Встроенные роли Azure
Управление доступом на основе ролей (Azure RBAC) имеет несколько встроенных ролей Azure, которые можно назначить для пользователей, групп, субъектов-служб и управляемых удостоверений. Назначение ролей является способом управления доступом к ресурсам Azure. Если встроенные роли не соответствуют потребностям вашей организации, вы можете создать собственные настраиваемые роли Azure. Сведения о назначении ролей см. в разделе Действия по назначению роли Azure.
В этой статье перечислены встроенные роли Azure. Если вы ищете роли администратора для идентификатора Microsoft Entra, ознакомьтесь со встроенными ролями Microsoft Entra.
В таблице ниже содержится краткое описание каждой из встроенных ролей. Щелкните имя роли, чтобы просмотреть список Actions, NotActions, DataActions и NotDataActions для каждой роли. Сведения о том, что такое действия означают и как они применяются к плоскостям управления и данных, см. в разделе "Общие сведения об определениях ролей Azure".
Общие
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Участник | Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC), управлять назначениями в Azure Blueprints или предоставлять общий доступ к галереям изображений. | b24988ac-6180-42a0-ab88-20f7382dd24c |
| Ответственное лицо | Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC. | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
| Читатель | Дает возможность просматривать все ресурсы, но не позволяет вносить изменения. | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| Контроль доступа Администратор istrator на основе ролей | Управление доступом к ресурсам Azure путем назначения ролей с помощью Azure RBAC. Эта роль не позволяет управлять доступом с помощью других способов, таких как Политика Azure. | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
| Администратор доступа пользователей | Позволяет управлять доступом пользователей к ресурсам Azure. | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
Службы вычислений
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Участник классической виртуальной машины | Позволяет управлять классическими виртуальными машинами, но не доступом к ним и не учетной записью виртуальной сети или хранения, к которой они подключены. | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| Оператор данных для Управляемые диски | Предоставляет разрешения на отправку данных на пустые управляемые диски, чтение или экспорт данных управляемых дисков (не подключенных к запущенным виртуальным машинам) и моментальных снимков с помощью URI SAS и проверки подлинности Azure AD. | 959f8984-c045-4866-89c7-12bf9737be2e |
| Участник группы приложений виртуализации рабочих столов | Участник группы приложений виртуализации рабочих столов. | 86240b0e-9422-4c43-887b-b61143f32ba8 |
| Читатель группы приложений виртуализации рабочих столов | Читатель группы приложений виртуализации рабочих столов. | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
| Участник виртуализации рабочих столов | Участник виртуализации рабочих столов. | 082f0a83-3be5-4ba1-904c-961cca79b387 |
| Участник пула узлов виртуализации рабочих столов | Участник пула узлов виртуализации рабочих столов. | e307426c-f9b6-4e81-87de-d99efb3c32bc |
| Читатель пула узлов виртуализации рабочих столов | Читатель пула узлов виртуализации рабочих столов. | ceadfde2-b300-400a-ab7b-6143895aa822 |
| Читатель виртуализации рабочих столов | Читатель виртуализации рабочих столов. | 49a72310-ab8d-41df-bbb0-79b649203868 |
| Оператор узла сеансов виртуализации рабочих столов | Оператор узла сеансов виртуализации рабочих столов. | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
| Пользователь виртуализации рабочих столов | Позволяет пользователю работать с приложениями в группе приложений. | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
| Оператор сеанса пользователей виртуализации рабочих столов | Оператор сеанса пользователей виртуализации рабочих столов. | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
| Участник рабочей области виртуализации рабочих столов | Участник рабочей области виртуализации рабочих столов. | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
| Читатель рабочей области виртуализации рабочих столов | Читатель рабочей области виртуализации рабочих столов. | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
| Читатель резервной копии диска | Предоставляет резервному хранилищу разрешение для выполнения архивации диска. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| Оператор пула дисков | Предоставьте разрешение поставщику ресурсов служба хранилища Pool для управления дисками, добавленными в пул дисков. | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
| Оператор восстановления дисков | Предоставляет резервному хранилищу разрешение на выполнение восстановления диска. | b50d9833-a0cb-478e-945f-707fcc997c13 |
| Участник моментальных снимков дисков | Предоставляет резервному хранилищу разрешение на управление моментальными снимками дисков. | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
| Администратор виртуальной машины | Позволяет просматривать виртуальные машины на портале и входить в систему с правами администратора. | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
| Участник виртуальной машины | Создание виртуальных машин и управление ими, управление дисками, установка и запуск программного обеспечения, сброс пароля корневого пользователя виртуальной машины с помощью расширений виртуальной машины и управление учетными записями локальных пользователей с помощью расширений виртуальной машины. Эта роль не предоставляет доступ для управления виртуальной сетью или учетной записью хранения, к которой подключены виртуальные машины. Эта роль не позволяет назначать роли в Azure RBAC. | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| Доступ к данным виртуальной машины Администратор istrator (предварительная версия) | Управление доступом к Виртуальные машины путем добавления или удаления назначений ролей для ролей входа пользователя виртуальной машины Администратор istrator и имени входа пользователя виртуальной машины. Включает условие ABAC для ограничения назначений ролей. | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
| Имя входа локального пользователя виртуальной машины | Просмотр Виртуальные машины на портале и вход в качестве локального пользователя, настроенного на сервере arc | 602da2ba-a5c2-41da-b01d-5360126ab525 |
| Пользователь виртуальной машины | Позволяет просматривать виртуальные машины на портале и входить в систему с правами обычного пользователя. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| Вход администратора Windows Admin Center | Давайте управляем ОС ресурса с помощью Центра Администратор Windows в качестве администратора. | a633a3e-0164-44c3-b281-7a577aff287f |
Сеть
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Участник домена Azure Front Door | Для внутреннего использования в Azure. Может управлять доменами Azure Front Door, но не может предоставлять доступ другим пользователям. | 0ab34830-df19-4f8c-b84e-aa85b8afa6e8 |
| Читатель домена Azure Front Door | Для внутреннего использования в Azure. Может просматривать домены Azure Front Door, но не может вносить изменения. | 0f99d363-226e-4dca-9920-b807cf8e1a5f |
| Средство чтения профилей Azure Front Door | Может просматривать профили AFD уровня "Стандартный" и "Премиум" и их конечные точки, но не могут вносить изменения. | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
| Участник секретов Azure Front Door | Для внутреннего использования в Azure. Может управлять секретами Azure Front Door, но не может предоставлять доступ другим пользователям. | 3f2eb865-5811-4578-b90a-6fc6fa0df8e5 |
| Средство чтения секретов Azure Front Door | Для внутреннего использования в Azure. Может просматривать секреты Azure Front Door, но не может вносить изменения. | 0db238c4-885e-4c4f-a933-aa2cef684fca |
| Участник конечных точек CDN | Может управлять конечными точками CDN, но не может предоставлять доступ другим пользователям. | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| Читатель конечной точки CDN | Может просматривать конечные точки CDN, но не может вносить изменения. | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| Участник профиля CDN | Может управлять профилями CDN и Azure Front Door уровня "Стандартный" и "Премиум" и их конечными точками, но не может предоставлять доступ другим пользователям. | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
| Читатель данных профиля CDN | Может просматривать профили CDN и их конечные точки, но не может вносить изменения. | 8f96442b-4075-438f-813d-ad51ab4019af |
| Участник классической сети | Позволяет управлять классическими сетями, но не доступом к ним. | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| Участник зоны DNS | Позволяет управлять зонами DNS и наборами записей в Azure DNS, но не тем, кому они будут доступны. | befefa01-2a29-4197-83a8-272ff33ce314 |
| Участник сети | Позволяет управлять сетями, но не доступом к ним. | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| Участник частной зоны DNS | Позволяет управлять ресурсами частной зоны DNS, но не виртуальными сетями, с которыми они связаны. | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
| Участник диспетчера трафика | Позволяет управлять профилями диспетчера трафика, но не доступом к ним. | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
Хранилище
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Участник Avere | Может создавать и контролировать кластер Avere vFXT. | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
| Оператор Avere | Используется кластером Avere vFXT для управления кластером | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
| Участник резервного копирования | Позволяет управлять службой архивации, но не разрешает создавать хранилища и предоставлять доступ другим пользователям | 5e467623-bb1f-42f4-a55d-6e525e11384b |
| Оператор резервного копирования | Позволяет управлять службами архивации, но не удалять архивные копии, создавать хранилища или предоставлять доступ другим пользователям | 00c29273-979b-4161-815c-10b084fb9324 |
| Читатель резервных копий | Может просматривать службы резервного копирования, но не может вносить изменения. | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
| Участник классической учетной записи хранения | Позволяет управлять классическими учетными записями хранения, но не предоставлять доступ к ним. | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| Роль службы оператора ключей классических учетных записей хранения | Операторы ключей классических учетных записей хранения могут перечислять и повторно создавать ключи в классических учетных записях хранения. | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| Участник Data Box | Позволяет управлять всеми данными службы Data Box, кроме предоставления доступа другим пользователям. | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| Читатель Data Box | Позволяет управлять службой Data Box, но не позволяет создавать заказы и менять их порядок, а также предоставлять доступ другим пользователям. | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| Разработчик Data Lake Analytics | Позволяет отправлять, отслеживать задания и управлять ими, но не позволяет создавать или удалять учетные записи Data Lake Analytics. | 47b7735b-770e-4598-a7da-8b91488b4c88 |
| Защитник для сканера данных служба хранилища | Предоставляет доступ к большим двоичным объектам чтения и обновления тегов индекса. Эта роль используется сканером данных Defender для служба хранилища. | 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40 |
| Владелец эластичной сети SAN | Обеспечивает полный доступ ко всем ресурсам в Azure Elastic SAN, включая изменение политик безопасности сети для разблокировки доступа к пути к данным | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
| Средство чтения эластичных SAN | Разрешает доступ на чтение пути управления к Azure Elastic SAN | af6a70f8-3c9f-4105-acf1-d719e9e9fca4ca |
| Владелец группы томов Elastic SAN | Обеспечивает полный доступ к группе томов в Azure Elastic SAN, включая изменение политик безопасности сети для разблокировки доступа к пути к данным | a8281131-f312-4f34-8d98-ae12be9f0d23 |
| Модуль чтения и доступ к данным | Позволяет просматривать все данные, но не позволит удалить или создать учетную запись хранения или содержащий ресурс. Он также предоставит доступ на чтение и запись для всех данных, содержащихся в учетной записи хранения через доступ к ключам учетной записи хранения. | c12c1c16-33a1-487b-954d-41c89c60f349 |
| участник резервного копирования учетных записей служба хранилища | Позволяет выполнять операции резервного копирования и восстановления с помощью Azure Backup в учетной записи хранения. | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
| Участник учетной записи хранения | Разрешает управление учетными записями хранения. Предоставляет доступ к ключу учетной записи, который можно использовать для доступа к данным посредством авторизации с использованием общего ключа. | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
| Роль службы оператора ключей учетных записей хранения | Разрешает перечисление и повторное создание ключей доступа к учетной записи хранения. | 81a9662b-bebf-436f-a333-f67b29880f12 |
| Участник данных хранилища BLOB-объектов | Чтение, запись и удаление контейнеров службы хранилища Azure и больших двоичных объектов. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| владелец данных BLOB-объектов хранилища; | Предоставляет полный доступ к контейнерам и данным BLOB-объектов службы хранилища Azure, включая назначение элемента управления доступом POSIX. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
| читатель данных больших двоичных объектов хранилища. | Чтение и перечисление контейнеров и больших двоичных объектов службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
| Представитель BLOB-объектов хранилища | Получение ключа делегирования пользователя, который затем можно использовать для создания подписи общего доступа для контейнера или большого двоичного объекта, подписанного с помощью учетных данных Azure AD. Дополнительные сведения см. в разделе Создание SAS для делегирования пользователя. | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
| участник привилегированных данных служба хранилища | Разрешает чтение, запись, удаление и изменение списков управления доступом к файлам и каталогам в общих папках Azure путем переопределения существующих разрешений ACL/NTFS. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. | 69566ab7-960f-475b-8e7c-b318f30c6bd |
| средство чтения с привилегированными данными служба хранилища файлов | Разрешает доступ на чтение файлов и каталогов в общих папках Azure, переопределяя существующие разрешения ACL/NTFS. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. | b8eda974-7b85-4f76-af95-65846b26df6d |
| Участник общей папки файловых данных хранилища SMB | Разрешает доступ на чтение, запись и удаление файлов/каталогов в общих папках Azure. У этой роли нет эквивалентных встроенных ролей на файловых серверах Windows. | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
| Участник общих папок данных SMB службы хранилища с повышенными правами | Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для изменения на файловых серверах Windows. | a7264617-510b-434b-a828-9731dc254ea7 |
| Читатель общей папки файловых данных хранилища SMB | Разрешает доступ на чтение файлов/каталогов в общих папках Azure. Эта роль эквивалентна ACL общей папки для чтения данных на файловых серверах Windows. | aba4ae5f-2193-4029-9191-0cb91df5e314 |
| Участник для данных очереди хранилища | Чтение, запись и удаление очередей и сообщений в очередях службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| Обработчик сообщений данных в очереди хранилища | Просмотр, получение и удаление сообщений в очередях службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
| Отправитель сообщений данных в очередь хранилища | Добавление сообщений в очередь службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
| Читатель данных очереди хранилища | Чтение и перечисление очередей и сообщений в очередях службы хранилища Azure. Сведения о действиях, необходимых для данной операции с данными, см. в разделе "Разрешения для вызова операций с данными". | 19e7f393-937e-4f77-808e-94535e297925 |
| Участник данных таблицы хранилища | Разрешает доступ на чтение, запись и удаление к таблицам и сущностям службы хранилища Azure | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
| Читатель данных таблицы хранилища | Разрешает доступ на чтение к таблицам и сущностям службы хранилища Azure | 76199698-9eea-4c19-bc75-cec21354c6b6 |
Интернет и мобильные приложения
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Разработчик данных Azure Maps | Предоставляет доступ для чтения, записи и удаления связанных данных карт в учетной записи Azure Maps. | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
| Читатель данных Azure Maps | Предоставляет доступ на чтение связанных данных карты в учетной записи Azure Maps. | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
| Участник сервера конфигурации Azure Spring Cloud | Разрешить доступ для чтения, записи и удаления к серверу конфигурации Azure Spring Cloud | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
| Средство чтения сервера конфигурации Azure Spring Cloud | Разрешить доступ на чтение к серверу конфигурации Azure Spring Cloud | d04c6db6-4947-4782-9e91-30a88feb7be7 |
| Читатель данных Azure Spring Cloud | Разрешает доступ на чтение данных Azure Spring Cloud. | b5537268-8956-4941-a8f0-646150406f0c |
| Участник реестра служб Azure Spring Cloud | Разрешить доступ к реестру служб Azure Spring Cloud для чтения, записи и удаления | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
| Читатель реестра службы Azure Spring Cloud | Разрешить доступ на чтение к реестру служб Azure Spring Cloud | cff1b556-2399-4e7e-856d-a8f754be7b65 |
| Администратор учетной записи Служб мультимедиа | Создание, чтение, изменение и удаление учетных записей Служб мультимедиа; доступ только на чтение в других ресурсах Служб мультимедиа. | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
| Администратор служб мультимедиа Live Events | Создание, чтение, изменение и удаление событий трансляции, ресурсов, фильтров активов и указателей потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа. | 532bc159-b25e-42c0-969e-a1d439f60d77 |
| Оператор мультимедиа Служб мультимедиа | Создание, чтение, изменение и удаление активов, фильтров активов, указателей потоковой передачи и заданий; доступ только на чтение в других ресурсах Служб мультимедиа. | e4395492-1534-4db2-bedf-88c14621589c |
| Администратор политик Служб мультимедиа | Создание, чтение, изменение и удаление фильтров учетных записей, политик потоковой передачи, политик ключей содержимого и преобразований; доступ только на чтение в других ресурсах Служб мультимедиа. Нельзя создавать задания, активы или ресурсы потоковой передачи. | c4bba371-dacd-4a26-b320-7250bca963ae |
| Администратор конечных точек потоковой передачи Служб мультимедиа | Создание, чтение, изменение и удаление конечных точек потоковой передачи; доступ только на чтение в других ресурсах Служб мультимедиа. | 99dba123-b5fe-44d5-874c-ced7199a5804 |
| Читатель AccessKey в SignalR | Чтение ключей доступа службы SignalR. | 04165923-9d83-45d5-8227-78b77b0a687e |
| Сервер приложений SignalR | Разрешает серверу приложений доступ к службе SignalR с использованием параметров аутентификации AAD. | 420fcaa2-552c-430f-98ca-3264be4806c7 |
| Владелец REST API SignalR | Полный доступ к интерфейсам REST API службы Azure SignalR. | fd53cd77-2268-407a-8f46-7e7863d0f521 |
| Средство чтения REST API SignalR | Доступ только для чтения к интерфейсам REST API службы Azure SignalR. | ddde6b66-c0df-4114-a159-3618637b3035 |
| Владелец службы SignalR | Полный доступ к интерфейсам REST API службы Azure SignalR. | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
| Участник SignalR/Web PubSub | Создание, чтение, изменение и удаление ресурсов службы SignalR. | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
| Участник веб-плана | Управление веб-планами для веб-сайтов. Не позволяет назначать роли в Azure RBAC. | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| Участник веб-сайта | Управление веб-сайтами, но не веб-планами. Не позволяет назначать роли в Azure RBAC. | de139f84-1756-47ae-9be6-808fbbe84772 |
Контейнеры
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| AcrDelete | Удаление репозиториев, тегов или манифестов из реестра контейнеров. | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
| AcrImageSigner | Отправка или получение доверенных образов в реестре контейнеров с поддержкой доверия к содержимому. | 6cef56e8-d556-48e5-a04f-b8e64114680f |
| AcrPull | Извлечение артефактов из реестра контейнеров. | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
| AcrPush | Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров. | 8311e382-0749-4cb8-b61a-304f252e45ec |
| AcrQuarantineReader | Извлечение помещенных в карантин образов из реестра контейнеров. | cdda3590-29a3-44f6-95f2-9f980659eb04 |
| AcrQuarantineWriter | Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него. | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
| Роль пользователя кластера Kubernetes с поддержкой Azure Arc | Действие вывода учетных данных пользователей кластера. | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
| Администратор Kubernetes Azure Arc | Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
| Администратор кластера Kubernetes Azure Arc | Позволяет управлять всеми ресурсами в кластере. | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
| Зритель Kubernetes Azure Arc | Позволяет просматривать все ресурсы в кластере или пространстве имен, за исключением секретов. | 63f0a09d-1495-4db4-a681-037d84835eb4 |
| Писатель Kubernetes Azure Arc | Позволяет обновлять все объекты в кластере или пространстве имен, кроме ролей (кластера) и привязок ролей (кластера). | 5b999177-9696-4545-85c7-50de3797e5a1 |
| Роль участника Диспетчера флота Azure Kubernetes | Предоставляет доступ на чтение и запись к ресурсам Azure, предоставляемым диспетчером флотов Azure Kubernetes, включая флоты, членов флота, стратегии обновления флота, запуски обновлений флота и т. д. | 63bb64ad-9799-4770-b5c3-24ed299a07bf |
| Azure Kubernetes Fleet Manager RBAC Администратор | Предоставляет доступ на чтение и запись к ресурсам Kubernetes в пространстве имен в кластере, управляемом флотом, предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
| Кластер RB Администратор AC диспетчера RBAC в Azure Kubernetes | Предоставляет доступ на чтение и запись ко всем ресурсам Kubernetes в кластере, управляемом флотом. | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
| Средство чтения RBAC диспетчера флота Azure Kubernetes | Предоставляет доступ только для чтения к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
| Модуль записи RBAC диспетчера флота Azure Kubernetes | Предоставляет доступ на чтение и запись к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получать доступ к секретам в качестве любого ServiceAccount в пространстве имен, поэтому его можно использовать для получения уровней доступа к API любого ServiceAccount в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
| Роль администратора кластера в Службе Azure Kubernetes | Список действий, выполненных с помощью учетных данных администратора кластера. | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
| пользователь мониторинга кластера Служба Azure Kubernetes | Действие учетных данных пользователя мониторинга кластера. | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
| Роль пользователя кластера в Службе Azure Kubernetes | Список действий, выполненных с помощью учетных данных пользователя кластера. | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
| Роль участника службы Azure Kubernetes | Предоставляет доступ на чтение и запись для кластеров службы Azure Kubernetes. | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
| Администратор RBAC для службы Azure Kubernetes | Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен. | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
| Администратор кластера RBAC для службы Azure Kubernetes | Позволяет управлять всеми ресурсами в кластере. | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
| Читатель RBAC для службы Azure Kubernetes | Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
| Модуль записи RBAC для службы Azure Kubernetes | Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен. | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
| Оператор Без агента Kubernetes | Предоставляет Microsoft Defender для облака доступ к Служба Azure Kubernetes | d5a2ae44-610b-4500-93be-660a0a0c5f5ca6 |
| Кластер Kubernetes — подключение Azure Arc | Определение роли, дающее любому пользователю или службе право создавать ресурс connectedClusters. | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
| Участник расширения Kubernetes | Может создавать, обновлять, получать, перечислять и удалять расширения Kubernetes, а также получать асинхронные операции расширений | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
Базы данных
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Подключение SQL Server, подключенного к Azure | Предоставляет SQL Server доступ для чтения и записи к ресурсам Azure на серверах с поддержкой Arc. | e8113dce-c529-4d33-91fa-e9b972617508 |
| Роль читателя учетных записей Cosmos DB | Позволяет считывать данные учетных записей Azure Cosmos DB. Сведения об управлении учетными записями Azure Cosmos DB см. в разделе Участник учетной записи DocumentDB. | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| Оператор Cosmos DB | Позволяет управлять учетными записями Azure Cosmos DB, но не доступом к данным. Предотвращает доступ к ключам учетной записи и строкам подключения. | 230815da-be43-4aae-9cb4-875f7bd000aa |
| CosmosBackupOperator | Позволяет отправлять запрос на восстановление контейнера или базы данных Cosmos DB для учетной записи. | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
| CosmosRestoreOperator | Может выполнять действие восстановления для учетной записи базы данных Cosmos DB в режиме непрерывного резервного копирования. | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
| Участник учетной записи DocumentDB | Может управлять учетными записями Azure Cosmos DB Служба Azure Cosmos DB раньше называлась DocumentDB. | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| Участник кэша Redis | Позволяет управлять кэшем Redis, но не доступом к нему. | e0f68234-74aa-48ed-b826-c38b57376e17 |
| Участник базы данных SQL | Позволяет управлять базами данных SQL, но не доступом к ним. Кроме того, не позволяет управлять их политиками безопасности или родительскими серверами SQL Server. | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| Участник управляемого экземпляра SQL | Позволяет управлять управляемыми экземплярами SQL и требуемой конфигурацией сети, но не предоставлять к ним доступ. | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
| Диспетчер безопасности SQL | Позволяет управлять политиками безопасности серверов SQL Server и баз данных SQL, но не доступом к ним. | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| Участник SQL Server | Позволяет управлять серверами SQL Server и базами данных SQL, но не доступом к ним и их политиками безопасности. | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
Аналитика
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Владелец данных Центров событий Azure | Разрешает полный доступ к ресурсам Центров событий Azure. | f526a384-b230-433a-b45c-95f59c4a2dec |
| Получатель данных Центров событий Azure | Разрешает полный доступ к ресурсам Центров событий Azure. | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Отправитель данных Центров событий Azure | Разрешает полный доступ к ресурсам Центров событий Azure. | 2b629674-e913-4c01-ae53-ef4638d8f975 |
| Участник фабрики данных | Создание фабрик данных и управление ими, а также их дочерними ресурсами. | 673868aa-7521-48a0-acc6-0f60742d39f5 |
| Средство очистки данных | Удаление личных данных из рабочей области Log Analytics. | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| Оператор кластера HDInsight | Позволяет считывать и изменять конфигурации кластера HDInsight. | 61ed4efc-fab3-44fd-b111-e24485cc132a |
| Участник доменных служб HDInsight | Позволяет читать, создавать, изменять и удалять операции, связанные с доменными службами, необходимыми для Корпоративного пакета безопасности HDInsight | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
| Участник Log Analytics | Участник Log Analytics может считывать все данные мониторинга и изменять параметры мониторинга. Изменение параметров мониторинга подразумевает добавление расширений в виртуальные машины, чтение ключей учетной записи хранения для настройки коллекции журналов в службе хранилища Azure, добавление решений и настройку диагностики Azure во всех ресурсах Azure. | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
| Читатель Log Analytics | Читатель Log Analytics может просматривать все данные мониторинга, выполнять по ним поиск и просматривать параметры мониторинга, в том числе конфигурацию системы диагностики Azure для всех ресурсов Azure. | 73c42c96-874c-492b-b04d-ab87d138a893 |
| Участник реестра схем (предварительная версия) | Чтение, запись и удаление групп и схем реестра схем. | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
| Читатель реестра схем (предварительная версия) | Чтение и перечисление групп и схем в реестре схем. | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
| Средство тестирования запросов Stream Analytics | Позволяет выполнять тестирование запросов без создания задания Stream Analytics в первую очередь | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
ИИ и машинное обучение
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Оператор вычислений AzureML | Может получить доступ к управляемым вычислительным ресурсам служб Машинное обучение (включая виртуальные машины записной книжки) и выполнять операции CRUD. | e503ece1-11d0-4e8e-8e2c-7a6c3bf38815 |
| Специалист по обработке и анализу данных AzureML | Может выполнять все действия в рабочем пространстве Машинного обучения Azure, кроме создания и удаления вычислительных ресурсов и изменения самого рабочего пространства. | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
| Участник служб Cognitive Services | Позволяет создавать, читать, обновлять, удалять ключи служб Cognitive Services и управлять ими. | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
| Участник Пользовательского визуального распознавания Cognitive Services | Полный доступ к проектам, включая возможность создавать, редактировать или удалять проекты. | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
| Развертывание Пользовательского визуального распознавания Cognitive Services | Публикация, отмена публикации или экспорт моделей. Роль развертывания дает возможность просматривать проект, но не позволяет выполнять обновления. | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
| Разработчик тегов Пользовательского визуального распознавания Cognitive Services | Просмотр и изменение обучающих изображений, а также создание, добавление и удаление тегов изображений. Разработчики тегов могут просматривать проекты, но не могут изменять ничего, кроме обучающих изображений и тегов. | 88424f51-ebe7-446f-bc41-7fa16989e96c |
| Читатель Пользовательского визуального распознавания Cognitive Services | Действия с доступом только для чтения в проекте. Читатели не могут создавать или обновлять проекты. | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
| Средство обучения Пользовательского визуального распознавания Cognitive Services | Просмотр, изменение проектов и обучение моделей, включая возможность публикации, отмены публикации и экспорта моделей. Средства обучения не могут создать или удалять проекты. | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
| Модуль чтения данных Cognitive Services (предварительная версия) | Позволяет считывать данные Cognitive Services. | b59867f0-fa02-499b-be73-45a86b5b3e1c |
| Распознаватель лиц Cognitive Services | Позволяет выполнять обнаружение, проверку, идентификацию, группирование, а также поиск аналогичных операций в API Распознавания лиц. Эта роль не разрешает операции создания и удаления, что делает ее подходящей для конечных точек, которым требуются только возможности вывода в соответствии с рекомендациями "минимальных привилегий". | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
| Администратор Помощника по метрикам Cognitive Services | Полный доступ к проекту, включая конфигурацию уровня системы. | cb43c632-a144-4ec5-977c-e80c4affc34a |
| Участник службы OpenAI в Cognitive Services | Полный доступ, включая возможность точной настройки, развертывания и создания текста | a001fd3d-188f-4b5d-821b-7da978bf7442 |
| Пользователь службы OpenAI в Cognitive Services | Доступ на чтение для просмотра файлов, моделей, развертываний. Возможность создавать вызовы завершения и внедрения. | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
| Редактор Cognitive Services QnA Maker | Позволяет создавать, изменять, импортировать и экспортировать базу знаний. Публикация или удаление базы знаний не поддерживается. | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
| Читатель Cognitive Services QnA Maker | Позволяет только читать и проверять базу знаний. | 466ccd10-b268-4a11-b098-b4849f024126 |
| Читатель использования Cognitive Services | Минимальное разрешение на просмотр использования Cognitive Services. | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
| Пользователь служб Cognitive Services | Позволяет создавать и читать список ключей служб Cognitive Services. | a97b65f3-24c7-4388-baec-2e87135dc908 |
| Участник данных индекса поиска | Предоставляет полный доступ к данным индекса службы "Когнитивный поиск Azure". | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
| Читатель данных индекса поиска | Предоставляет доступ на чтение к данным индекса службы "Когнитивный поиск Azure". | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
| Участник службы поиска | Позволяет управлять службами поиска, но не доступом к ним. | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
Интернет вещей
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Владелец данных Azure Digital Twins | Роль с полным доступом для плоскости данных Digital Twins. | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Читатель данных Azure Digital Twins | Роль только для чтения свойств плоскости данных Digital Twins. | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
| Администратор обновлений устройств | Предоставляет полный доступ к операциям управления и операциям с содержимым. | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
| Администратор содержимого обновлений устройств | Предоставляет полный доступ к операциям с содержимым. | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
| Читатель содержимого обновлений устройств | Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
| Администратор развертывания обновлений устройств | Предоставляет полный доступ к операциям управления. | e4237640-0e3d-4a46-8fda-70bc94856432 |
| Читатель развертывания обновлений устройств | Предоставляет доступ на чтение к операциям с содержимым, но не позволяет вносить изменения. | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
| Читатель обновлений устройств | Предоставляет доступ на чтение к операциям управления и операциям с содержимым, но не позволяет вносить изменения. | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
| Участник данных Центра Интернета вещей | Обеспечивает полный доступ к операциям плоскости данных Центра Интернета вещей. | 4fc6c259-987e-4a07-842e-c321cc9d413f |
| Читатель данных Центра Интернета вещей | Обеспечивает полный доступ на чтение свойств плоскости данных Центра Интернета вещей | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
| Участник реестра Центра Интернета вещей | Обеспечивает полный доступ к реестру устройств Центра Интернета вещей. | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
| Участник цифрового двойника Центра Интернета вещей | Разрешает доступ на чтение и запись ко всем двойникам устройств и модулей Центра Интернета вещей. | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
Смешанная реальность
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Администратор Удаленной отрисовки | Предоставляет пользователю возможности преобразования, управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
| Клиент Удаленной отрисовки | Предоставляет пользователю возможности управления сеансами, отрисовки и диагностики для Удаленной отрисовки Azure. | d39065c4-c120-43c9-ab0a-63eed9795f0a |
| Участник учетной записи пространственных привязок | Позволяет управлять пространственными привязками в вашей учетной записи, но не удалять их. | 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827 |
| Владелец учетной записи пространственных привязок | Позволяет управлять пространственными привязками в вашей учетной записи, в том числе удалять их. | 70bbe301-9835-447d-afdd-19eb3167307c |
| Читатель учетной записи пространственных привязок | Позволяет найти и прочитать свойства пространственных привязок в вашей учетной записи. | 5d51204f-eb77-4b1c-b86a-2ec626c49413 |
Интеграция
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Участник службы управления API | Может управлять службой и интерфейсами API. | 312a565d-c81f-4fd8-895a-4e21e48d571c |
| Роль оператора службы управления API | Может управлять службой, но не интерфейсами API. | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| Роль читателя данных службы управления API | Доступ к службе и интерфейсам API в режиме "только для чтения". | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| Разработчик API рабочей области службы Управление API | Имеет доступ на чтение к тегам и продуктам и доступ на запись, чтобы разрешить: назначение API продуктам, назначение тегов продуктам и API. Эта роль должна быть назначена в службе область. | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
| Управление API API рабочей области службы Product Manager | Имеет тот же доступ, что и Управление API разработчик API рабочей области службы, а также доступ на чтение к пользователям и доступ на запись, чтобы разрешить назначение пользователей группам. Эта роль должна быть назначена в службе область. | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
| Разработчик API рабочей области Управление API | Имеет доступ на чтение к сущностям в рабочей области и доступ на чтение и запись к сущностям для редактирования API. Эта роль должна быть назначена в рабочей области область. | 56328988-075d-4c6a-8766-d93edd6725b6 |
| Управление API API рабочей области Product Manager | Имеет доступ на чтение к сущностям в рабочей области и доступ на чтение и запись к сущностям для публикации API. Эта роль должна быть назначена в рабочей области область. | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
| Участник рабочей области Управление API | Может управлять рабочей областью и представлением, но не изменять ее члены. Эта роль должна быть назначена в рабочей области область. | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
| средство чтения рабочей области Управление API | Имеет доступ только для чтения к сущностям в рабочей области. Эта роль должна быть назначена в рабочей области область. | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2fd2 |
| Владелец данных Конфигурации приложений | Предоставляет полный доступ к данным Конфигурации приложений. | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
| Читатель данных Конфигурации приложений | Предоставляет доступ на чтение данных Конфигурации приложений. | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| Диспетчер соответствия требованиям Центра API Azure | Позволяет управлять соответствием API в службе Центра API Azure. | ede9aaa3-4627-494e-be13-4aa7c256148d |
| Средство чтения данных Центра API Azure | Разрешает доступ к операциям чтения плоскости данных Центра API Azure. | c724dfb-f447-457d-b2ba-3999044d1706 |
| Участник службы Центра API Azure | Позволяет управлять службой Центра API Azure. | dd24193f-ef65-44e5-8a7e-6fa6e03f7713 |
| Средство чтения служб Центра API Azure | Разрешает доступ только для чтения к службе Центра API Azure. | 6cba8790-29c5-48e5-bab1-c7541b01cb04 |
| Прослушиватель Azure Relay | Разрешает доступ на прослушивание к ресурсам Azure Relay. | 26e0b698-aa6d-4085-9386-aadae190014d |
| Владелец Azure Relay | Разрешает полный доступ к ресурсам Azure Relay. | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
| Отправитель Azure Relay | Разрешает доступ на отправку к ресурсам Azure Relay. | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
| Владелец данных служебной шины Azure | Разрешает полный доступ к ресурсам служебной шины Azure. | 090c5cfd-751d-490a-894a-3ce6f1109419 |
| Получатель данных Служебной шины Azure | Разрешает полный доступ к ресурсам служебной шины Azure. | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
| Отправитель данных Служебной шины Azure | Разрешает полный доступ к ресурсам служебной шины Azure. | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
| Участник BizTalk | Позволяет управлять службами BizTalk, но не доступом к ним. | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
| Участник EventGrid | Позволяет управлять операциями EventGrid. | 1e241071-0855-49ea-94dc-649edcd759de |
| Отправитель данных Сетки событий | Разрешает доступ на отправку к событиям сетки событий. | d5a91429-5739-47e2-a06b-3470a27159e7 |
| Участник EventGrid EventSubscription | Позволяет управлять операциями с подписками на события Сетки событий. | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
| Читатель EventGrid EventSubscription | Позволяет получить доступ на чтение к подпискам на события Сетки событий. | 2414bbcf-6497-4faf-8c65-045460748405 |
| Разработчик данных FHIR | Эта роль предоставляет пользователю или субъекту полный доступ к данным FHIR. | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
| Средство экспорта данных FHIR | Эта роль позволяет пользователю или субъекту читать и экспортировать данные FHIR. | 3db33094-8700-4567-8da5-1501d4e7e843 |
| Импорт данных FHIR | Роль позволяет пользователю или субъекту считывать и импортировать данные FHIR | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
| Читатель данных FHIR | Эта роль позволяет пользователю или субъекту читать данные FHIR. | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
| Модуль записи данных FHIR | Эта роль позволяет пользователю или субъекту читать и записывать данные FHIR. | 3f88fce4-5892-4214-ae73-ba5294559913 |
| Участник среды службы интеграции | Позволяет вам управлять средами службы интеграции, но не доступом к ним. | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
| Разработчик среды службы интеграции | Позволяет разработчикам создавать и изменять рабочие процессы, учетные записи интеграции и подключения API в средах службы интеграции. | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
| Участник учетной записи интеллектуальных систем | Позволяет управлять учетными записями интеллектуальных систем, но не доступом к ним. | 03a6d094-3444-4b3d-88af-7477090a9e5e |
| Создатель приложений логики | Позволяет управлять приложениями логики, но не доступом к ним. | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
| Оператор приложений логики | Позволяет читать, включать и отключать приложения логики, но не изменять и не обновлять их. | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
| Участник Logic Apps уровня "Стандартный" (предварительная версия) | Вы можете управлять всеми аспектами стандартного приложения логики и рабочих процессов. Невозможно изменить доступ или владение. | ad710c24-b039-4e85-a019-deb4a06e8570 |
| Разработчик Logic Apps уровня "Стандартный" (предварительная версия) | Вы можете создавать и изменять рабочие процессы, подключения и параметры для приложения логики "Стандартный". Вы не можете вносить изменения за пределами рабочего процесса область. | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
| Оператор Logic Apps standard (предварительная версия) | Вы можете включить, повторно отправить и отключить рабочие процессы, а также создавать подключения. Нельзя изменять рабочие процессы или параметры. | b70c96e9-66fe-4c09-b6e7-c98e69c9855 |
| Средство чтения "Стандартный" Logic Apps (предварительная версия) | У вас есть доступ только для чтения ко всем ресурсам в приложении логики "Стандартный" и рабочих процессах, включая запуски рабочего процесса и их журнал. | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
| Участник коллекции заданий планировщика | Позволяет управлять коллекциями заданий планировщика, но не доступом к ним. | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
| Оператор центра служб | Роль оператора центра служб позволяет выполнять все операции чтения, записи и удаления, которые относятся к соединителям центра служб. | 82200a5b-e217-47a5-b665-6d8765ee745b |
Идентификация
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Участник доменных служб | Может управлять доменными службами Azure AD и связанными конфигурациями сети | eeaeda52-9324-47f6-8069-5d5bade478b2 |
| Читатель доменных служб | Может просматривать доменные службы Azure AD и связанные конфигурации сети | 361898ef-9ed1-48c2-849c-a832951106bb |
| Участник управляемого удостоверения | Создание, чтение, обновление и удаление пользовательских удостоверений. | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
| Оператор управляемого удостоверения | Чтение и назначение пользовательских удостоверений. | f1a07417-d97a-45cb-824c-7a7467783830 |
Безопасность
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Автоматизация соответствия приложений Администратор istrator | Создание, чтение, скачивание, изменение и удаление объектов отчетов и связанных с ними объектов ресурсов. | 0f37683f-2463-46b6-9ce7-9b788b98ba2 |
| Средство чтения автоматизации соответствия приложений | Чтение, скачивание объектов отчетов и связанных с ними объектов ресурсов. | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
| Участник аттестации | Может читать, записывать или удалять экземпляр поставщика аттестации. | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
| Читатель аттестации | Может считывать свойства поставщика аттестации. | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
| Администратор хранилища ключей | Выполняет все операции с плоскостью данных в хранилище ключей и всех его объектах, включая сертификаты, ключи и секреты. Не может управлять ресурсами хранилища ключей или назначениями ролей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Пользователь сертификата Key Vault | Чтение содержимого сертификата. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
| Специалист по сертификатам хранилища ключей | Выполняет любые действия с сертификатами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Участник Key Vault | Предоставляет разрешения на управление хранилищами ключей, но не позволяет назначать роли в Azure RBAC или получать доступ к секретам, ключам или сертификатам. | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| Специалист по шифрованию хранилища ключей | Выполняет любые действия с ключами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Пользователь службы шифрования хранилища ключей | Считывает метаданные ключей и выполняет операции упаковки и распаковки. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Пользователь выпуска службы шифрования Key Vault | Ключи выпуска. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 08bbd89e-9f13-488c-ac41-acfcb10c90ab |
| Пользователь шифрования хранилища ключей | Выполняет криптографические операции с помощью ключей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Доступ к данным Key Vault Администратор istrator | Управление доступом к Azure Key Vault путем добавления или удаления назначений ролей для Администратор istrator Key Vault, офицера сертификатов Key Vault, сотрудника по шифрованию криптографии Key Vault, пользователя шифрования криптографии Key Vault, читателя Key Vault, сотрудника по секретам Key Vault или ролей пользователя секретов Key Vault. Включает условие ABAC для ограничения назначений ролей. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
| Читатель Key Vault | Считывает метаданные хранилищ ключей и их сертификатов, ключей и секретов. Не может считывать конфиденциальные значения, такие как содержимое секрета или материал ключа. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Специалист по секретам хранилища ключей | Выполняет любые действия с секретами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Пользователь секретов хранилища ключей | Считывает содержимое секретов. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure". | 4633458b-17de-408a-b874-0445c86b69e6 |
| Участник управляемого устройства HSM | Позволяет управлять управляемыми модулями HSM, но не доступом к ним. | 18500a29-7fe2-46b2-a342-b16a415e101d |
| Участник службы автоматизации Microsoft Sentinel | Участник службы автоматизации Microsoft Sentinel | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
| Участник Microsoft Sentinel | Участник Microsoft Sentinel | ab8e14d6-4a74-4a29-9ba8-549422addade |
| Оператор сборника схем Microsoft Sentinel | Оператор сборника схем Microsoft Sentinel | 51d6186e-6489-4900-b93f-92e23144cca5 |
| Средство чтения Microsoft Sentinel | Читатель Microsoft Sentinel | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
| Microsoft Sentinel Responder | Респондент Microsoft Sentinel | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
| Администратор безопасности | Просмотр и обновление разрешений для Microsoft Defender для облака. Имеет те же права, что и читатель сведений о безопасности, но также может изменять политику безопасности, отклонять рекомендации и оповещения. Сведения о microsoft Defender для Интернета вещей см. в разделе "Роли пользователей Azure" для мониторинга OT и Enterprise IoT. |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
| Участник оценки безопасности | Позволяет отправлять оценки в Microsoft Defender для облака | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
| Диспетчер безопасности (устаревший) | Это устаревшая роль. Используйте вместо нее роль администратора безопасности. | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
| читатель сведений о безопасности; | Просмотр разрешений для Microsoft Defender для облака. Может просматривать рекомендации, оповещения, политику и состояние безопасности, но не может вносить изменения. Сведения о microsoft Defender для Интернета вещей см. в разделе "Роли пользователей Azure" для мониторинга OT и Enterprise IoT. |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
DevOps
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Пользователь DevTest Labs | Позволяет подключать, запускать, перезапускать виртуальные машины и завершать их работу в Azure DevTest Labs. | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
| Помощник по лаборатории | Позволяет просматривать существующую лабораторию, выполнять действия на виртуальных машинах лаборатории и отправлять приглашения в лабораторию. | ce40b423-cede-4313-a93f-9b28290b72e1 |
| Участник лаборатории | Применяется на уровне лаборатории, позволяет управлять лабораторией. Применяется в группе ресурсов, позволяет создавать лаборатории и управлять ими. | 5daaa2af-1fe8-407c-9122-bba179798270 |
| Создатель лаборатории | Позволяет создавать лаборатории в учетных записях лабораторий Azure. | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
| Оператор лаборатории | Предоставляет ограниченную возможность управления существующими лабораториями. | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
| Участник служб лабораторий | Позволяет полностью контролировать все сценарии служб лабораторий в группе ресурсов. | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
| Средство чтения служб лабораторий | Позволяет просматривать, но не изменять все планы лаборатории и ресурсы лаборатории. | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
| Участник нагрузочного теста | Просмотр, создание, обновление, удаление и выполнение нагрузочных тестов. Просмотр и перечисление ресурсов нагрузочного теста, но не может вносить никаких изменений. | 749a398d-560b-491b-bb21-08924219302e |
| Владелец нагрузочного теста | Выполнение всех операций с ресурсами нагрузочного теста и нагрузочных тестов | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
| Средство чтения нагрузочных тестов | Просмотр и перечисление всех нагрузочных тестов и ресурсов нагрузочного теста, но не может вносить изменения. | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
Azure Monitor
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Участник компонента Application Insights | Может управлять компонентами Application Insights | ae349356-3a1b-4a5e-921d-050484c6347e |
| Отладчик моментальных снимков Application Insights | Пользователю предоставляется разрешение на просмотр и загрузку моментальных снимков отладки, собранных с помощью Application Insights Snapshot Debugger. Обратите внимание, что эти разрешения не включены в роли Владелец или Участник. При предоставлении пользователям роли Application Insights Snapshot Debugger необходимо предоставить роль непосредственно пользователю. Роль не распознается при добавлении в настраиваемую роль. | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
| Grafana Администратор | Выполняйте все операции Grafana, включая возможность управлять источниками данных, создавать панели мониторинга и управлять назначениями ролей в Grafana. | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Редактор Grafana | Просмотр и изменение экземпляра Grafana, в том числе панелей мониторинга и оповещений. | a79a5197-3a5c-4973-a920-486035ffd60f |
| Средство просмотра Grafana | Просмотр экземпляра Grafana, в том числе панелей мониторинга и оповещений. | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
| Monitoring Contributor (Участник мониторинга) | Может читать все данные мониторинга и изменять параметры мониторинга. Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| Издатель метрик мониторинга | Разрешает публикацию метрик по ресурсам Azure. | 3913510d-42f4-4e42-8a64-420c390055eb |
| Monitoring Reader (Читатель данных мониторинга) | Может читать все данные мониторинга (метрики, журналы и т. д.). Ознакомьтесь также со статьей Приступая к работе с ролями, разрешениями и системой безопасности с помощью Azure Monitor. | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
| Участник для книг | Может сохранять общие книги. | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
| Читатель книг | Может читать книги. | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
Управление
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Участник службы автоматизации | Управление ресурсами служба автоматизации Azure и другими ресурсами с помощью служба автоматизации Azure. | f353d9bd-d4a6-484e-a77a-8050b599b867 |
| Оператор задания автоматизации | Создание заданий и управление ими с помощью модулей Runbook службы автоматизации. | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
| Оператор службы автоматизации | Операторы автоматизации могут запускать, останавливать, приостанавливать и возобновлять задания. | d3881f73-407a-4167-8283-e981cbba0404 |
| Оператор Runbook автоматизации | Чтение свойств Runbook, позволяющее создавать задания Runbook. | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
| Подключение Azure Connected Machine | Может подключать компьютеры Azure Connected Machine. | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
| Администратор ресурсов Azure Connected Machine | Может считывать, записывать, удалять и повторно подключать компьютеры Azure Connected Machine. | cd570a14-e51a-42ad-bac8-bafd67325302 |
| Azure Подключение ed Machine Resource Manager | Пользовательская роль для AzureStackHCI RP для управления гибридными вычислительными машинами и конечными точками гибридного подключения в группе ресурсов | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
| Читатель счетов | Разрешает читать данные выставления счетов. | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| Участник схемы | Позволяет управлять определениями схем, но не назначать их. | 41077137-e803-4205-871c-5a86e6a753b4 |
| Оператор схемы | Может назначать существующие опубликованные схемы, но не создавать новые схемы. Обратите внимание, это нужно выполнять только с использованием управляемого удостоверения, назначаемого пользователем. | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
| Средство чтения оптимизации углерода | Разрешить доступ на чтение к данным оптимизации углерода Azure | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
| Участник службы "Управление затратами" | Позволяет просматривать расходы и управлять конфигурацией затрат (например, бюджеты, экспорты) | 434105ed-43f6-45c7-a02f-909b2ba83430 |
| Читатель службы "Управление затратами" | Позволяет просматривать данные о расходах и конфигурации (например, бюджеты, экспорты) | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
| Администратор параметров иерархии | Позволяет пользователям изменять и удалять параметры иерархии. | 350f8d15-c687-4448-8ae1-157740a3936d |
| Роль участника для управляемых приложений | Позволяет создавать ресурсы управляемых приложений. | 641177b8-a67a-45b9-a033-47bc880bb21e |
| Роль оператора управляемого приложения | Разрешает чтение и выполнение действий с ресурсами управляемого приложения. | c7393b34-138c-406f-901b-d8cf2b17e6ae |
| Читатель Управляемых приложений | Позволяет выполнять чтение ресурсов в управляемом приложении и запрашивать JIT-доступ. | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
| Роль для удаления назначения регистрации управляемых служб | Роль для удаления назначения регистрации управляемых служб позволяет пользователям удалять регистрации, назначенные их клиенту управляемых служб. | 91c1777a-f3dc-4fae-b103-61d183457e46 |
| Участник группы управления | Роль участника группы управления | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| Читатель группы управления | Роль читателя группы управления | ac63b705-f282-497d-ac71-919bf39d939d |
| Участник учетной записи New Relic APM | Позволяет управлять учетными записями и приложениями New Relic Application Performance Management, но не доступом к ним. | 5d28c62d-5b37-4476-8438-e587778df237 |
| Редактор данных анализа политик (предварительная версия) | Предоставляет доступ на чтение политик ресурсов и доступ на запись событий политики компонентов ресурсов. | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
| Оператор запросов квоты | Чтение и создание запросов квоты, получение сведений о состоянии запроса квоты и создание запросов в службу поддержки. | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
| Покупатель резервирований | Позволяет покупать резервирования. | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
| Резервирования Администратор istrator | Позволяет считывать и управлять всеми резервированиями в клиенте | a8889054-8d42-49c9-bc1c-52486c10e7cd |
| Средство чтения резервирований | Позволяет считывать все резервирования в клиенте | 582fc458-8989-419f-a480-75249bc5db7e |
| Участник политики ресурсов | Предоставляет права на создание или изменение политики ресурсов, создание запросов в службу поддержки и чтение ресурсов и иерархий. | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| Участник запланированного исправления | Предоставляет доступ к управлению конфигурациями обслуживания с помощью область обслуживания InGuestPatch и соответствующих назначений конфигурации | cd08ab90-6b14-449c-ad9a-8f8e549482c6 |
| Участник Site Recovery | Позволяет управлять службой Site Recovery, за исключением создания хранилищ и назначения ролей. | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| Оператор Site Recovery | Позволяет выполнять отработку отказа и восстановление размещения, но не другие операции управления Site Recovery. | 494ae006-db33-4328-bf46-533a6560a3ca |
| Читатель Site Recovery | Позволяет просматривать состояние Site Recovery без выполнения других операций управления. | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| Support Request Contributor (Участник с правом создавать запросы на поддержку) | Позволяет создавать запросы в службу поддержки и управлять ими. | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| Участник по тегам | Позволяет вам управлять тегами в сущностях, не предоставляя доступ к самим сущностям. | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
| Участник спецификации шаблона | Предоставляет полный доступ к операциям спецификации шаблона на назначенном область. | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
| Средство чтения спецификаций шаблонов | Разрешает доступ на чтение к спецификациям шаблонов на назначенной область. | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
Гибридные и многооблачные среды
| Встроенная роль | Description | Идентификатор |
|---|---|---|
| Роль развертывания моста ресурсов Azure | Роль развертывания моста ресурсов Azure | 7b1f81f9-4196-4058-8aae-762e593270df |
| Azure Stack HCI Администратор istrator | Предоставляет полный доступ к кластеру и его ресурсам, включая возможность зарегистрировать Azure Stack HCI и назначить других пользователей участником виртуальной машины Azure Arc HCI и (или) читателем виртуальных машин Azure Arc HCI | bda0d508-adf1-4af0-9c28-88919fc3ae06 |
| Роль Управление устройствами Azure Stack HCI | Роль Управление устройствами Microsoft.AzureStackHCI | 865ae368-6a45-4bd1-8fbf-0d5151f56fc1 |
| Участник виртуальной машины Azure Stack HCI | Предоставляет разрешения на выполнение всех действий виртуальной машины | 874d1c73-6003-4e60-a13a-cb31ea190a85 |
| Средство чтения виртуальных машин Azure Stack HCI | Предоставляет разрешения на просмотр виртуальных машин | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
| Владелец регистрации Azure Stack | Позволяет управлять регистрациями Azure Stack. | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |