read
Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action Получение изображений, отправленных в конечную точку прогнозирования.
Microsoft.CognitiveServices/accounts/CustomVision/projects/images/*
Microsoft.CognitiveServices/accounts/CustomVision/projects/tags/*
Microsoft.CognitiveServices/accounts/CustomVision/projects/images/suggested/*
Microsoft.CognitiveServices/accounts/CustomVision/projects/tagsandregions/suggestions/action Этот API будет получать предложенные теги и регионы для массива или пакета изображений без тегов вместе со сведениями о достоверности тегов. Если теги не найдены, возвращается пустой массив.
NotDataActions
Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read Экспортирует проект.
{
  "assignableScopes": [
    "/"
  ],
  "description": "View, edit training images and create, add, remove, or delete the image tags. Labelers can view the project but can't update anything other than training images and tags.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/88424f51-ebe7-446f-bc41-7fa16989e96c",
  "name": "88424f51-ebe7-446f-bc41-7fa16989e96c",
  "permissions": [
    {
      "actions": [
        "Microsoft.CognitiveServices/*/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/accounts/CustomVision/*/read",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/images/*",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/tags/*",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/images/suggested/*",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/tagsandregions/suggestions/action"
      ],
      "notDataActions": [
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
      ]
    }
  ],
  "roleName": "Cognitive Services Custom Vision Labeler",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель Пользовательского визуального распознавания Cognitive Services

Действия с доступом только для чтения в проекте. Читатели не могут создавать или обновлять проекты. Подробнее

Действия Описание
Microsoft.CognitiveServices/*/read
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/accounts/CustomVision/*/read
Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action Получение изображений, отправленных в конечную точку прогнозирования.
NotDataActions
Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read Экспортирует проект.
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read-only actions in the project. Readers can't create or update the project.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/93586559-c37d-4a6b-ba08-b9f0940c2d73",
  "name": "93586559-c37d-4a6b-ba08-b9f0940c2d73",
  "permissions": [
    {
      "actions": [
        "Microsoft.CognitiveServices/*/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/accounts/CustomVision/*/read",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/predictions/query/action"
      ],
      "notDataActions": [
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
      ]
    }
  ],
  "roleName": "Cognitive Services Custom Vision Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Средство обучения Пользовательского визуального распознавания Cognitive Services

Просмотр, изменение проектов и обучение моделей, включая возможность публикации, отмены публикации и экспорта моделей. Средства обучения не могут создать или удалять проекты. Подробнее

Действия Описание
Microsoft.CognitiveServices/*/read
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/accounts/CustomVision/*
NotDataActions
Microsoft.CognitiveServices/accounts/CustomVision/projects/action Создайте проект.
Microsoft.CognitiveServices/accounts/CustomVision/projects/delete Удаляет указанный проект.
Microsoft.CognitiveServices/accounts/CustomVision/projects/import/action Импортирует проект.
Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read Экспортирует проект.
{
  "assignableScopes": [
    "/"
  ],
  "description": "View, edit projects and train the models, including the ability to publish, unpublish, export the models. Trainers can't create or delete the project.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0a5ae4ab-0d65-4eeb-be61-29fc9b54394b",
  "name": "0a5ae4ab-0d65-4eeb-be61-29fc9b54394b",
  "permissions": [
    {
      "actions": [
        "Microsoft.CognitiveServices/*/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/accounts/CustomVision/*"
      ],
      "notDataActions": [
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/action",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/delete",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/import/action",
        "Microsoft.CognitiveServices/accounts/CustomVision/projects/export/read"
      ]
    }
  ],
  "roleName": "Cognitive Services Custom Vision Trainer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Модуль чтения данных Cognitive Services (предварительная версия)

Позволяет считывать данные Cognitive Services.

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/*/read
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you read Cognitive Services data.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b59867f0-fa02-499b-be73-45a86b5b3e1c",
  "name": "b59867f0-fa02-499b-be73-45a86b5b3e1c",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/*/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Cognitive Services Data Reader (Preview)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Распознаватель лиц Cognitive Services

Позволяет выполнять обнаружение, проверку, идентификацию, группирование, а также поиск аналогичных операций в API Распознавания лиц. Эта роль не разрешает операции создания и удаления, что делает ее подходящей для конечных точек, которым требуются только возможности вывода в соответствии с рекомендациями "минимальных привилегий".

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/accounts/Face/detect/action Обнаруживает человеческие лица на изображении, возвращает прямоугольники с лицами и при необходимости с faceId, ориентирами и атрибутами.
Microsoft.CognitiveServices/accounts/Face/verify/action Проверяет, принадлежат ли два лица одному пользователю или принадлежит ли лицо пользователю.
Microsoft.CognitiveServices/accounts/Face/identify/action Идентификация типа "один ко многим" для поиска наиболее близких совпадений лица пользователя из конкретного запроса в группе пользователей или большой группе пользователей.
Microsoft.CognitiveServices/accounts/Face/group/action Разделение лиц-кандидатов на группы на основании сходства лиц.
Microsoft.CognitiveServices/accounts/Face/findsimilars/action FaceId лица заданного запроса, поиск похожих лиц из массива faceId, списка лиц или большого списка лиц. faceId
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you perform detect, verify, identify, group, and find similar operations on Face API. This role does not allow create or delete operations, which makes it well suited for endpoints that only need inferencing capabilities, following 'least privilege' best practices.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/9894cab4-e18a-44aa-828b-cb588cd6f2d7",
  "name": "9894cab4-e18a-44aa-828b-cb588cd6f2d7",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/accounts/Face/detect/action",
        "Microsoft.CognitiveServices/accounts/Face/verify/action",
        "Microsoft.CognitiveServices/accounts/Face/identify/action",
        "Microsoft.CognitiveServices/accounts/Face/group/action",
        "Microsoft.CognitiveServices/accounts/Face/findsimilars/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Cognitive Services Face Recognizer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор Помощника по метрикам Cognitive Services

Полный доступ к проекту, включая конфигурацию уровня системы. Подробнее

Действия Описание
Microsoft.CognitiveServices/*/read
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/accounts/MetricsAdvisor/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Full access to the project, including the system level configuration.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/cb43c632-a144-4ec5-977c-e80c4affc34a",
  "name": "cb43c632-a144-4ec5-977c-e80c4affc34a",
  "permissions": [
    {
      "actions": [
        "Microsoft.CognitiveServices/*/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/accounts/MetricsAdvisor/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Cognitive Services Metrics Advisor Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Редактор Cognitive Services QnA Maker

Позволяет создавать, изменять, импортировать и экспортировать базу знаний. Публикация или удаление базы знаний не поддерживается. Подробнее

Действия Описание
Microsoft.CognitiveServices/*/read
Microsoft.Authorization/roleAssignments/read Возвращает сведения о назначении роли.
Microsoft.Authorization/roleDefinitions/read Возвращает сведения об определении роли.
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read Возвращает список баз знаний или сведения об указанной базе знаний.
Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read Скачивание базы знаний.
Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/create/write Асинхронная операция создания новой базы знаний.
Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/write Асинхронная операция изменения базы знаний или замены ее содержимого.
Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action Вызов GenerateAnswer для запроса к базе знаний.
Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/train/action Вызов Train для добавления предложения в базу знаний.
Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read Скачивание изменений из среды выполнения.
Microsoft.CognitiveServices/accounts/QnAMaker/alterations/write Замена данных изменений.
Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read Получает ключи конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/refreshkeys/action Повторно создает ключ конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read Получает параметры конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/write Обновляет параметры конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker/operations/read Получает сведения об определенной длительной операции.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read Возвращает список баз знаний или сведения об указанной базе знаний.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read Скачивание базы знаний.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/create/write Асинхронная операция создания новой базы знаний.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/write Асинхронная операция изменения базы знаний или замены ее содержимого.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action Вызов GenerateAnswer для запроса к базе знаний.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/train/action Вызов Train для добавления предложения в базу знаний.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read Скачивание изменений из среды выполнения.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/write Замена данных изменений.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read Получает ключи конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/refreshkeys/action Повторно создает ключ конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read Получает параметры конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/write Обновляет параметры конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/operations/read Получает сведения об определенной длительной операции.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read Возвращает список баз знаний или сведения об указанной базе знаний.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read Скачивание базы знаний.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/create/write Асинхронная операция создания новой базы знаний.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/write Асинхронная операция изменения базы знаний или замены ее содержимого.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action Вызов GenerateAnswer для запроса к базе знаний.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/train/action Вызов Train для добавления предложения в базу знаний.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read Скачивание изменений из среды выполнения.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/write Замена данных изменений.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read Получает ключи конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/refreshkeys/action Повторно создает ключ конечной точки.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read Получает параметры конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/write Обновляет параметры конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/operations/read Получает сведения об определенной длительной операции.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Let's you create, edit, import and export a KB. You cannot publish or delete a KB.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f4cc2bf9-21be-47a1-bdf1-5c5804381025",
  "name": "f4cc2bf9-21be-47a1-bdf1-5c5804381025",
  "permissions": [
    {
      "actions": [
        "Microsoft.CognitiveServices/*/read",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleDefinitions/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/create/write",
        "Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/write",
        "Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action",
        "Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/train/action",
        "Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker/alterations/write",
        "Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/refreshkeys/action",
        "Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/write",
        "Microsoft.CognitiveServices/accounts/QnAMaker/operations/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/create/write",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/write",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/train/action",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/write",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/refreshkeys/action",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/write",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/operations/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/create/write",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/write",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/train/action",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/write",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/refreshkeys/action",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/write",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/operations/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Cognitive Services QnA Maker Editor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель Cognitive Services QnA Maker

Позволяет только читать и проверять базу знаний. Подробнее

Действия Описание
Microsoft.CognitiveServices/*/read
Microsoft.Authorization/roleAssignments/read Возвращает сведения о назначении роли.
Microsoft.Authorization/roleDefinitions/read Возвращает сведения об определении роли.
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read Возвращает список баз знаний или сведения об указанной базе знаний.
Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read Скачивание базы знаний.
Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action Вызов GenerateAnswer для запроса к базе знаний.
Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read Скачивание изменений из среды выполнения.
Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read Получает ключи конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read Получает параметры конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read Возвращает список баз знаний или сведения об указанной базе знаний.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read Скачивание базы знаний.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action Вызов GenerateAnswer для запроса к базе знаний.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read Скачивание изменений из среды выполнения.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read Получает ключи конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read Получает параметры конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read Возвращает список баз знаний или сведения об указанной базе знаний.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read Скачивание базы знаний.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action Вызов GenerateAnswer для запроса к базе знаний.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read Скачивание изменений из среды выполнения.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read Получает ключи конечной точки для конечной точки.
Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read Получает параметры конечной точки для конечной точки.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Let's you read and test a KB only.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/466ccd10-b268-4a11-b098-b4849f024126",
  "name": "466ccd10-b268-4a11-b098-b4849f024126",
  "permissions": [
    {
      "actions": [
        "Microsoft.CognitiveServices/*/read",
        "Microsoft.Authorization/roleAssignments/read",
        "Microsoft.Authorization/roleDefinitions/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/download/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker/knowledgebases/generateanswer/action",
        "Microsoft.CognitiveServices/accounts/QnAMaker/alterations/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker/endpointkeys/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker/endpointsettings/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/download/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/knowledgebases/generateanswer/action",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/alterations/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointkeys/read",
        "Microsoft.CognitiveServices/accounts/QnAMaker.v2/endpointsettings/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/download/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/knowledgebases/generateanswer/action",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/alterations/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointkeys/read",
        "Microsoft.CognitiveServices/accounts/TextAnalytics/QnAMaker/endpointsettings/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Cognitive Services QnA Maker Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь служб Cognitive Services

Позволяет создавать и читать список ключей служб Cognitive Services. Подробнее

Действия Описание
Microsoft.CognitiveServices/*/read
Microsoft.CognitiveServices/accounts/listkeys/action получение списка ключей;
Microsoft.Insights/alertRules/read Чтение классического оповещения метрики.
Microsoft.Insights/diagnosticSettings/read Чтение параметра диагностики для ресурсов.
Microsoft.Insights/logDefinitions/read Считывает определения журналов.
Microsoft.Insights/metricdefinitions/read Считывает определения метрик.
Microsoft.Insights/metrics/read Считывает метрики.
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/operations/read Возвращает операции развертывания или выводит их список.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Microsoft.CognitiveServices/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you read and list keys of Cognitive Services.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a97b65f3-24c7-4388-baec-2e87135dc908",
  "name": "a97b65f3-24c7-4388-baec-2e87135dc908",
  "permissions": [
    {
      "actions": [
        "Microsoft.CognitiveServices/*/read",
        "Microsoft.CognitiveServices/accounts/listkeys/action",
        "Microsoft.Insights/alertRules/read",
        "Microsoft.Insights/diagnosticSettings/read",
        "Microsoft.Insights/logDefinitions/read",
        "Microsoft.Insights/metricdefinitions/read",
        "Microsoft.Insights/metrics/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.CognitiveServices/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Cognitive Services User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

"Интернет вещей"

Администратор обновлений устройств

Предоставляет полный доступ к операциям управления и операциям с содержимым. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
NotActions
Нет
Действия с данными
Microsoft.DeviceUpdate/accounts/instances/updates/read Выполняет операцию чтения, связанную с обновлениями.
Microsoft.DeviceUpdate/accounts/instances/updates/write Выполняет операцию записи, связанную с обновлениями.
Microsoft.DeviceUpdate/accounts/instances/updates/delete Выполняет операцию удаления, связанную с обновлениями.
Microsoft.DeviceUpdate/accounts/instances/management/read Выполняет операцию чтения, связанную с управлением.
Microsoft.DeviceUpdate/accounts/instances/management/write Выполняет операцию записи, связанную с управлением.
Microsoft.DeviceUpdate/accounts/instances/management/delete Выполняет операцию удаления, связанную с управлением.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Gives you full access to management and content operations",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/02ca0879-e8e4-47a5-a61e-5c618b76e64a",
  "name": "02ca0879-e8e4-47a5-a61e-5c618b76e64a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Insights/alertRules/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.DeviceUpdate/accounts/instances/updates/read",
        "Microsoft.DeviceUpdate/accounts/instances/updates/write",
        "Microsoft.DeviceUpdate/accounts/instances/updates/delete",
        "Microsoft.DeviceUpdate/accounts/instances/management/read",
        "Microsoft.DeviceUpdate/accounts/instances/management/write",
        "Microsoft.DeviceUpdate/accounts/instances/management/delete"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Device Update Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор содержимого обновлений устройств

Предоставляет полный доступ к операциям с содержимым. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
NotActions
Нет
Действия с данными
Microsoft.DeviceUpdate/accounts/instances/updates/read Выполняет операцию чтения, связанную с обновлениями.
Microsoft.DeviceUpdate/accounts/instances/updates/write Выполняет операцию записи, связанную с обновлениями.
Microsoft.DeviceUpdate/accounts/instances/updates/delete Выполняет операцию удаления, связанную с обновлениями.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Gives you full access to content operations",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/0378884a-3af5-44ab-8323-f5b22f9f3c98",
  "name": "0378884a-3af5-44ab-8323-f5b22f9f3c98",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Insights/alertRules/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.DeviceUpdate/accounts/instances/updates/read",
        "Microsoft.DeviceUpdate/accounts/instances/updates/write",
        "Microsoft.DeviceUpdate/accounts/instances/updates/delete"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Device Update Content Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель содержимого обновлений устройств

Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
NotActions
Нет
Действия с данными
Microsoft.DeviceUpdate/accounts/instances/updates/read Выполняет операцию чтения, связанную с обновлениями.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Gives you read access to content operations, but does not allow making changes",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d1ee9a80-8b14-47f0-bdc2-f4a351625a7b",
  "name": "d1ee9a80-8b14-47f0-bdc2-f4a351625a7b",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Insights/alertRules/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.DeviceUpdate/accounts/instances/updates/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Device Update Content Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор развертывания обновлений устройств

Предоставляет полный доступ к операциям управления. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
NotActions
Нет
Действия с данными
Microsoft.DeviceUpdate/accounts/instances/management/read Выполняет операцию чтения, связанную с управлением.
Microsoft.DeviceUpdate/accounts/instances/management/write Выполняет операцию записи, связанную с управлением.
Microsoft.DeviceUpdate/accounts/instances/management/delete Выполняет операцию удаления, связанную с управлением.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Gives you full access to management operations",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e4237640-0e3d-4a46-8fda-70bc94856432",
  "name": "e4237640-0e3d-4a46-8fda-70bc94856432",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Insights/alertRules/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.DeviceUpdate/accounts/instances/management/read",
        "Microsoft.DeviceUpdate/accounts/instances/management/write",
        "Microsoft.DeviceUpdate/accounts/instances/management/delete"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Device Update Deployments Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель развертывания обновлений устройств

Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
NotActions
Нет
Действия с данными
Microsoft.DeviceUpdate/accounts/instances/management/read Выполняет операцию чтения, связанную с управлением.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Gives you read access to management operations, but does not allow making changes",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/49e2f5d2-7741-4835-8efa-19e1fe35e47f",
  "name": "49e2f5d2-7741-4835-8efa-19e1fe35e47f",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Insights/alertRules/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.DeviceUpdate/accounts/instances/management/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Device Update Deployments Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель обновлений устройств

Предоставляет доступ на чтение к операциям управления и операциям с содержимым, но не позволяет вносить изменения. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
NotActions
Нет
Действия с данными
Microsoft.DeviceUpdate/accounts/instances/updates/read Выполняет операцию чтения, связанную с обновлениями.
Microsoft.DeviceUpdate/accounts/instances/management/read Выполняет операцию чтения, связанную с управлением.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Gives you read access to management and content operations, but does not allow making changes",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f",
  "name": "e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Insights/alertRules/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.DeviceUpdate/accounts/instances/updates/read",
        "Microsoft.DeviceUpdate/accounts/instances/management/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Device Update Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник данных Центра Интернета вещей

Обеспечивает полный доступ к операциям плоскости данных Центра Интернета вещей. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Devices/IotHubs/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for full access to IoT Hub data plane operations.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4fc6c259-987e-4a07-842e-c321cc9d413f",
  "name": "4fc6c259-987e-4a07-842e-c321cc9d413f",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Devices/IotHubs/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "IoT Hub Data Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных Центра Интернета вещей

Разрешает полный доступ на чтение к свойствам плоскости данных Центра Интернета вещей. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Devices/IotHubs/*/read
Microsoft.Devices/IotHubs/fileUpload/notifications/action Получение и завершение уведомлений о передаче файлов или отказ от них
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for full read access to IoT Hub data-plane properties",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b447c946-2db7-41ec-983d-d8bf3b1c77e3",
  "name": "b447c946-2db7-41ec-983d-d8bf3b1c77e3",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Devices/IotHubs/*/read",
        "Microsoft.Devices/IotHubs/fileUpload/notifications/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "IoT Hub Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник реестра Центра Интернета вещей

Обеспечивает полный доступ к реестру устройств Центра Интернета вещей. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Devices/IotHubs/devices/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for full access to IoT Hub device registry.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4ea46cd5-c1b2-4a8e-910b-273211f9ce47",
  "name": "4ea46cd5-c1b2-4a8e-910b-273211f9ce47",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Devices/IotHubs/devices/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "IoT Hub Registry Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник цифрового двойника Центра Интернета вещей

Разрешает доступ на чтение и запись ко всем двойникам устройств и модулей Центра Интернета вещей. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.Devices/IotHubs/twins/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for read and write access to all IoT Hub device and module twins.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/494bdba2-168f-4f31-a0a1-191d2f7c028c",
  "name": "494bdba2-168f-4f31-a0a1-191d2f7c028c",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.Devices/IotHubs/twins/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "IoT Hub Twin Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Смешанная реальность

Администратор Удаленной отрисовки

Предоставляет пользователю возможности преобразования, управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.MixedReality/RemoteRenderingAccounts/convert/action Запуск преобразования ресурса
Microsoft.MixedReality/RemoteRenderingAccounts/convert/read Получение свойств преобразования ресурса.
Microsoft.MixedReality/RemoteRenderingAccounts/convert/delete Остановка преобразования ресурса.
Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read Получение свойств сеанса.
Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action Запуск сеансов.
Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete Завершение сеансов.
Microsoft.MixedReality/RemoteRenderingAccounts/render/read Подключение к сеансу
Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read Подключение к инспектору Удаленной отрисовки.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Provides user with conversion, manage session, rendering and diagnostics capabilities for Azure Remote Rendering",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3df8b902-2a6f-47c7-8cc5-360e9b272a7e",
  "name": "3df8b902-2a6f-47c7-8cc5-360e9b272a7e",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.MixedReality/RemoteRenderingAccounts/convert/action",
        "Microsoft.MixedReality/RemoteRenderingAccounts/convert/read",
        "Microsoft.MixedReality/RemoteRenderingAccounts/convert/delete",
        "Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read",
        "Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action",
        "Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete",
        "Microsoft.MixedReality/RemoteRenderingAccounts/render/read",
        "Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Remote Rendering Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Клиент Удаленной отрисовки

Предоставляет пользователю возможности управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read Получение свойств сеанса.
Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action Запуск сеансов.
Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete Завершение сеансов.
Microsoft.MixedReality/RemoteRenderingAccounts/render/read Подключение к сеансу
Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read Подключение к инспектору Удаленной отрисовки.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Provides user with manage session, rendering and diagnostics capabilities for Azure Remote Rendering.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d39065c4-c120-43c9-ab0a-63eed9795f0a",
  "name": "d39065c4-c120-43c9-ab0a-63eed9795f0a",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/read",
        "Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/action",
        "Microsoft.MixedReality/RemoteRenderingAccounts/managesessions/delete",
        "Microsoft.MixedReality/RemoteRenderingAccounts/render/read",
        "Microsoft.MixedReality/RemoteRenderingAccounts/diagnostic/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Remote Rendering Client",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник учетной записи пространственных привязок

Позволяет управлять пространственными привязками в вашей учетной записи, но не удалять их. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.MixedReality/SpatialAnchorsAccounts/create/action Создание пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read Обнаружение ближайших пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read Получение свойств пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/query/read Определение пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read Отправка диагностических данных для повышения качества службы пространственных привязок Azure
Microsoft.MixedReality/SpatialAnchorsAccounts/write Обновление свойств пространственных привязок
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage spatial anchors in your account, but not delete them",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827",
  "name": "8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.MixedReality/SpatialAnchorsAccounts/create/action",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/query/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Spatial Anchors Account Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Владелец учетной записи пространственных привязок

Позволяет управлять пространственными привязками в вашей учетной записи, в том числе удалять их. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.MixedReality/SpatialAnchorsAccounts/create/action Создание пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/delete Удаление пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read Обнаружение ближайших пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read Получение свойств пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/query/read Определение пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read Отправка диагностических данных для повышения качества службы пространственных привязок Azure
Microsoft.MixedReality/SpatialAnchorsAccounts/write Обновление свойств пространственных привязок
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage spatial anchors in your account, including deleting them",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/70bbe301-9835-447d-afdd-19eb3167307c",
  "name": "70bbe301-9835-447d-afdd-19eb3167307c",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.MixedReality/SpatialAnchorsAccounts/create/action",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/delete",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/query/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Spatial Anchors Account Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель учетной записи пространственных привязок

Позволяет найти и прочитать свойства пространственных привязок в вашей учетной записи. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read Обнаружение ближайших пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read Получение свойств пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/query/read Определение пространственных привязок
Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read Отправка диагностических данных для повышения качества службы пространственных привязок Azure
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you locate and read properties of spatial anchors in your account",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5d51204f-eb77-4b1c-b86a-2ec626c49413",
  "name": "5d51204f-eb77-4b1c-b86a-2ec626c49413",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.MixedReality/SpatialAnchorsAccounts/discovery/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/properties/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/query/read",
        "Microsoft.MixedReality/SpatialAnchorsAccounts/submitdiag/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Spatial Anchors Account Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Интеграция

Участник службы управления API

Может управлять службой и интерфейсами API. Подробнее

Действия Описание
Microsoft.ApiManagement/service/* Создание службы управления API и управление ею
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can manage service and the APIs",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/312a565d-c81f-4fd8-895a-4e21e48d571c",
  "name": "312a565d-c81f-4fd8-895a-4e21e48d571c",
  "permissions": [
    {
      "actions": [
        "Microsoft.ApiManagement/service/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "API Management Service Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль оператора службы управления API

Может управлять службой, но не интерфейсами API.Подробнее

Действия Описание
Microsoft.ApiManagement/service/*/read Чтение экземпляров службы управления API.
Microsoft.ApiManagement/service/backup/action Архивирует службу управления API в указанный контейнер в предоставленной пользователем учетной записи хранения.
Microsoft.ApiManagement/service/delete Удаляет экземпляр службы управления API.
Microsoft.ApiManagement/service/managedeployments/action Позволяет изменить номер SKU или единицы, а также добавить или удалить региональные развертывания службы управления API.
Microsoft.ApiManagement/service/read Чтение метаданных для экземпляра службы управления API.
Microsoft.ApiManagement/service/restore/action Восстановление службы управления API из указанного контейнера в предоставленной пользователем учетной записи хранения.
Microsoft.ApiManagement/service/updatecertificate/action Отправка SSL-сертификата для службы управления API
Microsoft.ApiManagement/service/updatehostname/action Позволяет настроить, обновить или удалить имена личных доменов для службы управления API.
Microsoft.ApiManagement/service/write Создание или обновление экземпляра службы управления API Azure
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.ApiManagement/service/users/keys/read Получение ключей, связанных с пользователем
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can manage service but not the APIs",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e022efe7-f5ba-4159-bbe4-b44f577e9b61",
  "name": "e022efe7-f5ba-4159-bbe4-b44f577e9b61",
  "permissions": [
    {
      "actions": [
        "Microsoft.ApiManagement/service/*/read",
        "Microsoft.ApiManagement/service/backup/action",
        "Microsoft.ApiManagement/service/delete",
        "Microsoft.ApiManagement/service/managedeployments/action",
        "Microsoft.ApiManagement/service/read",
        "Microsoft.ApiManagement/service/restore/action",
        "Microsoft.ApiManagement/service/updatecertificate/action",
        "Microsoft.ApiManagement/service/updatehostname/action",
        "Microsoft.ApiManagement/service/write",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.ApiManagement/service/users/keys/read"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "API Management Service Operator Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль читателя данных службы управления API

Доступ к службе и интерфейсам API в режиме "только для чтения". Подробнее

Действия Описание
Microsoft.ApiManagement/service/*/read Чтение экземпляров службы управления API.
Microsoft.ApiManagement/service/read Чтение метаданных для экземпляра службы управления API.
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.ApiManagement/service/users/keys/read Получение ключей, связанных с пользователем
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read-only access to service and APIs",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/71522526-b88f-4d52-b57f-d31fc3546d0d",
  "name": "71522526-b88f-4d52-b57f-d31fc3546d0d",
  "permissions": [
    {
      "actions": [
        "Microsoft.ApiManagement/service/*/read",
        "Microsoft.ApiManagement/service/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.ApiManagement/service/users/keys/read"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "API Management Service Reader Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Владелец данных Конфигурации приложений

Предоставляет полный доступ к данным Конфигурации приложений. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.AppConfiguration/configurationStores/*/read
Microsoft.AppConfiguration/configurationStores/*/write
Microsoft.AppConfiguration/configurationStores/*/delete
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows full access to App Configuration data.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b",
  "name": "5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.AppConfiguration/configurationStores/*/read",
        "Microsoft.AppConfiguration/configurationStores/*/write",
        "Microsoft.AppConfiguration/configurationStores/*/delete"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "App Configuration Data Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных Конфигурации приложений

Предоставляет доступ на чтение данных Конфигурации приложений. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.AppConfiguration/configurationStores/*/read
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read access to App Configuration data.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/516239f1-63e1-4d78-a4de-a74fb236a071",
  "name": "516239f1-63e1-4d78-a4de-a74fb236a071",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.AppConfiguration/configurationStores/*/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "App Configuration Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Прослушиватель Azure Relay

Разрешает доступ на прослушивание к ресурсам Azure Relay.

Действия Описание
Microsoft.Relay/*/wcfRelays/read
Microsoft.Relay/*/hybridConnections/read
NotActions
Нет
Действия с данными
Microsoft.Relay/*/listen/action
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for listen access to Azure Relay resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/26e0b698-aa6d-4085-9386-aadae190014d",
  "name": "26e0b698-aa6d-4085-9386-aadae190014d",
  "permissions": [
    {
      "actions": [
        "Microsoft.Relay/*/wcfRelays/read",
        "Microsoft.Relay/*/hybridConnections/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Relay/*/listen/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Relay Listener",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Владелец Azure Relay

Разрешает полный доступ к ресурсам Azure Relay.

Действия Описание
Microsoft.Relay/*
NotActions
Нет
Действия с данными
Microsoft.Relay/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for full access to Azure Relay resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2787bf04-f1f5-4bfe-8383-c8a24483ee38",
  "name": "2787bf04-f1f5-4bfe-8383-c8a24483ee38",
  "permissions": [
    {
      "actions": [
        "Microsoft.Relay/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Relay/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Relay Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Отправитель Azure Relay

Разрешает доступ на отправку к ресурсам Azure Relay.

Действия Описание
Microsoft.Relay/*/wcfRelays/read
Microsoft.Relay/*/hybridConnections/read
NotActions
Нет
Действия с данными
Microsoft.Relay/*/send/action
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for send access to Azure Relay resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/26baccc8-eea7-41f1-98f4-1762cc7f685d",
  "name": "26baccc8-eea7-41f1-98f4-1762cc7f685d",
  "permissions": [
    {
      "actions": [
        "Microsoft.Relay/*/wcfRelays/read",
        "Microsoft.Relay/*/hybridConnections/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Relay/*/send/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Relay Sender",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Владелец данных служебной шины Azure

Разрешает полный доступ к ресурсам служебной шины Azure. Подробнее

Действия Описание
Microsoft.ServiceBus/*
NotActions
Нет
Действия с данными
Microsoft.ServiceBus/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for full access to Azure Service Bus resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/090c5cfd-751d-490a-894a-3ce6f1109419",
  "name": "090c5cfd-751d-490a-894a-3ce6f1109419",
  "permissions": [
    {
      "actions": [
        "Microsoft.ServiceBus/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ServiceBus/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Service Bus Data Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Получатель данных Служебной шины Azure

Разрешает полный доступ к ресурсам служебной шины Azure. Подробнее

Действия Описание
Microsoft.ServiceBus/*/queues/read
Microsoft.ServiceBus/*/topics/read
Microsoft.ServiceBus/*/topics/subscriptions/read
NotActions
Нет
Действия с данными
Microsoft.ServiceBus/*/receive/action
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for receive access to Azure Service Bus resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0",
  "name": "4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0",
  "permissions": [
    {
      "actions": [
        "Microsoft.ServiceBus/*/queues/read",
        "Microsoft.ServiceBus/*/topics/read",
        "Microsoft.ServiceBus/*/topics/subscriptions/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ServiceBus/*/receive/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Service Bus Data Receiver",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Отправитель данных Служебной шины Azure

Разрешает полный доступ к ресурсам служебной шины Azure. Подробнее

Действия Описание
Microsoft.ServiceBus/*/queues/read
Microsoft.ServiceBus/*/topics/read
Microsoft.ServiceBus/*/topics/subscriptions/read
NotActions
Нет
Действия с данными
Microsoft.ServiceBus/*/send/action
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows for send access to Azure Service Bus resources.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/69a216fc-b8fb-44d8-bc22-1f3c2cd27a39",
  "name": "69a216fc-b8fb-44d8-bc22-1f3c2cd27a39",
  "permissions": [
    {
      "actions": [
        "Microsoft.ServiceBus/*/queues/read",
        "Microsoft.ServiceBus/*/topics/read",
        "Microsoft.ServiceBus/*/topics/subscriptions/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ServiceBus/*/send/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Service Bus Data Sender",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Владелец регистрации Azure Stack

Позволяет управлять регистрациями Azure Stack.

Действия Описание
Microsoft.AzureStack/edgeSubscriptions/read
Microsoft.AzureStack/registrations/products/*/action
Microsoft.AzureStack/registrations/products/read Получает свойства продукта из Azure Stack Marketplace.
Microsoft.AzureStack/registrations/read Получает свойства регистрации Azure Stack.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage Azure Stack registrations.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/6f12a6df-dd06-4f3e-bcb1-ce8be600526a",
  "name": "6f12a6df-dd06-4f3e-bcb1-ce8be600526a",
  "permissions": [
    {
      "actions": [
        "Microsoft.AzureStack/edgeSubscriptions/read",
        "Microsoft.AzureStack/registrations/products/*/action",
        "Microsoft.AzureStack/registrations/products/read",
        "Microsoft.AzureStack/registrations/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Stack Registration Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник EventGrid

Позволяет управлять операциями EventGrid.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.EventGrid/* Создание ресурсов Сетки событий и управление ими.
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage EventGrid operations.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/1e241071-0855-49ea-94dc-649edcd759de",
  "name": "1e241071-0855-49ea-94dc-649edcd759de",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.EventGrid/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "EventGrid Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Отправитель данных Сетки событий

Разрешает доступ на отправку к событиям сетки событий.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.EventGrid/topics/read Чтение раздела.
Microsoft.EventGrid/domains/read Чтение домена
Microsoft.EventGrid/partnerNamespaces/read
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
NotActions
Нет
Действия с данными
Microsoft.EventGrid/events/send/action Отправляет события в разделы
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows send access to event grid events.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d5a91429-5739-47e2-a06b-3470a27159e7",
  "name": "d5a91429-5739-47e2-a06b-3470a27159e7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.EventGrid/topics/read",
        "Microsoft.EventGrid/domains/read",
        "Microsoft.EventGrid/partnerNamespaces/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.EventGrid/events/send/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "EventGrid Data Sender",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник EventGrid EventSubscription

Позволяет управлять операциями с подписками на события Сетки событий. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.EventGrid/eventSubscriptions/* Создание подписок на события в регионе и управление ими.
Microsoft.EventGrid/topicTypes/eventSubscriptions/read Создание списка подписок на глобальные события по типу темы
Microsoft.EventGrid/locations/eventSubscriptions/read Создание списка подписок на события в регионе
Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read Создание списка подписок на события в регионе по типу темы
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage EventGrid event subscription operations.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/428e0ff0-5e57-4d9c-a221-2c70d0e0a443",
  "name": "428e0ff0-5e57-4d9c-a221-2c70d0e0a443",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.EventGrid/eventSubscriptions/*",
        "Microsoft.EventGrid/topicTypes/eventSubscriptions/read",
        "Microsoft.EventGrid/locations/eventSubscriptions/read",
        "Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "EventGrid EventSubscription Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель EventGrid EventSubscription

Позволяет получить доступ на чтение к подпискам на события Сетки событий. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.EventGrid/eventSubscriptions/read Чтение eventSubscription
Microsoft.EventGrid/topicTypes/eventSubscriptions/read Создание списка подписок на глобальные события по типу темы
Microsoft.EventGrid/locations/eventSubscriptions/read Создание списка подписок на события в регионе
Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read Создание списка подписок на события в регионе по типу темы
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you read EventGrid event subscriptions.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2414bbcf-6497-4faf-8c65-045460748405",
  "name": "2414bbcf-6497-4faf-8c65-045460748405",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.EventGrid/eventSubscriptions/read",
        "Microsoft.EventGrid/topicTypes/eventSubscriptions/read",
        "Microsoft.EventGrid/locations/eventSubscriptions/read",
        "Microsoft.EventGrid/locations/topicTypes/eventSubscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "EventGrid EventSubscription Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Разработчик данных FHIR

Эта роль предоставляет пользователю или субъекту полный доступ к данным FHIR. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.HealthcareApis/services/fhir/resources/*
Microsoft.HealthcareApis/workspaces/fhirservices/resources/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role allows user or principal full access to FHIR Data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5a1fc7df-4bf1-4951-a576-89034ee01acd",
  "name": "5a1fc7df-4bf1-4951-a576-89034ee01acd",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.HealthcareApis/services/fhir/resources/*",
        "Microsoft.HealthcareApis/workspaces/fhirservices/resources/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "FHIR Data Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Средство экспорта данных FHIR

Эта роль позволяет пользователю или субъекту читать и экспортировать данные FHIR. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.HealthcareApis/services/fhir/resources/read Чтение ресурсов FHIR (включая журнал поиска и отслеживания версий).
Microsoft.HealthcareApis/services/fhir/resources/export/action Операция экспорта ($export).
Microsoft.HealthcareApis/workspaces/fhirservices/resources/read Чтение ресурсов FHIR (включая журнал поиска и отслеживания версий).
Microsoft.HealthcareApis/workspaces/fhirservices/resources/export/action Операция экспорта ($export).
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role allows user or principal to read and export FHIR Data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3db33094-8700-4567-8da5-1501d4e7e843",
  "name": "3db33094-8700-4567-8da5-1501d4e7e843",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.HealthcareApis/services/fhir/resources/read",
        "Microsoft.HealthcareApis/services/fhir/resources/export/action",
        "Microsoft.HealthcareApis/workspaces/fhirservices/resources/read",
        "Microsoft.HealthcareApis/workspaces/fhirservices/resources/export/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "FHIR Data Exporter",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель данных FHIR

Эта роль позволяет пользователю или субъекту читать данные FHIR. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.HealthcareApis/services/fhir/resources/read Чтение ресурсов FHIR (включая журнал поиска и отслеживания версий).
Microsoft.HealthcareApis/workspaces/fhirservices/resources/read Чтение ресурсов FHIR (включая журнал поиска и отслеживания версий).
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role allows user or principal to read FHIR Data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4c8d0bbc-75d3-4935-991f-5f3c56d81508",
  "name": "4c8d0bbc-75d3-4935-991f-5f3c56d81508",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.HealthcareApis/services/fhir/resources/read",
        "Microsoft.HealthcareApis/workspaces/fhirservices/resources/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "FHIR Data Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Модуль записи данных FHIR

Эта роль позволяет пользователю или субъекту читать и записывать данные FHIR. Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.HealthcareApis/services/fhir/resources/*
Microsoft.HealthcareApis/workspaces/fhirservices/resources/*
NotDataActions
Microsoft.HealthcareApis/services/fhir/resources/hardDelete/action Жесткое удаление (включая журнал версий).
Microsoft.HealthcareApis/workspaces/fhirservices/resources/hardDelete/action Жесткое удаление (включая журнал версий).
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role allows user or principal to read and write FHIR Data",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3f88fce4-5892-4214-ae73-ba5294559913",
  "name": "3f88fce4-5892-4214-ae73-ba5294559913",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.HealthcareApis/services/fhir/resources/*",
        "Microsoft.HealthcareApis/workspaces/fhirservices/resources/*"
      ],
      "notDataActions": [
        "Microsoft.HealthcareApis/services/fhir/resources/hardDelete/action",
        "Microsoft.HealthcareApis/workspaces/fhirservices/resources/hardDelete/action"
      ]
    }
  ],
  "roleName": "FHIR Data Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник среды службы интеграции

Позволяет вам управлять средами службы интеграции, но не доступом к ним. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Logic/integrationServiceEnvironments/*
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage integration service environments, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a41e2c5b-bd99-4a07-88f4-9bf657a760b8",
  "name": "a41e2c5b-bd99-4a07-88f4-9bf657a760b8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Support/*",
        "Microsoft.Logic/integrationServiceEnvironments/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Integration Service Environment Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Разработчик среды службы интеграции

Позволяет разработчикам создавать и изменять рабочие процессы, учетные записи интеграции и подключения API в средах службы интеграции. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Logic/integrationServiceEnvironments/read Считывает среду службы интеграции.
Microsoft.Logic/integrationServiceEnvironments/*/join/action
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows developers to create and update workflows, integration accounts and API connections in integration service environments.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/c7aa55d3-1abb-444a-a5ca-5e51e485d6ec",
  "name": "c7aa55d3-1abb-444a-a5ca-5e51e485d6ec",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Support/*",
        "Microsoft.Logic/integrationServiceEnvironments/read",
        "Microsoft.Logic/integrationServiceEnvironments/*/join/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Integration Service Environment Developer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник учетной записи интеллектуальных систем

Позволяет управлять учетными записями интеллектуальных систем, но не доступом к ним.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.IntelligentSystems/accounts/* Создание учетных записей интеллектуальных систем и управление ими
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage Intelligent Systems accounts, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/03a6d094-3444-4b3d-88af-7477090a9e5e",
  "name": "03a6d094-3444-4b3d-88af-7477090a9e5e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.IntelligentSystems/accounts/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Intelligent Systems Account Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Создатель приложений логики

Позволяет управлять приложениями логики, но не доступом к ним. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.ClassicStorage/storageAccounts/listKeys/action Отображает ключи доступа для учетных записей хранения.
Microsoft.ClassicStorage/storageAccounts/read Возвращает учетную запись хранения для заданной учетной записи.
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/metricAlerts/*
Microsoft.Insights/diagnosticSettings/* Создание, обновление или считывание параметра диагностики для сервера анализа данных.
Microsoft.Insights/logdefinitions/* Это разрешение необходимо пользователям, которым требуется доступ к журналам действия на портале. Получение списка категорий журнала в журнале действий.
Microsoft.Insights/metricDefinitions/* Чтение определений метрик (вывод списка доступных типов метрик для ресурса).
Microsoft.Logic/* Управляет ресурсами Logic Apps.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Storage/storageAccounts/listkeys/action Возвращает ключи доступа для указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/read Возвращает список учетных записей хранения или свойства указанной учетной записи хранения.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Web/connectionGateways/* Создает шлюз подключения и управляет им.
Microsoft.Web/connections/* Создает подключение и управляет им.
Microsoft.Web/customApis/* Создает настраиваемый API и управляет им.
Microsoft.Web/serverFarms/join/action Объединение плана службы приложений.
Microsoft.Web/serverFarms/read Возвращает свойства плана службы приложений.
Microsoft.Web/sites/functions/listSecrets/action Перечисление секретов функции.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage logic app, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/87a39d53-fc1b-424a-814c-f7e04687dc9e",
  "name": "87a39d53-fc1b-424a-814c-f7e04687dc9e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicStorage/storageAccounts/listKeys/action",
        "Microsoft.ClassicStorage/storageAccounts/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/metricAlerts/*",
        "Microsoft.Insights/diagnosticSettings/*",
        "Microsoft.Insights/logdefinitions/*",
        "Microsoft.Insights/metricDefinitions/*",
        "Microsoft.Logic/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Storage/storageAccounts/listkeys/action",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.Support/*",
        "Microsoft.Web/connectionGateways/*",
        "Microsoft.Web/connections/*",
        "Microsoft.Web/customApis/*",
        "Microsoft.Web/serverFarms/join/action",
        "Microsoft.Web/serverFarms/read",
        "Microsoft.Web/sites/functions/listSecrets/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Logic App Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор приложений логики

Позволяет читать, включать и отключать приложения логики, но не изменять и не обновлять их. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/*/read Считывание правил оповещений Insights.
Microsoft.Insights/metricAlerts/*/read
Microsoft.Insights/diagnosticSettings/*/read Получает параметры диагностики для Logic Apps.
Microsoft.Insights/metricDefinitions/*/read Получает доступные метрики для Logic Apps.
Microsoft.Logic/*/read Считывает ресурсы Logic Apps.
Microsoft.Logic/workflows/disable/action Отключает рабочий процесс.
Microsoft.Logic/workflows/enable/action Включает рабочий процесс.
Microsoft.Logic/workflows/validate/action Проверяет рабочий процесс.
Microsoft.Resources/deployments/operations/read Возвращает операции развертывания или выводит их список.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Web/connectionGateways/*/read Считывает шлюзы подключения.
Microsoft.Web/connections/*/read Считывает подключения.
Microsoft.Web/customApis/*/read Считывает настраиваемый API.
Microsoft.Web/serverFarms/read Возвращает свойства плана службы приложений.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you read, enable and disable logic app.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/515c2055-d9d4-4321-b1b9-bd0c9a0f79fe",
  "name": "515c2055-d9d4-4321-b1b9-bd0c9a0f79fe",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*/read",
        "Microsoft.Insights/metricAlerts/*/read",
        "Microsoft.Insights/diagnosticSettings/*/read",
        "Microsoft.Insights/metricDefinitions/*/read",
        "Microsoft.Logic/*/read",
        "Microsoft.Logic/workflows/disable/action",
        "Microsoft.Logic/workflows/enable/action",
        "Microsoft.Logic/workflows/validate/action",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Web/connectionGateways/*/read",
        "Microsoft.Web/connections/*/read",
        "Microsoft.Web/customApis/*/read",
        "Microsoft.Web/serverFarms/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Logic App Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Идентификация

Участник управляемого удостоверения

Создание, чтение, обновление и удаление пользовательских удостоверений. Подробнее

Действия Описание
Microsoft.ManagedIdentity/userAssignedIdentities/read Получение существующего пользовательского удостоверения.
Microsoft.ManagedIdentity/userAssignedIdentities/write Создание существующего пользовательского удостоверения или обновление связанных с ним тегов.
Microsoft.ManagedIdentity/userAssignedIdentities/delete Удаление существующего пользовательского удостоверения.
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, Read, Update, and Delete User Assigned Identity",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
  "name": "e40ec5ca-96e0-45a2-b4ff-59039f2c2b59",
  "permissions": [
    {
      "actions": [
        "Microsoft.ManagedIdentity/userAssignedIdentities/read",
        "Microsoft.ManagedIdentity/userAssignedIdentities/write",
        "Microsoft.ManagedIdentity/userAssignedIdentities/delete",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed Identity Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор управляемого удостоверения

Чтение и назначение пользовательских удостоверений. Подробнее

Действия Описание
Microsoft.ManagedIdentity/userAssignedIdentities/*/read
Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read and Assign User Assigned Identity",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f1a07417-d97a-45cb-824c-7a7467783830",
  "name": "f1a07417-d97a-45cb-824c-7a7467783830",
  "permissions": [
    {
      "actions": [
        "Microsoft.ManagedIdentity/userAssignedIdentities/*/read",
        "Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed Identity Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Безопасность

Участник аттестации

Может читать, записывать или удалять экземпляр поставщика аттестации. Подробнее

Действия Описание
Microsoft.Attestation/attestationProviders/attestation/read
Microsoft.Attestation/attestationProviders/attestation/write
Microsoft.Attestation/attestationProviders/attestation/delete
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read write or delete the attestation provider instance",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/attestation/write",
        "Microsoft.Attestation/attestationProviders/attestation/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель аттестации

Может считывать свойства поставщика аттестации. Подробнее

Действия Описание
Microsoft.Attestation/attestationProviders/attestation/read
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read the attestation provider properties",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор хранилища ключей

Выполняет все операции с плоскостью данных в хранилище ключей и всех его объектах, включая сертификаты, ключи и секреты. Не может управлять ресурсами хранилища ключей или назначениями ролей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
Нет
Действия с данными
Microsoft.KeyVault/vaults/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Специалист по сертификатам хранилища ключей

Выполняет любые действия с сертификатами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
Нет
Действия с данными
Microsoft.KeyVault/vaults/certificatecas/*
Microsoft.KeyVault/vaults/certificates/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
  "name": "a4417e6f-fecd-4de8-b567-7b0420556985",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificatecas/*",
        "Microsoft.KeyVault/vaults/certificates/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificates Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник Key Vault

Предоставляет разрешения на управление хранилищами ключей, но не позволяет назначать роли в Azure RBAC или получать доступ к секретам, ключам или сертификатам. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.KeyVault/*
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.KeyVault/locations/deletedVaults/purge/action Очищает обратимо удаленное хранилище Key Vault.
Microsoft.KeyVault/hsmPools/*
Microsoft.KeyVault/managedHsms/*
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage key vaults, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
  "name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.KeyVault/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.KeyVault/locations/deletedVaults/purge/action",
        "Microsoft.KeyVault/hsmPools/*",
        "Microsoft.KeyVault/managedHsms/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Специалист по шифрованию хранилища ключей

Выполняет любые действия с ключами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
Нет
Действия с данными
Microsoft.KeyVault/vaults/keys/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь шифрования для службы шифрования хранилища ключей

Считывает метаданные ключей и выполняет операции упаковки и распаковки. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее

Действия Описание
Microsoft.EventGrid/eventSubscriptions/write Создание или обновление eventSubscription
Microsoft.EventGrid/eventSubscriptions/read Чтение eventSubscription
Microsoft.EventGrid/eventSubscriptions/delete Удаление eventSubscription.
NotActions
Нет
Действия с данными
Microsoft.KeyVault/vaults/keys/read Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются.
Microsoft.KeyVault/vaults/keys/wrap/action Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что, если используется асимметричный ключ Key Vault, эту операцию могут выполнять субъекты с доступом на чтение.
Microsoft.KeyVault/vaults/keys/unwrap/action Распаковывает симметричный ключ с помощью ключа Key Vault.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventGrid/eventSubscriptions/write",
        "Microsoft.EventGrid/eventSubscriptions/read",
        "Microsoft.EventGrid/eventSubscriptions/delete"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Encryption User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь шифрования хранилища ключей

Выполняет криптографические операции с помощью ключей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.KeyVault/vaults/keys/read Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются.
Microsoft.KeyVault/vaults/keys/update/action Обновление указанных атрибутов, связанных с определенным ключом.
Microsoft.KeyVault/vaults/keys/backup/action Создает файл резервной копии ключа. Этот файл может использоваться для восстановления ключа в Key Vault для той же подписки. Могут применяться определенные ограничения.
Microsoft.KeyVault/vaults/keys/encrypt/action Шифрует открытый текст с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение.
Microsoft.KeyVault/vaults/keys/decrypt/action Расшифровывает зашифрованные данные с помощью ключа.
Microsoft.KeyVault/vaults/keys/wrap/action Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что, если используется асимметричный ключ Key Vault, эту операцию могут выполнять субъекты с доступом на чтение.
Microsoft.KeyVault/vaults/keys/unwrap/action Распаковывает симметричный ключ с помощью ключа Key Vault.
Microsoft.KeyVault/vaults/keys/sign/action Подписывает хэш с помощью ключа.
Microsoft.KeyVault/vaults/keys/verify/action Проверяет сигнатуру хэша с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
  "name": "12338af0-0e69-4776-bea7-57ae8d297424",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/update/action",
        "Microsoft.KeyVault/vaults/keys/backup/action",
        "Microsoft.KeyVault/vaults/keys/encrypt/action",
        "Microsoft.KeyVault/vaults/keys/decrypt/action",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action",
        "Microsoft.KeyVault/vaults/keys/sign/action",
        "Microsoft.KeyVault/vaults/keys/verify/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель хранилища ключей

Считывает метаданные хранилищ ключей и их сертификатов, ключей и секретов. Не может считывать конфиденциальные значения, такие как содержимое секрета или материал ключа. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
Нет
Действия с данными
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/vaults/secrets/readMetadata/action Выводит в списке или отображает свойства секрета, но не его значение.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
  "name": "21090545-7ca7-4776-b22c-e363652d74d2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Специалист по секретам хранилища ключей

Выполняет любые действия с секретами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
Нет
Действия с данными
Microsoft.KeyVault/vaults/secrets/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь секретов хранилища ключей

Считывает содержимое секретов. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". Подробнее

Действия Описание
Нет
NotActions
Нет
Действия с данными
Microsoft.KeyVault/vaults/secrets/getSecret/action Получает значение секрета.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Выводит в списке или отображает свойства секрета, но не его значение.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
  "name": "4633458b-17de-408a-b874-0445c86b69e6",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник управляемого устройства HSM

Позволяет управлять управляемыми модулями HSM, но не доступом к ним. Подробнее

Действия Описание
Microsoft.KeyVault/managedHSMs/*
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage managed HSM pools, but not access to them.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
  "name": "18500a29-7fe2-46b2-a342-b16a415e101d",
  "permissions": [
    {
      "actions": [
        "Microsoft.KeyVault/managedHSMs/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed HSM contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник автоматизации Microsoft Sentinel

Участник Microsoft Sentinel Automation Дополнительные сведения

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Logic/workflows/triggers/read Считывает триггер.
Microsoft.Logic/workflows/triggers/listCallbackUrl/action Возвращает URL-адрес обратного вызова для триггера.
Microsoft.Logic/workflows/runs/read Считывает данные о выполнении рабочего процесса.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Automation Contributor",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Logic/workflows/triggers/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Logic/workflows/runs/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Automation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник Microsoft Sentinel

Microsoft Sentinel корреспондент Подробнее

Действия Описание
Microsoft.SecurityInsights/*
Microsoft.OperationalInsights/workspaces/analytics/query/action Поиск с помощью нового механизма.
Microsoft.OperationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.OperationalInsights/workspaces/savedSearches/*
Microsoft.OperationsManagement/solutions/read Возвращает существующее решение OMS.
Microsoft.OperationalInsights/workspaces/query/read Выполнение запросов к данным в рабочей области
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Возвращает источники данных в рабочей области.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/*
Microsoft.Insights/myworkbooks/read Чтение личной книги.
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Contributor",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
  "name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/*",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/*",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель Microsoft Sentinel

Дополнительные сведения см. в статье читатель Microsoft Sentinel Reader

Действия Описание
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Проверка авторизации и лицензии пользователя
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Запрос индикаторов аналитики угроз.
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Запрос индикаторов аналитики угроз.
Microsoft.OperationalInsights/workspaces/analytics/query/action Поиск с помощью нового механизма.
Microsoft.OperationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.OperationalInsights/workspaces/LinkedServices/read Получение связанных служб в заданной рабочей области.
Microsoft.OperationalInsights/workspaces/savedSearches/read Возвращает сохраненный поисковый запрос.
Microsoft.OperationsManagement/solutions/read Возвращает существующее решение OMS.
Microsoft.OperationalInsights/workspaces/query/read Выполнение запросов к данным в рабочей области
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Возвращает источники данных в рабочей области.
Microsoft.Insights/workbooks/read Чтение книги
Microsoft.Insights/myworkbooks/read Чтение личной книги.
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Reader",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/LinkedServices/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ответчик Microsoft Sentinel

Microsoft Sentinel ответчик дополнительные сведения

Действия Описание
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Проверка авторизации и лицензии пользователя
Microsoft.SecurityInsights/automationRules/*
Microsoft.SecurityInsights/cases/*
Microsoft.SecurityInsights/incidents/*
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Добавление тегов к индикатору аналитики угроз.
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Запрос индикаторов аналитики угроз.
Microsoft.SecurityInsights/threatIntelligence/bulkTag/action Аналитика угроз, связанных с групповыми тегами.
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Добавление тегов к индикатору аналитики угроз.
Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action Замена тегов индикатора анализа угроз.
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Запрос индикаторов аналитики угроз.
Microsoft.OperationalInsights/workspaces/analytics/query/action Поиск с помощью нового механизма.
Microsoft.OperationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.OperationalInsights/workspaces/dataSources/read Возвращает источники данных в рабочей области.
Microsoft.OperationalInsights/workspaces/savedSearches/read Возвращает сохраненный поисковый запрос.
Microsoft.OperationsManagement/solutions/read Возвращает существующее решение OMS.
Microsoft.OperationalInsights/workspaces/query/read Выполнение запросов к данным в рабочей области
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Возвращает источники данных в рабочей области.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/read Чтение книги
Microsoft.Insights/myworkbooks/read Чтение личной книги.
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.SecurityInsights/cases/*/Delete
Microsoft.SecurityInsights/incidents/*/Delete
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Responder",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/automationRules/*",
        "Microsoft.SecurityInsights/cases/*",
        "Microsoft.SecurityInsights/incidents/*",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/cases/*/Delete",
        "Microsoft.SecurityInsights/incidents/*/Delete"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Responder",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

администратор безопасности;

Просмотр и обновление разрешений для Центра безопасности. Имеет те же права, что и читатель сведений о безопасности, но также может изменять политику безопасности, отклонять рекомендации и оповещения. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Authorization/policyAssignments/* Создание назначений политик и управление ими
Microsoft.Authorization/policyDefinitions/* Создание определений политик и управление ими
Microsoft.Authorization/policyExemptions/* Создание исключений политик и управление ими.
Microsoft.Authorization/policySetDefinitions/* Создание наборов политик и управление ими
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Management/managementGroups/read Вывод списка групп управления для пользователя, прошедшего проверку подлинности.
Microsoft.operationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Security/* Создание компонентов и политик безопасности и управление ими
Microsoft.IoTSecurity/*
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.IoTSecurity/defenderSettings/write Создает или обновляет параметры Defender для Интернета вещей
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Admin Role",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Authorization/policyAssignments/*",
        "Microsoft.Authorization/policyDefinitions/*",
        "Microsoft.Authorization/policyExemptions/*",
        "Microsoft.Authorization/policySetDefinitions/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.IoTSecurity/*",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.IoTSecurity/defenderSettings/write"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник оценки безопасности

Позволяет отправлять оценки в Центр безопасности.

Действия Описание
Microsoft.Security/assessments/write Создание или обновление оценок безопасности в подписке
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you push assessments to Security Center",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Security/assessments/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Assessment Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Диспетчер безопасности (устаревший)

Это устаревшая роль. Используйте вместо нее роль администратора безопасности.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.ClassicCompute/*/read Чтение сведений о конфигурации классических виртуальных машин
Microsoft.ClassicCompute/virtualMachines/*/write Запись сведений о конфигурации классических виртуальных машин
Microsoft.ClassicNetwork/*/read Чтение сведений о конфигурации для классической сети
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Security/* Создание компонентов и политик безопасности и управление ими
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "This is a legacy role. Please use Security Administrator instead",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicCompute/*/read",
        "Microsoft.ClassicCompute/virtualMachines/*/write",
        "Microsoft.ClassicNetwork/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Manager (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель сведений о безопасности

Просмотр разрешений для Центра безопасности. Может просматривать рекомендации, оповещения, политику и состояние безопасности, но не может вносить изменения. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/read Чтение классического оповещения метрики.
Microsoft.operationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.Resources/deployments/*/read
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Security/*/read Чтение компонентов и политик безопасности
Microsoft.IoTSecurity/*/read
Microsoft.Support/*/read
Microsoft.Security/iotDefenderSettings/packageDownloads/action Получает сведения о загружаемых пакетах Defender для Интернета вещей.
Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action Скачивает файл активации диспетчера с данными квоты подписки.
Microsoft.Security/iotSensors/downloadResetPassword/action Скачивает файл сброса пароля для датчиков Интернета вещей.
Microsoft.IoTSecurity/defenderSettings/packageDownloads/action Получает сведения о загружаемых пакетах Defender для Интернета вещей.
Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action Скачивает файл активации диспетчера
Microsoft.Management/managementGroups/read Вывод списка групп управления для пользователя, прошедшего проверку подлинности.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Reader Role",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*/read",
        "Microsoft.IoTSecurity/*/read",
        "Microsoft.Support/*/read",
        "Microsoft.Security/iotDefenderSettings/packageDownloads/action",
        "Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
        "Microsoft.Security/iotSensors/downloadResetPassword/action",
        "Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
        "Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
        "Microsoft.Management/managementGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

DevOps

Пользователь DevTest Labs

Позволяет подключать, запускать, перезапускать виртуальные машины и завершать их работу в Azure DevTest Labs. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Compute/availabilitySets/read Возвращает свойства группы доступности.
Microsoft.Compute/virtualMachines/*/read Чтение свойств виртуальной машины (размеры виртуальных машин, состояние среды выполнения, расширения виртуальных машин, и т. д.)
Microsoft.Compute/virtualMachines/deallocate/action Завершает работу виртуальной машины и освобождает ее вычислительные ресурсы.
Microsoft.Compute/virtualMachines/read Возвращает свойства виртуальной машины.
Microsoft.Compute/virtualMachines/restart/action Перезапускает виртуальную машину.
Microsoft.Compute/virtualMachines/start/action Запуск виртуальной машины
Microsoft.DevTestLab/*/read Чтение свойств лаборатории
Microsoft.DevTestLab/labs/claimAnyVm/action Отправляет заявку на доступ к случайной запрашиваемой виртуальной машине в лаборатории.
Microsoft.DevTestLab/labs/createEnvironment/action Создает виртуальные машины в лаборатории.
Microsoft.DevTestLab/labs/ensureCurrentUserProfile/action Убедитесь, что у текущего пользователя есть допустимый профиль в лаборатории.
Microsoft.DevTestLab/labs/formulas/delete Удаляет формулы.
Microsoft.DevTestLab/labs/formulas/read Считывает формулы.
Microsoft.DevTestLab/labs/formulas/write Добавляет или изменяет формулы.
Microsoft.DevTestLab/labs/policySets/evaluatePolicies/action Оценивает политику лаборатории.
Microsoft.DevTestLab/labs/virtualMachines/claim/action Присваивает владение существующей виртуальной машиной.
Microsoft.DevTestLab/labs/virtualmachines/listApplicableSchedules/action Выводит список применимых расписаний запуска и остановки, если они есть.
Microsoft.DevTestLab/labs/virtualMachines/getRdpFileContents/action Получает строку, которая представляет содержание RDP-файла для виртуальной машины.
Microsoft.Network/loadBalancers/backendAddressPools/join/action Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений.
Microsoft.Network/loadBalancers/inboundNatRules/join/action Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений.
Microsoft.Network/networkInterfaces/*/read Чтение свойств сетевого интерфейса (например, всех балансировщиков нагрузки, частью которых является сетевой интерфейс)
Microsoft.Network/networkInterfaces/join/action Подключает виртуальную машину к сетевому интерфейсу. Не предусматривает отправку оповещений.
Microsoft.Network/networkInterfaces/read Возвращает определение сетевого интерфейса.
Microsoft.Network/networkInterfaces/write Создает новый сетевой интерфейс или обновляет существующий.
Microsoft.Network/publicIPAddresses/*/read Чтение свойств общедоступного IP-адреса
Microsoft.Network/publicIPAddresses/join/action Присоединяет общедоступный IP-адрес. Не предусматривает отправку оповещений.
Microsoft.Network/publicIPAddresses/read Возвращает определение общедоступного IP-адреса.
Microsoft.Network/virtualNetworks/subnets/join/action Присоединяет виртуальную сеть. Не предусматривает отправку оповещений.
Microsoft.Resources/deployments/operations/read Возвращает операции развертывания или выводит их список.
Microsoft.Resources/deployments/read Возвращает развернутые службы или выводит их список.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Storage/storageAccounts/listKeys/action Возвращает ключи доступа для указанной учетной записи хранения.
NotActions
Microsoft.Compute/virtualMachines/vmSizes/read Выводит список доступных размеров для обновления виртуальной машины.
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you connect, start, restart, and shutdown your virtual machines in your Azure DevTest Labs.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/76283e04-6283-4c54-8f91-bcf1374a3c64",
  "name": "76283e04-6283-4c54-8f91-bcf1374a3c64",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Compute/availabilitySets/read",
        "Microsoft.Compute/virtualMachines/*/read",
        "Microsoft.Compute/virtualMachines/deallocate/action",
        "Microsoft.Compute/virtualMachines/read",
        "Microsoft.Compute/virtualMachines/restart/action",
        "Microsoft.Compute/virtualMachines/start/action",
        "Microsoft.DevTestLab/*/read",
        "Microsoft.DevTestLab/labs/claimAnyVm/action",
        "Microsoft.DevTestLab/labs/createEnvironment/action",
        "Microsoft.DevTestLab/labs/ensureCurrentUserProfile/action",
        "Microsoft.DevTestLab/labs/formulas/delete",
        "Microsoft.DevTestLab/labs/formulas/read",
        "Microsoft.DevTestLab/labs/formulas/write",
        "Microsoft.DevTestLab/labs/policySets/evaluatePolicies/action",
        "Microsoft.DevTestLab/labs/virtualMachines/claim/action",
        "Microsoft.DevTestLab/labs/virtualmachines/listApplicableSchedules/action",
        "Microsoft.DevTestLab/labs/virtualMachines/getRdpFileContents/action",
        "Microsoft.Network/loadBalancers/backendAddressPools/join/action",
        "Microsoft.Network/loadBalancers/inboundNatRules/join/action",
        "Microsoft.Network/networkInterfaces/*/read",
        "Microsoft.Network/networkInterfaces/join/action",
        "Microsoft.Network/networkInterfaces/read",
        "Microsoft.Network/networkInterfaces/write",
        "Microsoft.Network/publicIPAddresses/*/read",
        "Microsoft.Network/publicIPAddresses/join/action",
        "Microsoft.Network/publicIPAddresses/read",
        "Microsoft.Network/virtualNetworks/subnets/join/action",
        "Microsoft.Resources/deployments/operations/read",
        "Microsoft.Resources/deployments/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Storage/storageAccounts/listKeys/action"
      ],
      "notActions": [
        "Microsoft.Compute/virtualMachines/vmSizes/read"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "DevTest Labs User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Создатель лаборатории

Позволяет создавать лаборатории в учетных записях лабораторий Azure. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.LabServices/labAccounts/*/read
Microsoft.LabServices/labAccounts/createLab/action Создание лаборатории в учетной записи лаборатории.
Microsoft.LabServices/labAccounts/getPricingAndAvailability/action Получение сведений о ценах и доступности сочетаний размеров, географических регионов и операционных систем для учетной записи лаборатории.
Microsoft.LabServices/labAccounts/getRestrictionsAndUsage/action Получение базовых ограничений и использования для этой подписки
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
/Лабпланс/имажес/Реад Microsoft. лабсервицес Возвращает свойства образа.
/Лабпланс/Реад Microsoft. лабсервицес Получение свойств плана лаборатории.
/Лабпланс/савеимаже/Актион Microsoft. лабсервицес Создание образа из виртуальной машины в коллекции, подключенной к плану лаборатории.
/Лабс/Реад Microsoft. лабсервицес Возвращает свойства лаборатории.
/Лабс/счедулес/Реад Microsoft. лабсервицес Возвращает свойства расписания.
/Лабс/усерс/Реад Microsoft. лабсервицес Возвращает свойства пользователя.
/Лабс/виртуалмачинес/Реад Microsoft. лабсервицес Возвращает свойства виртуальной машины.
/Локатионс/усажес/Реад Microsoft. лабсервицес Получение сведений об использовании в расположении
/Скус/Реад Microsoft. лабсервицес Получает свойства номера SKU служб лаборатории.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
/Лабпланс/креателаб/Актион Microsoft. лабсервицес Создайте новую лабораторию на основе плана лаборатории.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you create new labs under your Azure Lab Accounts.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b97fb8bc-a8b2-4522-a38b-dd33c7e65ead",
  "name": "b97fb8bc-a8b2-4522-a38b-dd33c7e65ead",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.LabServices/labAccounts/*/read",
        "Microsoft.LabServices/labAccounts/createLab/action",
        "Microsoft.LabServices/labAccounts/getPricingAndAvailability/action",
        "Microsoft.LabServices/labAccounts/getRestrictionsAndUsage/action",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.LabServices/labPlans/images/read",
        "Microsoft.LabServices/labPlans/read",
        "Microsoft.LabServices/labPlans/saveImage/action",
        "Microsoft.LabServices/labs/read",
        "Microsoft.LabServices/labs/schedules/read",
        "Microsoft.LabServices/labs/users/read",
        "Microsoft.LabServices/labs/virtualMachines/read",
        "Microsoft.LabServices/locations/usages/read",
        "Microsoft.LabServices/skus/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.LabServices/labPlans/createLab/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Lab Creator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Монитор

Участник компонента Application Insights

Может управлять компонентами Application Insights. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классических правил оповещения и управление ими
Microsoft.Insights/generateLiveToken/read Токен получения Live Metrics.
Microsoft.Insights/metricAlerts/* Создание новых правил оповещения и управление ими
Microsoft.Insights/components/* Создание компонентов Insights и управление ими
Microsoft.Insights/scheduledqueryrules/*
Microsoft.Insights/topology/read Топология чтения.
Microsoft.Insights/transactions/read Транзакции чтения.
Microsoft.Insights/webtests/* Создание веб-тестов аналитики и управление ими
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can manage Application Insights components",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/ae349356-3a1b-4a5e-921d-050484c6347e",
  "name": "ae349356-3a1b-4a5e-921d-050484c6347e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/generateLiveToken/read",
        "Microsoft.Insights/metricAlerts/*",
        "Microsoft.Insights/components/*",
        "Microsoft.Insights/scheduledqueryrules/*",
        "Microsoft.Insights/topology/read",
        "Microsoft.Insights/transactions/read",
        "Microsoft.Insights/webtests/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Application Insights Component Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Отладчик моментальных снимков Application Insights

Пользователю предоставляется разрешение на просмотр и загрузку моментальных снимков отладки, собранных с помощью Application Insights Snapshot Debugger. Обратите внимание, что эти разрешения не включены в роли Владелец или Участник. При предоставлении пользователям роли Application Insights Snapshot Debugger необходимо предоставить роль непосредственно пользователю. Роль не распознается при добавлении в настраиваемую роль. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/components/*/read
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Gives user permission to use Application Insights Snapshot Debugger features",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/08954f03-6346-4c2e-81c0-ec3a5cfae23b",
  "name": "08954f03-6346-4c2e-81c0-ec3a5cfae23b",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/components/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Application Insights Snapshot Debugger",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Monitoring Contributor

Может читать все данные мониторинга и изменять параметры мониторинга. Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. Подробнее

Действия Описание
*/чтение Чтение ресурсов всех типов, кроме секретов.
Microsoft.AlertsManagement/alerts/*
Microsoft.AlertsManagement/alertsSummary/*
Microsoft.Insights/actiongroups/*
Microsoft.Insights/activityLogAlerts/*
Microsoft.Insights/AlertRules/* Создание классического оповещения метрики и управление им
Microsoft.Insights/components/* Создание компонентов Insights и управление ими
Microsoft. Аналитика/датаколлектионендпоинтс/*
Microsoft.Insights/dataCollectionRules/*
Microsoft.Insights/dataCollectionRuleAssociations/*
Microsoft.Insights/DiagnosticSettings/* Создание, обновление или считывание параметра диагностики для сервера анализа данных.
Microsoft.Insights/eventtypes/* Вывод списка событий журнала действий (событий управления) в подписке. Это разрешение применяется для доступа к журналу действий посредством кода или портала.
Microsoft.Insights/LogDefinitions/* Это разрешение необходимо пользователям, которым требуется доступ к журналам действия на портале. Получение списка категорий журнала в журнале действий.
Microsoft.Insights/metricalerts/*
Microsoft.Insights/MetricDefinitions/* Чтение определений метрик (вывод списка доступных типов метрик для ресурса).
Microsoft.Insights/Metrics/* Чтение метрик для ресурса.
Microsoft.Insights/Register/Action Регистрирует поставщик Microsoft Insights.
Microsoft.Insights/scheduledqueryrules/*
Microsoft.Insights/webtests/* Создание веб-тестов аналитики и управление ими
Microsoft.Insights/workbooks/*
Microsoft.Insights/privateLinkScopes/*
Microsoft.Insights/privateLinkScopeOperationStatuses/*
Microsoft.OperationalInsights/workspaces/write Создает новую рабочую область или устанавливает связь с существующей рабочей областью с помощью указанного идентификатора клиента, полученного из нее.
Microsoft.OperationalInsights/workspaces/intelligencepacks/* Чтение, запись и удаление пакетов решений Log Analytics.
Microsoft.OperationalInsights/workspaces/savedSearches/* Чтение, запись и удаление сохраненных поисков Log Analytics.
Microsoft.OperationalInsights/workspaces/search/action Выполняет поисковый запрос.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Извлекает открытые ключи для рабочей области. Эти ключи используются для подключения агентов Microsoft Operational Insights к рабочей области.
Microsoft.OperationalInsights/workspaces/storageinsightconfigs/* Чтение, запись и удаление конфигураций подробных данных хранилища Log Analytics.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.WorkloadMonitor/monitors/* Получение сведений о мониторах работоспособности гостевой виртуальной машины.
Microsoft.AlertsManagement/smartDetectorAlertRules/*
Microsoft.AlertsManagement/actionRules/*
Microsoft.AlertsManagement/smartGroups/*
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read all monitoring data and update monitoring settings.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/749f88d5-cbae-40b8-bcfc-e573ddc772fa",
  "name": "749f88d5-cbae-40b8-bcfc-e573ddc772fa",
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.AlertsManagement/alerts/*",
        "Microsoft.AlertsManagement/alertsSummary/*",
        "Microsoft.Insights/actiongroups/*",
        "Microsoft.Insights/activityLogAlerts/*",
        "Microsoft.Insights/AlertRules/*",
        "Microsoft.Insights/components/*",
        "Microsoft.Insights/dataCollectionEndpoints/*",
        "Microsoft.Insights/dataCollectionRules/*",
        "Microsoft.Insights/dataCollectionRuleAssociations/*",
        "Microsoft.Insights/DiagnosticSettings/*",
        "Microsoft.Insights/eventtypes/*",
        "Microsoft.Insights/LogDefinitions/*",
        "Microsoft.Insights/metricalerts/*",
        "Microsoft.Insights/MetricDefinitions/*",
        "Microsoft.Insights/Metrics/*",
        "Microsoft.Insights/Register/Action",
        "Microsoft.Insights/scheduledqueryrules/*",
        "Microsoft.Insights/webtests/*",
        "Microsoft.Insights/workbooks/*",
        "Microsoft.Insights/privateLinkScopes/*",
        "Microsoft.Insights/privateLinkScopeOperationStatuses/*",
        "Microsoft.OperationalInsights/workspaces/write",
        "Microsoft.OperationalInsights/workspaces/intelligencepacks/*",
        "Microsoft.OperationalInsights/workspaces/savedSearches/*",
        "Microsoft.OperationalInsights/workspaces/search/action",
        "Microsoft.OperationalInsights/workspaces/sharedKeys/action",
        "Microsoft.OperationalInsights/workspaces/storageinsightconfigs/*",
        "Microsoft.Support/*",
        "Microsoft.WorkloadMonitor/monitors/*",
        "Microsoft.AlertsManagement/smartDetectorAlertRules/*",
        "Microsoft.AlertsManagement/actionRules/*",
        "Microsoft.AlertsManagement/smartGroups/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Monitoring Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Издатель метрик мониторинга

Включает публикацию метрик ресурсов Azure. Подробнее

Действия Описание
Microsoft.Insights/Register/Action Регистрирует поставщик Microsoft Insights.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
NotActions
Нет
Действия с данными
Microsoft.Insights/Metrics/Write Запись метрик.
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Enables publishing metrics against Azure resources",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/3913510d-42f4-4e42-8a64-420c390055eb",
  "name": "3913510d-42f4-4e42-8a64-420c390055eb",
  "permissions": [
    {
      "actions": [
        "Microsoft.Insights/Register/Action",
        "Microsoft.Support/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Insights/Metrics/Write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Monitoring Metrics Publisher",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль Monitoring Reader

Может читать все данные мониторинга (метрики, журналы и т. д.). Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. Подробнее

Действия Описание
*/чтение Чтение ресурсов всех типов, кроме секретов.
Microsoft.OperationalInsights/workspaces/search/action Выполняет поисковый запрос.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read all monitoring data.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/43d0d8ad-25c7-4714-9337-8ba259a9fe05",
  "name": "43d0d8ad-25c7-4714-9337-8ba259a9fe05",
  "permissions": [
    {
      "actions": [
        "*/read",
        "Microsoft.OperationalInsights/workspaces/search/action",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Monitoring Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник для книг

Может сохранять общие книги. Подробнее

Действия Описание
Microsoft.Insights/workbooks/write Создание или обновление книги
Microsoft.Insights/workbooks/delete Удаление книги
Microsoft.Insights/workbooks/read Чтение книги
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can save shared workbooks.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/e8ddcd69-c73f-4f9f-9844-4100522f16ad",
  "name": "e8ddcd69-c73f-4f9f-9844-4100522f16ad",
  "permissions": [
    {
      "actions": [
        "Microsoft.Insights/workbooks/write",
        "Microsoft.Insights/workbooks/delete",
        "Microsoft.Insights/workbooks/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Workbook Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель книг

Может читать книги. Подробнее

Действия Описание
microsoft.insights/workbooks/read Чтение книги
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read workbooks.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b279062a-9be3-42a0-92ae-8b3cf002ec4d",
  "name": "b279062a-9be3-42a0-92ae-8b3cf002ec4d",
  "permissions": [
    {
      "actions": [
        "microsoft.insights/workbooks/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Workbook Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Управление + система управления

Участник службы автоматизации

Управляйте ресурсами службы автоматизации Azure и другими ресурсами с помощью службы автоматизации Azure. Подробнее

Действия Описание
Microsoft.Automation/automationAccounts/*
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft. Аналитика/актионграупс/*
Microsoft. Аналитика/активитилогалертс/*
Microsoft. Аналитика/метрикалертс/*
Microsoft. Аналитика/счедуледкуерирулес/*
Microsoft.Insights/diagnosticSettings/* Создание, обновление или считывание параметра диагностики для сервера анализа данных.
Microsoft.OperationalInsights/workspaces/sharedKeys/action Извлекает открытые ключи для рабочей области. Эти ключи используются для подключения агентов Microsoft Operational Insights к рабочей области.
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage azure automation resources and other resources using azure automation.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f353d9bd-d4a6-484e-a77a-8050b599b867",
  "name": "f353d9bd-d4a6-484e-a77a-8050b599b867",
  "permissions": [
    {
      "actions": [
        "Microsoft.Automation/automationAccounts/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Insights/ActionGroups/*",
        "Microsoft.Insights/ActivityLogAlerts/*",
        "Microsoft.Insights/MetricAlerts/*",
        "Microsoft.Insights/ScheduledQueryRules/*",
        "Microsoft.Insights/diagnosticSettings/*",
        "Microsoft.OperationalInsights/workspaces/sharedKeys/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Automation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор заданий службы автоматизации

Создание заданий и управление ими с помощью модулей Runbook службы автоматизации. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Считывает ресурсы гибридной рабочей роли Runbook.
Microsoft.Automation/automationAccounts/jobs/read Возвращает задание службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/resume/action Возобновляет выполнение задания службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/stop/action Останавливает задание службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/streams/read Возвращает поток задания службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/suspend/action Приостанавливает задание службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/write Создает задание службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/output/read Возвращает выходные данные задания.
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create and Manage Jobs using Automation Runbooks.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/4fe576fe-1146-4730-92eb-48519fa6bf9f",
  "name": "4fe576fe-1146-4730-92eb-48519fa6bf9f",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read",
        "Microsoft.Automation/automationAccounts/jobs/read",
        "Microsoft.Automation/automationAccounts/jobs/resume/action",
        "Microsoft.Automation/automationAccounts/jobs/stop/action",
        "Microsoft.Automation/automationAccounts/jobs/streams/read",
        "Microsoft.Automation/automationAccounts/jobs/suspend/action",
        "Microsoft.Automation/automationAccounts/jobs/write",
        "Microsoft.Automation/automationAccounts/jobs/output/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Automation Job Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор службы автоматизации

Операторы автоматизации могут запускать, останавливать, приостанавливать и возобновлять задания. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read Считывает ресурсы гибридной рабочей роли Runbook.
Microsoft.Automation/automationAccounts/jobs/read Возвращает задание службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/resume/action Возобновляет выполнение задания службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/stop/action Останавливает задание службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/streams/read Возвращает поток задания службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/suspend/action Приостанавливает задание службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobs/write Создает задание службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobSchedules/read Возвращает расписание заданий службы автоматизации Azure.
Microsoft.Automation/automationAccounts/jobSchedules/write Создает расписание заданий службы автоматизации Azure.
Microsoft.Automation/automationAccounts/linkedWorkspace/read Получает рабочую область, связанную с учетной записью службы автоматизации.
Microsoft.Automation/automationAccounts/read Возвращает учетную запись службы автоматизации Azure.
Microsoft.Automation/automationAccounts/runbooks/read Возвращает runbook службы автоматизации Azure.
Microsoft.Automation/automationAccounts/schedules/read Возвращает ресурс расписания службы автоматизации Azure.
Microsoft.Automation/automationAccounts/schedules/write Создает или обновляет ресурс расписания службы автоматизации Azure.
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Automation/automationAccounts/jobs/output/read Возвращает выходные данные задания.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Automation Operators are able to start, stop, suspend, and resume jobs",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/d3881f73-407a-4167-8283-e981cbba0404",
  "name": "d3881f73-407a-4167-8283-e981cbba0404",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Automation/automationAccounts/hybridRunbookWorkerGroups/read",
        "Microsoft.Automation/automationAccounts/jobs/read",
        "Microsoft.Automation/automationAccounts/jobs/resume/action",
        "Microsoft.Automation/automationAccounts/jobs/stop/action",
        "Microsoft.Automation/automationAccounts/jobs/streams/read",
        "Microsoft.Automation/automationAccounts/jobs/suspend/action",
        "Microsoft.Automation/automationAccounts/jobs/write",
        "Microsoft.Automation/automationAccounts/jobSchedules/read",
        "Microsoft.Automation/automationAccounts/jobSchedules/write",
        "Microsoft.Automation/automationAccounts/linkedWorkspace/read",
        "Microsoft.Automation/automationAccounts/read",
        "Microsoft.Automation/automationAccounts/runbooks/read",
        "Microsoft.Automation/automationAccounts/schedules/read",
        "Microsoft.Automation/automationAccounts/schedules/write",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Automation/automationAccounts/jobs/output/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Automation Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор Runbook службы автоматизации

Чтение свойств Runbook, позволяющее создавать задания Runbook. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Automation/automationAccounts/runbooks/read Возвращает runbook службы автоматизации Azure.
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read Runbook properties - to be able to create Jobs of the runbook.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/5fb5aef8-1081-4b8e-bb16-9d5d0385bab5",
  "name": "5fb5aef8-1081-4b8e-bb16-9d5d0385bab5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Automation/automationAccounts/runbooks/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Automation Runbook Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Роль пользователя кластера Kubernetes с поддержкой Azure Arc

Действие вывода учетных данных пользователей кластера.

Действия Описание
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action Перечисляет учетные данные clusterUser
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Нет
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credentials action.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
  "name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор Kubernetes Azure Arc

Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read Считывает controllerrevisions.
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*
Microsoft.Kubernetes/connectedClusters/apps/deployments/*
Microsoft.Kubernetes/connectedClusters/apps/replicasets/*
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*
Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write Записывает localsubjectaccessreviews
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*
Microsoft.Kubernetes/connectedClusters/batch/jobs/*
Microsoft.Kubernetes/connectedClusters/configmaps/*
Microsoft.Kubernetes/connectedClusters/endpoints/*
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read Считывает events.
Microsoft.Kubernetes/connectedClusters/events/read Считывает events.
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*
Microsoft.Kubernetes/connectedClusters/extensions/deployments/*
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*
Microsoft.Kubernetes/connectedClusters/limitranges/read Считывает limitranges.
Microsoft.Kubernetes/connectedClusters/namespaces/read Считывает namespaces.
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*
Microsoft.Kubernetes/connectedClusters/pods/*
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/resourcequotas/read Считывает resourcequotas.
Microsoft.Kubernetes/connectedClusters/secrets/*
Microsoft.Kubernetes/connectedClusters/serviceaccounts/*
Microsoft.Kubernetes/connectedClusters/services/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
  "name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
        "Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
        "Microsoft.Kubernetes/connectedClusters/configmaps/*",
        "Microsoft.Kubernetes/connectedClusters/endpoints/*",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
        "Microsoft.Kubernetes/connectedClusters/pods/*",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
        "Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/secrets/*",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
        "Microsoft.Kubernetes/connectedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор кластера Kubernetes Azure Arc

Позволяет управлять всеми ресурсами в кластере. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными
Microsoft.Kubernetes/connectedClusters/*
NotDataActions
Нет
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources in the cluster.",
  "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
  "name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Зритель Kubernetes Azure Arc

Позволяет просматривать все ресурсы в кластере или пространстве имен, за исключением секретов. Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Resources/subscriptions/operationresults/read Возвращает результаты операции подписки.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Нет
Действия с данными