Azure 內建角色
Azure 角色型存取控制 (Azure RBAC) 有數個 Azure 內建角色,您可以指派給使用者、群組、服務主體和受控識別。 角色指派是您控制 Azure 資源存取的方式。 如果內建的角色無法滿足您組織的特定需求,您可以建立自己的 Azure 自訂角色。 如需如何指派角色的資訊,請參閱 指派 Azure 角色的步驟。
本文列出 Azure 內建角色。 如果您要尋找 Microsoft Entra 識別符的系統管理員角色,請參閱 Microsoft Entra 內建角色。
下表提供每個內建角色的簡短描述。 按兩下角色名稱,以查看每個角色的 Actions
、 NotActions
、 DataActions
和 NotDataActions
清單。 如需這些動作的意義,以及它們如何套用至控件和數據平面的資訊,請參閱 瞭解 Azure 角色定義。
一般
內建角色 | 描述 | 識別碼 |
---|---|---|
參與者 | 授與管理所有資源的完整存取權,但不允許您在 Azure RBAC 中指派角色、在 Azure 藍圖中管理指派,或共用映像庫。 | b24988ac-6180-42a0-ab88-20f7382dd24c |
負責人 | 授與管理所有資源的完整存取權,包括在 Azure RBAC 中指派角色的能力。 | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
讀取者 | 可檢視所有資源,但無法變更。 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
角色型存取控制系統管理員 | 藉由使用 Azure RBAC 指派角色,來管理 Azure 資源的存取權。 此角色不允許您使用其他方式來管理存取權,例如 Azure 原則。 | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
使用者存取系統管理員 | 可讓您管理使用者對 Azure 資源的存取。 | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
計算
內建角色 | 描述 | 識別碼 |
---|---|---|
傳統虛擬機參與者 | 可讓您管理傳統虛擬機器,但無法加以存取它們,以及其所連結至的虛擬網路或儲存體帳戶。 | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
受控磁碟 的數據運算符 | 提供許可權,以使用SAS URI和 Azure AD 驗證將數據上傳至空的受控磁碟、讀取或匯出受控磁碟(未連結至執行中的 VM)和快照集。 | 959f8984-c045-4866-89c7-12bf9737be2e |
桌面虛擬化應用程式群組參與者 | 桌面虛擬化應用程式群組的參與者。 | 86240b0e-9422-4c43-887b-b61143f32ba8 |
桌面虛擬化應用程式群組讀取器 | 桌面虛擬化應用程式群組的讀取者。 | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
桌面虛擬化參與者 | 桌面虛擬化的參與者。 | 082f0a83-3be5-4ba1-904c-961cca79b387 |
桌面虛擬化主機集區參與者 | 桌面虛擬化主機集區的參與者。 | e307426c-f9b6-4e81-87de-d99efb3c32bc |
桌面虛擬化主機集區讀取器 | 桌面虛擬化主機集區的讀取者。 | ceadfde2-b300-400a-ab7b-6143895aa822 |
桌面虛擬化讀取器 | 桌面虛擬化的讀取者。 | 49a72310-ab8d-41df-bbb0-79b649203868 |
桌面虛擬化會話主機操作員 | 桌面虛擬化工作階段主機的操作員。 | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
桌面虛擬化使用者 | 允許使用者在應用程式群組中使用應用程式。 | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
桌面虛擬化用戶會話操作員 | 桌面虛擬化使用者工作階段的操作員。 | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
桌面虛擬化工作區參與者 | 桌面虛擬化工作區的參與者。 | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
桌面虛擬化工作區讀取器 | 桌面虛擬化工作區的讀取者。 | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
磁碟備份讀取器 | 提供備份保存庫執行磁碟備份的權限。 | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
磁碟集區操作員 | 提供 StoragePool 資源提供者權限,以管理新增至磁碟集區的磁碟。 | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
磁碟還原運算符 | 提供備份保存庫執行磁碟還原的權限。 | b50d9833-a0cb-478e-945f-707fcc997c13 |
磁碟快照集參與者 | 提供備份保存庫管理磁碟快照集的權限。 | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
虛擬機 管理員 istrator 登入 | 在入口網站中檢視虛擬機器,並以系統管理員身分登入 | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
虛擬機器參與者 | 建立和管理虛擬機器、管理磁碟、安裝和執行軟體、使用 VM 擴充功能重設虛擬機器根使用者的密碼,以及使用 VM 擴充功能管理本機使用者帳戶。 此角色不會授與您機器所連結至的虛擬網路或儲存體帳戶的管理存取權。 此角色不允許您在 Azure RBAC 中指派角色。 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
虛擬機器資料存取 管理員 istrator (預覽) | 新增或移除虛擬機器系統管理員登入和虛擬機器使用者登入角色的角色指派,以管理虛擬機器的存取權。 包含用來限制角色指派的 ABAC 條件。 | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
虛擬機本機使用者登入 | 在入口網站中檢視虛擬機器,並以 Arc 伺服器上設定的本機使用者身分登入 | 602da2ba-a5c2-41da-b01d-5360126ab525 |
虛擬機使用者登入 | 在入口網站中檢視虛擬機器,並以一般使用者身分登入。 | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Windows Admin Center 系統管理員登入 | 讓我們以系統管理員身分透過 Windows Admin Center 管理資源的作業系統。 | a6333a3e-0164-44c3-b281-7a577aff287f |
網路
內建角色 | 描述 | 識別碼 |
---|---|---|
Azure Front Door 網域參與者 | 供 Azure 內部使用。 可以管理 Azure Front Door 網域,但無法將存取權授與其他使用者。 | 0ab34830-df19-4f8c-b84e-aa85b8afa6e8 |
Azure Front Door 網域讀取器 | 供 Azure 內部使用。 可以檢視 Azure Front Door 網域,但無法進行變更。 | 0f99d363-226e-4dca-9920-b807cf8e1a5f |
Azure Front Door 配置檔讀取器 | 可檢視 AFD 標準和進階版設定檔與其端點,但無法進行變更。 | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
Azure Front Door 秘密參與者 | 供 Azure 內部使用。 可以管理 Azure Front Door 秘密,但無法將存取權授與其他使用者。 | 3f2eb865-5811-4578-b90a-6fc6fa0df8e5 |
Azure Front Door 秘密讀取器 | 供 Azure 內部使用。 可以檢視 Azure Front Door 秘密,但無法進行變更。 | 0db238c4-885e-4c4f-a933-aa2cef684fca |
CDN 端點參與者 | 可管理 CDN 端點,但無法授與其他使用者存取權。 | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
CDN 端點讀取器 | 可檢視 CDN 端點,但無法進行變更。 | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
CDN 設定檔參與者 | 可管理 CDN 和 Azure Front Door 標準和進階版設定檔與其端點,但無法授與其他使用者存取權。 | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
CDN 設定檔讀取器 | 可檢視 CDN 設定檔與其端點,但無法進行變更。 | 8f96442b-4075-438f-813d-ad51ab4019af |
傳統網路參與者 | 可讓您管理傳統網路,但無法加以存取。 | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
DNS 區域參與者 | 可讓您管理 Azure DNS 中的 DNS 區域與記錄集,但無法讓您控制存取它們的人員。 | befefa01-2a29-4197-83a8-272ff33ce314 |
網路參與者 | 可讓您管理網路,但無法加以存取。 | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
私用 DNS 區域參與者 | 允許您管理私人 DNS 區域資源,但這些資源所連結的虛擬網路則否。 | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
流量管理員 參與者 | 可讓您管理流量管理員設定檔,但無法控制可存取它們的人員。 | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
儲存體
內建角色 | 描述 | 識別碼 |
---|---|---|
Avere 參與者 | 可建立及管理 Avere vFXT 叢集。 | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
Avere 運算子 | Avere vFXT 叢集用以管理叢集 | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
備份參與者 | 讓您可管理備份服務,但無法建立保存庫以及提供其他人存取權 | 5e467623-bb1f-42f4-a55d-6e525e11384b |
備份操作員 | 讓您可管理備份服務,但移除備份、建立保存庫以及提供其他人存取權除外 | 00c29273-979b-4161-815c-10b084fb9324 |
備份讀取器 | 可以檢視備份服務,但無法進行變更 | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
傳統儲存體帳戶參與者 | 可讓您管理傳統儲存體帳戶,但無法加以存取。 | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
傳統儲存體帳戶金鑰操作員服務角色 | 允許傳統儲存體帳戶金鑰操作員列出及重新產生傳統儲存體帳戶的金鑰 | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
數據箱參與者 | 可讓您管理資料箱服務下的所有項目,但不包含提供其他人存取權。 | add466c9-e687-43fc-8d98-dfcf8d720be5 |
數據箱讀取器 | 可讓您管理資料箱服務,但建立訂單或編輯訂單詳細資料,以及提供其他人存取權除外。 | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
Data Lake Analytics 開發人員 | 可讓您提交、監視及管理您自己的作業,但無法建立或刪除 Data Lake Analytics 帳戶。 | 47b7735b-770e-4598-a7da-8b91488b4c88 |
適用於 儲存體 數據掃描器的 Defender | 授與讀取 Blob 和更新索引標籤的存取權。 適用於儲存體的 Defender 資料掃描器會使用此角色。 | 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40 |
彈性 SAN 擁有者 | 允許 Azure Elastic SAN 下所有資源的完整存取權,包括變更網路安全性原則以解除封鎖資料路徑存取權 | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
彈性 SAN 讀取器 | 允許控制 Azure Elastic SAN 的路徑讀取存取 | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
彈性 SAN 磁碟區群組擁有者 | 允許 Azure Elastic SAN 中磁碟區群組的完整存取權,包括變更網路安全性原則以解除封鎖資料路徑存取權 | a8281131-f312-4f34-8d98-ae12be9f0d23 |
讀取器和數據存取 | 可讓您檢視所有項目,但不會讓您刪除或建立儲存體帳戶或包含的資源。 它也允許透過存取儲存體帳戶金鑰,對儲存體帳戶中包含的所有資料進行讀取/撰寫的存取權。 | c12c1c16-33a1-487b-954d-41c89c60f349 |
儲存體 帳戶備份參與者 | 可讓您在儲存體帳戶上使用 Azure 備份來執行備份和還原作業。 | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
儲存體帳戶參與者 | 允許管理儲存體帳戶。 提供帳戶金鑰的存取權,這可用以透過共用金鑰授權存取資料。 | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
儲存體 帳戶金鑰操作員服務角色 | 允許列出和重新產生儲存體帳戶存取金鑰。 | 81a9662b-bebf-436f-a333-f67b29880f12 |
儲存體 Blob 資料參與者 | 讀取、寫入和刪除 Azure 儲存體容器和 Blob。 若要瞭解指定數據作業需要哪些動作,請參閱 呼叫數據作業的許可權。 | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
儲存體 Blob 資料擁有者 | 提供 Azure 儲存體 Blob 容器和資料的完整存取權,包括指派 POSIX 存取控制。 若要瞭解指定數據作業需要哪些動作,請參閱 呼叫數據作業的許可權。 | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
儲存體 Blob 資料讀者 | 讀取並列出 Azure 儲存體容器和 Blob。 若要瞭解指定數據作業需要哪些動作,請參閱 呼叫數據作業的許可權。 | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
儲存體 Blob 委派器 | 取得使用者委派密鑰,然後可用來為使用 Azure AD 認證簽署的容器或 Blob 建立共用存取簽章。 如需詳細資訊,請參閱建立使用者委派 SAS。 | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
儲存體檔案資料特殊權限參與者 | 藉由覆寫現有的 ACL/NTFS 權限,允許在 Azure 檔案共用中的檔案/目錄上讀取、寫入、刪除和修改 ACL。 此角色在 Windows 檔案伺服器上沒有內建對等項目。 | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
儲存體檔案資料特殊權限讀者 | 藉由覆寫現有的 ACL/NTFS 權限,允許在 Azure 檔案共用中的檔案/目錄上讀取存取。 此角色在 Windows 檔案伺服器上沒有內建對等項目。 | b8eda974-7b85-4f76-af95-65846b26df6d |
儲存體檔案資料 SMB 共用參與者 | 允許對 Azure 檔案共用中的檔案/目錄進行讀取、寫入和刪除存取。 此角色在 Windows 檔案伺服器上沒有內建對等項目。 | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
儲存體檔案資料 SMB 共用提升權限的參與者 | 允許對 Azure 檔案共用中的檔案/目錄讀取、寫入、刪除和修改 ACL。 此角色相當於 Windows 檔案伺服器上的檔案共用 ACL 變更。 | a7264617-510b-434b-a828-9731dc254ea7 |
儲存體檔案資料 SMB 共用讀者 | 允許對 Azure 檔案共用中的檔案/目錄進行讀取存取。 此角色相當於 Windows 檔案伺服器上的檔案共用 ACL 讀取。 | aba4ae5f-2193-4029-9191-0cb91df5e314 |
儲存體佇列資料參與者 | 讀取、寫入及刪除 Azure 儲存體佇列與佇列訊息。 若要瞭解指定數據作業需要哪些動作,請參閱 呼叫數據作業的許可權。 | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
儲存體佇列資料訊息處理者 | 從 Azure 儲存體佇列中查看、擷取和刪除訊息。 若要瞭解指定數據作業需要哪些動作,請參閱 呼叫數據作業的許可權。 | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
儲存體佇列資料訊息傳送者 | 將訊息新增至 Azure 儲存體佇列。 若要瞭解指定數據作業需要哪些動作,請參閱 呼叫數據作業的許可權。 | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
儲存體佇列資料讀者 | 讀取及列出 Azure 儲存體佇列與佇列訊息。 若要瞭解指定數據作業需要哪些動作,請參閱 呼叫數據作業的許可權。 | 19e7f393-937e-4f77-808e-94535e297925 |
儲存體資料表資料參與者 | 允許讀取、寫入及刪除存取 Azure 儲存體資料表與實體 | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
儲存體資料表資料讀取器 | 允許讀取存取 Azure 儲存體資料表與實體 | 76199698-9eea-4c19-bc75-cec21354c6b6 |
Web 和行動裝置
內建角色 | 描述 | 識別碼 |
---|---|---|
Azure 地圖服務 數據參與者 | 授與讀取、寫入和刪除從 Azure 地圖服務帳戶對應相關數據的存取權。 | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
Azure 地圖服務 數據讀取器 | 授與從 Azure 地圖服務帳戶讀取地圖相關數據的存取權。 | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
Azure Spring Cloud 設定伺服器參與者 | 允許對 Azure Spring Cloud Config Server 進行讀取、寫入和刪除存取 | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
Azure Spring Cloud Config 伺服器讀取器 | 允許對 Azure Spring Cloud Config Server 進行讀取存取 | d04c6db6-4947-4782-9e91-30a88feb7be7 |
Azure Spring Cloud 數據讀取器 | 允許對 Azure Spring Cloud 數據的讀取存取 | b5537268-8956-4941-a8f0-646150406f0c |
Azure Spring Cloud Service Registry 參與者 | 允許讀取、寫入和刪除 Azure Spring Cloud Service Registry 的存取權 | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
Azure Spring Cloud Service Registry Reader | 允許讀取存取 Azure Spring Cloud Service Registry | cff1b556-2399-4e7e-856d-a8f754be7b65 |
媒體服務 帳戶 管理員 istrator | 建立、讀取、修改和刪除 媒體服務 帳戶;只讀存取其他 媒體服務 資源。 | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
媒體服務 即時活動 管理員 istrator | 建立、讀取、修改和刪除即時事件、資產、資產篩選和串流定位器;唯讀存取其他 媒體服務 資源。 | 532bc159-b25e-42c0-969e-a1d439f60d77 |
媒體服務 媒體操作員 | 建立、讀取、修改和刪除資產、資產篩選、串流定位器及作業;唯讀存取其他 媒體服務 資源。 | e4395492-1534-4db2-bedf-88c14621589c |
媒體服務 原則 管理員 istrator | 建立、讀取、修改和刪除帳戶篩選、串流原則、內容密鑰原則和轉換;唯讀存取其他 媒體服務 資源。 無法建立作業、資產或串流資源。 | c4bba371-dacd-4a26-b320-7250bca963ae |
媒體服務 串流端點 管理員 istrator | 建立、讀取、修改和刪除串流端點;唯讀存取其他 媒體服務 資源。 | 99dba123-b5fe-44d5-874c-ced7199a5804 |
SignalR AccessKey Reader | 讀取 SignalR 服務存取金鑰 | 04165923-9d83-45d5-8227-78b77b0a687e |
SignalR App Server | 讓您的應用程式伺服器使用 AAD 驗證選項存取 SignalR Service。 | 420fcaa2-552c-430f-98ca-3264be4806c7 |
SignalR REST API 擁有者 | Azure SignalR Service REST API 的完整存取權 | fd53cd77-2268-407a-8f46-7e7863d0f521 |
SignalR REST API 讀取器 | Azure SignalR Service REST API 的唯讀存取權 | ddde6b66-c0df-4114-a159-3618637b3035 |
SignalR 服務擁有者 | Azure SignalR Service REST API 的完整存取權 | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
SignalR/Web PubSub 參與者 | 建立、讀取、更新和刪除 SignalR 服務資源 | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
Web 方案參與者 | 管理網站的 Web 方案。 不允許您在 Azure RBAC 中指派角色。 | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
網站參與者 | 管理網站,但不是 Web 方案。 不允許您在 Azure RBAC 中指派角色。 | de139f84-1756-47ae-9be6-808fbbe84772 |
容器
內建角色 | 描述 | 識別碼 |
---|---|---|
AcrDelete | 從容器登錄中刪除存放庫、標籤或資訊清單。 | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
AcrImageSigner | 將受信任的映像推送至或從已啟用內容信任的容器登錄提取信任的映像。 | 6cef56e8-d556-48e5-a04f-b8e64114680f |
AcrPull | 從容器登錄中提取成品。 | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
AcrPush | 將成品推送至容器登錄,或從容器登錄中提取成品。 | 8311e382-0749-4cb8-b61a-304f252e45ec |
AcrQuarantineReader | 從容器登錄提取隔離的映像。 | cdda3590-29a3-44f6-95f2-9f980659eb04 |
AcrQuarantineWriter | 將隔離的映像推送至容器登錄,或從容器登錄提取隔離的映像。 | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
已啟用 Azure Arc 的 Kubernetes 叢集使用者角色 | 列出叢集使用者認證動作。 | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
Azure Arc Kubernetes 管理員 | 可讓您管理叢集/命名空間下的所有資源,但更新或刪除資源配額和命名空間除外。 | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
Azure Arc Kubernetes 叢集管理員 | 可讓您管理叢集中的所有資源。 | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
Azure Arc Kubernetes 檢視器 | 可讓您檢視叢集/命名空間中的所有資源,但秘密除外。 | 63f0a09d-1495-4db4-a681-037d84835eb4 |
Azure Arc Kubernetes 寫入器 | 可讓您更新叢集/命名空間中的所有項目,但 (叢集) 角色和 (叢集) 角色繫結除外。 | 5b999177-9696-4545-85c7-50de3797e5a1 |
Azure 容器 儲存體 參與者 | 安裝 Azure Container 儲存體 並管理其記憶體資源。 包含用來限制角色指派的 ABAC 條件。 | 95dd08a6-00bd-4661-84bf-f6726f83a4d0 |
Azure Container 儲存體 操作員 | 啟用受控識別來執行 Azure 容器 儲存體 作業,例如管理虛擬機和管理虛擬網路。 | 08d4c71a-cc63-4ce4-a9c8-5dd251b4d619 |
Azure 容器 儲存體 擁有者 | 安裝 Azure Container 儲存體、授與其記憶體資源的存取權,以及設定 Azure 彈性記憶體局域網路 (SAN)。 包含用來限制角色指派的 ABAC 條件。 | 95de85bd-744d-4664-9dde-11430bc34793 |
Azure Kubernetes Fleet Manager 參與者角色 | 授與 Azure Kubernetes Fleet Manager 所提供的 Azure 資源的讀取/寫入存取權,包括車隊、車隊成員、車隊更新策略、車隊更新執行等等。 | 63bb64ad-9799-4770-b5c3-24ed299a07bf |
Azure Kubernetes Fleet Manager RBAC 管理員 | 授與在佇列管理中樞叢集中命名空間內 Kubernetes 資源的讀取/寫入存取權 - 提供命名空間內大部分物件的寫入許可權,但 ResourceQuota 物件和命名空間物件本身除外。 將此角色套用至叢集範圍將會授與所有命名空間的存取權。 | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
Azure Kubernetes Fleet Manager RBAC 叢集 管理員 | 授與車隊管理中樞叢集中所有 Kubernetes 資源的讀取/寫入存取權。 | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
Azure Kubernetes Fleet Manager RBAC 讀取器 | 授與佇列管理中樞叢集中命名空間內大部分 Kubernetes 資源的唯讀存取權。 它不允許檢視角色或角色繫結。 此角色不允許檢視秘密,因為讀取秘密的內容會允許對命名空間中的 ServiceAccount 認證的存取權,這會允許 API 存取作為命名空間中的任何 ServiceAccount (特殊權限提升形式)。 將此角色套用至叢集範圍將會授與所有命名空間的存取權。 | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
Azure Kubernetes Fleet Manager RBAC 寫入器 | 授與佇列管理中樞叢集中命名空間內大部分 Kubernetes 資源的讀取/寫入存取權。 此角色不允許檢視或修改角色或角色繫結。 不過,此角色允許以命名空間中的任何 ServiceAccount 身分存取秘密,因此它可用以取得命名空間中任何 ServiceAccount 的 API 存取層級。 將此角色套用至叢集範圍將會授與所有命名空間的存取權。 | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
Azure Kubernetes Service 叢集管理員角色 | 列出叢集管理員認證動作。 | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
Azure Kubernetes Service 叢集監視使用者 | 列出叢集監視使用者認證動作。 | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
Azure Kubernetes Service 叢集使用者角色 | 列出叢集使用者認證動作。 | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
Azure Kubernetes Service 參與者角色 | 授與讀取和寫入 Azure Kubernetes Service 叢集的存取權 | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
Azure Kubernetes Service RBAC 管理員 | 可讓您管理叢集/命名空間下的所有資源,但更新或刪除資源配額和命名空間除外。 | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
Azure Kubernetes Service RBAC 叢集 管理員 | 可讓您管理叢集中的所有資源。 | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
Azure Kubernetes Service RBAC 讀取器 | 允許唯讀存取來查看命名空間中的大部分物件。 它不允許檢視角色或角色繫結。 此角色不允許檢視秘密,因為讀取秘密的內容會允許對命名空間中的 ServiceAccount 認證的存取權,這會允許 API 存取作為命名空間中的任何 ServiceAccount (特殊權限提升形式)。 將此角色套用至叢集範圍將會授與所有命名空間的存取權。 | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
Azure Kubernetes Service RBAC 寫入器 | 允許命名空間中大部分物件的讀取/寫入存取權。 此角色不允許檢視或修改角色或角色繫結。 不過,此角色允許以命名空間中的任何 ServiceAccount 身分存取秘密並執行 Pod,因此它可用以取得命名空間中任何 ServiceAccount 的 API 存取層級。 將此角色套用至叢集範圍將會授與所有命名空間的存取權。 | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
Kubernetes 無代理程式運算符 | 授與適用於雲端的 Microsoft Defender 對 Azure Kubernetes Services 的存取權 | d5a2ae44-610b-4500-93be-660a0c5f5ca6 |
Kubernetes 叢集 - Azure Arc 上線 | 授權任何使用者/服務建立 connectedClusters 資源的角色定義 | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
Kubernetes 擴充功能參與者 | 可以建立、更新、取得、列出和刪除 Kubernetes 擴充功能並取得擴充功能異步操作 | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
資料庫
內建角色 | 描述 | 識別碼 |
---|---|---|
Azure 連線 SQL Server 上線 | 允許在已啟用 Arc 的伺服器上對 SQL Server 的 Azure 資源進行讀取和寫入存取。 | e8113dce-c529-4d33-91fa-e9b972617508 |
Cosmos DB 帳戶讀取者角色 | 可讀取 Azure Cosmos DB 帳戶資料。 請參閱 DocumentDB 帳戶參與者 來管理 Azure Cosmos DB 帳戶。 | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
Cosmos DB 操作員 | 可讓您管理 Azure Cosmos DB 帳戶,但無法存取其中的資料。 防止存取帳戶金鑰和連接字串。 | 230815da-be43-4aae-9cb4-875f7bd000aa |
CosmosBackupOperator | 可為帳戶的 Cosmos DB 資料庫或容器提交還原要求 | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
CosmosRestoreOperator | 可針對連續備份模式的 Cosmos DB 資料庫帳戶執行還原動作 | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
DocumentDB 帳戶參與者 | 可管理 Azure Cosmos DB 帳戶。 Azure Cosmos DB 先前稱為 DocumentDB。 | 5bd9cd88-fe45-4216-938b-f97437e15450 |
Redis 快取參與者 | 可讓您管理 Redis 快取,但無法加以存取。 | e0f68234-74aa-48ed-b826-c38b57376e17 |
SQL DB 參與者 | 可讓您管理 SQL 資料庫,但無法加以存取。 此外,您無法管理其安全性相關原則或其父 SQL 伺服器。 | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
SQL 受管理執行個體 參與者 | 可讓您管理 SQL 受控執行個體,並需要網路設定,但無法授與其他人存取權。 | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
SQL 安全性管理員 | 可讓您管理 SQL 伺服器及資料庫的安全性相關原則,但無法加以存取。 | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
SQL Server 參與者 | 可讓您管理 SQL 伺服器及資料庫,但無法存取它們,以及它們的安全性相關原則。 | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
分析
內建角色 | 描述 | 識別碼 |
---|---|---|
Azure 事件中樞 數據擁有者 | 允許完整存取 Azure 事件中樞 資源。 | f526a384-b230-433a-b45c-95f59c4a2dec |
Azure 事件中樞 數據接收器 | 允許接收 Azure 事件中樞 資源的存取權。 | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
Azure 事件中樞資料傳送者 | 允許傳送 Azure 事件中樞 資源的存取權。 | 2b629674-e913-4c01-ae53-ef4638d8f975 |
Data Factory 參與者 | 建立和管理數據處理站,以及其中的子資源。 | 673868aa-7521-48a0-acc6-0f60742d39f5 |
資料清除者 | 從 Log Analytics 工作區刪除私人數據。 | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
HDInsight 叢集操作員 | 可讓您讀取和修改 HDInsight 叢集組態。 | 61ed4efc-fab3-44fd-b111-e24485cc132a |
HDInsight 網域服務參與者 | 可讀取、建立、修改及刪除 HDInsight 企業安全性套件所需的網域服務相關作業 | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
Log Analytics 參與者 | 「Log Analytics 參與者」角色可以讀取所有監視資料和編輯監視設定。 編輯監視設定包括將 VM 擴充功能新增至 VM;讀取記憶體帳戶密鑰,以設定從 Azure 儲存體 收集記錄、新增解決方案,以及在所有 Azure 資源上設定 Azure 診斷。 | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
Log Analytics 讀者 | Log Analytics 讀者可以檢視和搜尋所有監視數據,以及檢視監視設定,包括檢視所有 Azure 資源的 Azure 診斷設定。 | 73c42c96-874c-492b-b04d-ab87d138a893 |
架構登入參與者 (預覽) | 讀取、寫入及刪除結構描述登錄群組和結構描述。 | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
架構登入讀取器 (預覽) | 讀取並列出結構描述登錄群組和結構描述。 | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
串流分析查詢測試人員 | 可讓您先執行查詢測試,而不需先建立串流分析作業 | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
AI + 機器學習
內建角色 | 描述 | 識別碼 |
---|---|---|
AzureML 計算運算子 | 可以在 機器學習 Services 受控計算資源上存取和執行 CRUD 作業(包括 Notebook VM)。 | e503ece1-11d0-4e8e-8e2c-7a6c3bf38815 |
AzureML 資料科學家 | 可以在 Azure Machine Learning 工作區內執行所有動作,但建立或删除計算資源以及修改工作區本身除外。 | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
認知服務參與者 | 可讓您建立、讀取、更新、刪除和管理認知服務的金鑰。 | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
認知服務 自訂視覺 參與者 | 專案的完整存取權,包括檢視、建立、編輯或刪除專案的能力。 | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
認知服務 自訂視覺部署 | 發佈、取消發佈或導出模型。 部署可以檢視專案,但無法更新。 | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
認知服務 自訂視覺 標籤器 | 檢視、編輯訓練影像,並建立、新增、移除或刪除影像卷標。 卷標者可以檢視專案,但無法更新訓練影像和標籤以外的任何專案。 | 88424f51-ebe7-446f-bc41-7fa16989e96c |
認知服務 自訂視覺 讀取者 | 專案中的只讀動作。 讀者無法建立或更新專案。 | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
認知服務 自訂視覺 定型器 | 檢視、編輯專案並定型模型,包括發佈、取消發佈、匯出模型的能力。 訓練人員無法建立或刪除專案。 | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
認知服務資料讀者 (預覽) | 可讓您讀取認知服務數據。 | b59867f0-fa02-499b-be73-45a86b5b3e1c |
認知服務臉部辨識器 | 可讓您在臉部 API 上執行偵測、驗證、識別、分組及尋找類似的作業。 此角色不允許建立或刪除作業,因此非常適合只需要推斷功能的端點,請遵循「最低許可權」最佳做法。 | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
認知服務計量建議程式 管理員 istrator | 專案的完整存取權,包括系統層級設定。 | cb43c632-a144-4ec5-977c-e80c4affc34a |
認知服務 OpenAI 參與者 | 完整存取權,包括微調、部署和產生文字的能力 | a001fd3d-188f-4b5d-821b-7da978bf7442 |
認知服務 OpenAI 使用者 | 檢視檔案、模型、部署的讀取許可權。 建立完成和內嵌呼叫的能力。 | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
認知服務 QnA Maker 編輯器 | 讓我們建立、編輯、匯入和導出 KB。 您無法發佈或刪除 KB。 | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
認知服務 QnA Maker 讀取器 | 讓我們只讀取並測試 KB。 | 466ccd10-b268-4a11-b098-b4849f024126 |
認知服務使用量讀取者 | 檢視認知服務使用量的最低許可權。 | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
認知服務使用者 | 可讓您讀取和列出認知服務的金鑰。 | a97b65f3-24c7-4388-baec-2e87135dc908 |
搜尋索引數據參與者 | 授與 Azure 認知搜尋 索引數據的完整存取權。 | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
搜尋索引數據讀取器 | 授與 Azure 認知搜尋 索引數據的讀取許可權。 | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
搜尋服務參與者 | 可讓您管理 搜尋服務,但無法存取它們。 | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
物聯網
內建角色 | 描述 | 識別碼 |
---|---|---|
Azure Digital Twins 資料擁有者 | Digital Twins 數據平面的完整存取角色 | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
Azure Digital Twins 數據讀取器 | Digital Twins 數據平面屬性的唯讀角色 | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
裝置更新 管理員 istrator | 提供您管理與內容作業的完整存取權 | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
裝置更新內容 管理員 istrator | 讓您完整存取內容作業 | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
裝置更新內容讀取器 | 可讓您讀取內容作業的存取權,但不允許進行變更 | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
裝置更新部署 管理員 istrator | 提供您管理作業的完整存取權 | e4237640-0e3d-4a46-8fda-70bc94856432 |
裝置更新部署讀取器 | 可讓您讀取管理作業的存取權,但不允許進行變更 | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
裝置更新讀取器 | 可讓您讀取管理和內容作業的存取權,但不允許進行變更 | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
IoT 中樞 數據參與者 | 允許完整存取 IoT 中樞 數據平面作業。 | 4fc6c259-987e-4a07-842e-c321cc9d413f |
IoT 中樞 數據讀取器 | 允許完整讀取 IoT 中樞 數據平面屬性 | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
IoT 中樞 登錄參與者 | 允許完整存取 IoT 中樞 裝置登錄。 | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
IoT 中樞 對應項參與者 | 允許所有 IoT 中樞 裝置和模組對應項的讀取和寫入存取權。 | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
混合實境
內建角色 | 描述 | 識別碼 |
---|---|---|
遠端轉譯 管理員 istrator | 為使用者提供 Azure 遠端轉譯 的轉換、管理工作階段、轉譯和診斷功能 | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
遠端轉譯用戶端 | 為使用者提供 Azure 遠端轉譯 的管理工作階段、轉譯和診斷功能。 | d39065c4-c120-43c9-ab0a-63eed9795f0a |
空間錨點帳戶參與者 | 可讓您管理帳戶中的空間錨點,但無法刪除這些錨點 | 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827 |
Spatial Anchors 帳戶擁有者 | 可讓您管理帳戶中的空間錨點,包括刪除它們 | 70bbe301-9835-447d-afdd-19eb3167307c |
空間錨點帳戶讀取者 | 可讓您在帳戶中尋找和讀取空間錨點的屬性 | 5d51204f-eb77-4b1c-b86a-2ec626c49413 |
整合
內建角色 | 描述 | 識別碼 |
---|---|---|
API 管理 服務參與者 | 可以管理服務和 API | 312a565d-c81f-4fd8-895a-4e21e48d571c |
API 管理 服務操作員角色 | 可以管理服務,但不能管理服務 | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
API 管理 服務讀取者角色 | 服務和 API 的唯讀存取權 | 71522526-b88f-4d52-b57f-d31fc3546d0d |
APIM 服務工作區 API 開發人員 | 具有標籤和產品的讀取許可權,以及允許的寫入許可權:將 API 指派給產品、將標籤指派給產品和 API。 此角色應在服務範圍上指派。 | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
APIM 服務工作區 API 產品管理員 | 具備與 APIM 服務工作區 API 開發人員相同的存取權,以及使用者的讀取權限和寫入權限,以允許將使用者指派給群組。 此角色應在服務範圍上指派。 | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
APIM 工作區 API 開發人員 | 具備工作區中實體的讀取權限,以及用於編輯 API 之實體的讀取和寫入權限。 此角色應在工作區範圍上指派。 | 56328988-075d-4c6a-8766-d93edd6725b6 |
APIM 工作區 API 產品管理員 | 具備工作區中實體的讀取權限,以及用於發佈 API 之實體的讀取和寫入權限。 此角色應在工作區範圍上指派。 | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
APIM 工作區參與者 | 可以管理工作區和檢視,但無法修改其成員。 此角色應在工作區範圍上指派。 | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
APIM 工作區讀者 | 具備工作區中實體的唯讀權限。 此角色應在工作區範圍上指派。 | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2 |
應用程式組態 數據擁有者 | 允許完整存取 應用程式組態 數據。 | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
應用程式組態 數據讀取器 | 允許讀取 應用程式組態 數據。 | 516239f1-63e1-4d78-a4de-a74fb236a071 |
Azure API 中心合規性管理員 | 允許在 Azure API 中心服務中管理 API 合規性。 | ede9aaa3-4627-494e-be13-4aa7c256148d |
Azure API 中心數據讀取器 | 允許存取 Azure API 中心數據平面讀取作業。 | c7244dfb-f447-457d-b2ba-3999044d1706 |
Azure API 中心服務參與者 | 允許管理 Azure API 中心服務。 | dd24193f-ef65-44e5-8a7e-6fa6e03f7713 |
Azure API 中心服務讀取器 | 允許唯讀存取 Azure API 中心服務。 | 6cba8790-29c5-48e5-bab1-c7541b01cb04 |
Azure 轉接聽程式 | 允許接聽 Azure 轉播資源的存取權。 | 26e0b698-aa6d-4085-9386-aadae190014d |
Azure 轉寄擁有者 | 允許完整存取 Azure 轉播資源。 | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
Azure 轉送寄件者 | 允許傳送對 Azure 轉送資源的存取權。 | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
Azure 服務匯流排 數據擁有者 | 允許完整存取 Azure 服務匯流排 資源。 | 090c5cfd-751d-490a-894a-3ce6f1109419 |
Azure 服務匯流排 數據接收器 | 允許接收 Azure 服務匯流排 資源的存取權。 | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
Azure 服務匯流排資料傳送者 | 允許傳送 Azure 服務匯流排 資源的存取權。 | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
BizTalk 參與者 | 可讓您管理 BizTalk 服務,但無法存取它們。 | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
EventGrid 參與者 | 可讓您管理 EventGrid 作業。 | 1e241071-0855-49ea-94dc-649edcd759de |
EventGrid 數據傳送者 | 允許傳送事件方格事件的存取權。 | d5a91429-5739-47e2-a06b-3470a27159e7 |
EventGrid EventSubscription 參與者 | 可讓您管理 EventGrid 事件訂用帳戶作業。 | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
EventGrid EventSubscription 讀取器 | 可讓您讀取 EventGrid 事件訂用帳戶。 | 2414bbcf-6497-4faf-8c65-045460748405 |
FHIR 數據參與者 | 角色可讓使用者或主體完整存取 FHIR 數據 | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
FHIR 數據匯出工具 | 角色可讓使用者或主體讀取和導出 FHIR 數據 | 3db33094-8700-4567-8da5-1501d4e7e843 |
FHIR 資料匯入工具 | 角色可讓使用者或主體讀取和匯入 FHIR 數據 | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
FHIR 數據讀取器 | 角色可讓使用者或主體讀取 FHIR 數據 | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
FHIR 數據寫入器 | 角色可讓使用者或主體讀取和寫入 FHIR 數據 | 3f88fce4-5892-4214-ae73-ba5294559913 |
Integration Service 環境參與者 | 可讓您管理整合服務環境,但無法存取它們。 | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
Integration Service Environment Developer | 可讓開發人員在整合服務環境中建立和更新工作流程、整合帳戶和 API 連線。 | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
智慧型系統帳戶參與者 | 可讓您管理智慧型手機系統帳戶,但無法存取它們。 | 03a6d094-3444-4b3d-88af-7477090a9e5e |
邏輯應用程式參與者 | 可讓您管理邏輯應用程式,但無法變更其存取權。 | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
邏輯應用程式操作員 | 可讓您讀取、啟用和停用邏輯應用程式,但無法編輯或更新邏輯應用程式。 | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
Logic Apps 標準參與者 (預覽) | 您可以管理標準邏輯應用程式和工作流程的所有層面。 您無法變更存取權或擁有權。 | ad710c24-b039-4e85-a019-deb4a06e8570 |
Logic Apps 標準開發人員 (預覽) | 您可以建立和編輯標準邏輯應用程式的工作流程、連線和設定。 您無法在工作流程範圍之外進行變更。 | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
Logic Apps 標準操作員 (預覽) | 您可以啟用和停用邏輯應用程式、重新提交工作流程執行,以及建立連線。 您無法編輯工作流程或設定。 | b70c96e9-66fe-4c09-b6e7-c98e69c98555 |
Logic Apps 標準讀取者 (預覽) | 您有標準邏輯應用程式和工作流程中所有資源的唯讀存取權,包括工作流程執行及其歷程記錄。 | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
排程器作業集合參與者 | 可讓您管理排程器工作集合,但無法存取它們。 | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
Services Hub 操作員 | Services Hub 操作員可讓您執行與 Services Hub 連線 ors 相關的所有讀取、寫入和刪除作業。 | 82200a5b-e217-47a5-b665-6d8765ee745b |
身分識別
內建角色 | 描述 | 識別碼 |
---|---|---|
網域服務參與者 | 可以管理 Azure AD Domain Services 和相關網路設定 | eeaeda52-9324-47f6-8069-5d5bade478b2 |
Domain Services 讀取者 | 可以檢視 Azure AD Domain Services 和相關網路組態 | 361898ef-9ed1-48c2-849c-a832951106bb |
受控識別參與者 | 建立、讀取、更新和刪除使用者指派的身分識別 | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
受控識別操作員 | 讀取和指派使用者指派的身分識別 | f1a07417-d97a-45cb-824c-7a7467783830 |
安全性
內建角色 | 描述 | 識別碼 |
---|---|---|
應用程式合規性自動化 管理員 istrator | 建立、讀取、下載、修改和刪除報告物件和其他相關資源物件。 | 0f37683f-2463-46b6-9ce7-9b788b988ba2 |
應用程式合規性自動化讀取者 | 讀取、下載報告物件和其他相關資源物件。 | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
證明參與者 | 可讀取、寫入或刪除證明提供者執行個體 | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
證明讀者 | 可讀取證明提供者屬性 | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
金鑰保存庫 管理員 istrator | 可在金鑰保存庫和其中的所有物件上執行所有資料平面作業,包括憑證、金鑰和祕密。 無法管理金鑰保存庫資源或管理角色指派。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
金鑰保存庫 憑證使用者 | 讀取憑證內容。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
金鑰保存庫 憑證官員 | 可對金鑰保存庫的憑證執行任何動作,但不能管理權限。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | a4417e6f-fecd-4de8-b567-7b0420556985 |
Key Vault 參與者 | 管理金鑰保存庫,但不允許您在 Azure RBAC 中指派角色,也不允許您存取秘密、金鑰或憑證。 | f25e0fa2-a7c8-4377-a976-54943a77a395 |
金鑰保存庫 密碼編譯官 | 可對金鑰保存庫的金鑰執行任何動作,但不能管理權限。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
金鑰保存庫 加密服務加密使用者 | 可讀取金鑰的中繼資料,並執行包裝/解除包裝作業。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
金鑰保存庫 Crypto Service 版本使用者 | 發行金鑰。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | 08bbd89e-9f13-488c-ac41-acfcb10c90ab |
金鑰保存庫 Crypto 使用者 | 使用金鑰執行密碼編譯作業。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | 12338af0-0e69-4776-bea7-57ae8d297424 |
金鑰保存庫 數據存取 管理員 istrator | 新增或移除 Key Vault 系統管理員、Key Vault 憑證人員、Key Vault 密碼編譯人員、Key Vault 密碼編譯服務加密使用者、Key Vault 密碼編譯使用者、Key Vault 讀者、Key Vault 祕密人員或 Key Vault 祕密使用者角色的角色指派,來管理 Azure Key Vault 的存取權。 包含用來限制角色指派的 ABAC 條件。 | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
金鑰保存庫讀者 | 可讀取金鑰保存庫的中繼資料及其憑證、金鑰和祕密。 無法讀取敏感值,例如秘密內容或金鑰內容。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | 21090545-7ca7-4776-b22c-e363652d74d2 |
金鑰保存庫 秘密官員 | 可對金鑰保存庫的祕密執行任何動作,但不能管理權限。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
金鑰保存庫 秘密使用者 | 可讀取秘密內容。 僅適用於使用「Azure 角色型存取控制」權限模型的金鑰保存庫。 | 4633458b-17de-408a-b874-0445c86b69e6 |
受控 HSM 參與者 | 可讓您管理受控 HSM 集區,但無法加以存取。 | 18500a29-7fe2-46b2-a342-b16a415e101d |
Microsoft Sentinel 自動化參與者 | Microsoft Sentinel 自動化參與者 | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
Microsoft Sentinel 參與者 | Microsoft Sentinel 參與者 | ab8e14d6-4a74-4a29-9ba8-549422addade |
Microsoft Sentinel 劇本操作員 | Microsoft Sentinel 劇本操作員 | 51d6186e-6489-4900-b93f-92e23144cca5 |
Microsoft Sentinel 讀者 | Microsoft Sentinel 讀者 | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
Microsoft Sentinel 回應程式 | Microsoft Sentinel 回應程式 | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
安全性系統管理員 | 檢視和更新適用於雲端的 Microsoft Defender 權限。 與安全性讀取者角色相同的權限,也可以更新安全性原則並關閉警示和建議。 如需適用於IoT的 Microsoft Defender,請參閱 適用於OT和企業IoT監視的 Azure 使用者角色。 |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
安全性評定參與者 | 可讓您將評量推送至適用於雲端的 Microsoft Defender | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
安全性管理員 (舊版) | 這是舊版角色。 請改用安全性系統管理員。 | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
安全性讀取者 | 檢視適用於雲端的 Microsoft Defender 權限。 可以檢視建議、警示、安全性原則和安全性狀態,但無法進行變更。 如需適用於IoT的 Microsoft Defender,請參閱 適用於OT和企業IoT監視的 Azure 使用者角色。 |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
DevOps
內建角色 | 描述 | 識別碼 |
---|---|---|
DevTest Labs 使用者 | 可讓您在 Azure DevTest Labs 中連線、啟動、重新啟動和關閉虛擬機。 | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
實驗室助理 | 可讓您檢視現有的實驗室、在實驗室 VM 上執行動作,並將邀請傳送至實驗室。 | ce40b423-cede-4313-a93f-9b28290b72e1 |
實驗室參與者 | 在實驗室層級套用,可讓您管理實驗室。 套用至資源群組,可讓您建立和管理實驗室。 | 5daaa2af-1fe8-407c-9122-bba179798270 |
實驗室建立者 | 可讓您在 Azure 實驗室帳戶下建立新的實驗室。 | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
實驗室操作員 | 讓您能夠管理現有的實驗室。 | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
實驗室服務參與者 | 可讓您完全控制資源群組中的所有實驗室服務案例。 | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
實驗室服務讀取器 | 可讓您檢視但未變更的所有實驗室計劃和實驗室資源。 | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
負載測試參與者 | 檢視、建立、更新、刪除和執行負載測試。 檢視和列出負載測試資源,但無法進行任何變更。 | 749a398d-560b-491b-bb21-08924219302e |
負載測試擁有者 | 在負載測試資源和負載測試上執行所有作業 | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
負載測試讀取器 | 檢視及列出所有負載測試和負載測試資源,但無法進行任何變更 | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
監視器
內建角色 | 描述 | 識別碼 |
---|---|---|
Application Insights 元件參與者 | 可以管理 Application Insights 元件 | ae349356-3a1b-4a5e-921d-050484c6347e |
Application Insights 快照集偵錯工具 | 授與用戶檢視及下載使用ApplicationInsights快照調試程式收集的偵錯快照集的許可權。 請注意,這些許可權不包含在擁有者或參與者角色中。 將 Application Insights 快照調試程式角色授與使用者時,您必須將角色直接授與使用者。 當角色新增至自定義角色時,無法辨識該角色。 | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
Grafana 管理員 | 執行所有 Grafana 作業,包括能夠管理數據源、建立儀錶板,以及管理 Grafana 內的角色指派。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
Grafana 編輯器 | 檢視和編輯 Grafana 實例,包括其儀錶板和警示。 | a79a5197-3a5c-4973-a920-486035ffd60f |
Grafana Viewer | 檢視 Grafana 實例,包括其儀錶板和警示。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
監視參與者 | 可以讀取所有監視數據並編輯監視設定。 另 請參閱開始使用 Azure 監視器的角色、許可權和安全性。 | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
監視計量發行者 | 可讓您對 Azure 資源發佈計量 | 3913510d-42f4-4e42-8a64-420c390055eb |
監視讀取器 | 可以讀取所有監視數據(計量、記錄等)。 另 請參閱開始使用 Azure 監視器的角色、許可權和安全性。 | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
活頁簿參與者 | 可以儲存共用活頁簿。 | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
活頁簿讀取器 | 可以讀取活頁簿。 | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
管理和治理
內建角色 | 描述 | 識別碼 |
---|---|---|
自動化參與者 | 使用 Azure 自動化管理 Azure 自動化資源和其他資源。 | f353d9bd-d4a6-484e-a77a-8050b599b867 |
自動化作業操作員 | 使用自動化 Runbook 建立及管理作業。 | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
自動化操作員 | 自動化操作員可啟動、停止、暫止及繼續作業 | d3881f73-407a-4167-8283-e981cbba0404 |
自動化 Runbook 操作員 | 讀取 Runbook 屬性 - 能夠建立 Runbook 的作業。 | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
Azure 連線 機器上線 | 可以將 Azure Connected Machine 上線。 | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
Azure Connected Machine 資源管理員 | 可以讀取、寫入、刪除 Azure Connected Machine 及將之重新上線。 | cd570a14-e51a-42ad-bac8-bafd67325302 |
Azure 連線 Ed Machine Resource Manager | AzureStackHCI RP 的自訂角色,以管理資源群組中的混合式計算機器和混合式連線端點 | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
計費讀者 | 允許對計費資料進行讀取存取 | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
藍圖參與者 | 可以管理藍圖定義,但無法加以指派。 | 41077137-e803-4205-871c-5a86e6a753b4 |
藍圖操作者 | 可以指派現有的已發佈藍圖,但無法建立新的藍圖。 請注意,只有當指派是透過使用者指派的受控識別完成時,這才能運作。 | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
碳優化讀取器 | 允許對 Azure 碳優化數據的讀取存取 | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
成本管理參與者 | 可以檢視成本及管理成本設定 (例如: 預算、匯出) | 434105ed-43f6-45c7-a02f-909b2ba83430 |
成本管理讀者 | 可以檢視成本資料及設定 (例如: 預算、匯出) | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
Hierarchy 設定 管理員 istrator | 允許使用者編輯和刪除階層設定 | 350f8d15-c687-4448-8ae1-157740a3936d |
受控應用程式參與者角色 | 允許建立受控應用程式資源。 | 641177b8-a67a-45b9-a033-47bc880bb21e |
受控應用程式操作員角色 | 可讓您在受控應用程式資源上讀取及執行動作 | c7393b34-138c-406f-901b-d8cf2b17e6ae |
受控應用程式讀取器 | 可讓您讀取受控應用程式中的資源及要求 JIT 存取權。 | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
受控服務註冊指派刪除角色 | 受控服務註冊指派刪除角色可讓管理租用戶使用者刪除指派給其租用戶的註冊指派。 | 91c1777a-f3dc-4fae-b103-61d183457e46 |
管理群組參與者 | 管理群組參與者角色 | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
管理群組讀取者 | 管理群組讀取者角色 | ac63b705-f282-497d-ac71-919bf39d939d |
New Relic APM 帳戶參與者 | 可讓您管理 New Relic Application Performance Management 帳戶及應用程式,但無法加以存取。 | 5d28c62d-5b37-4476-8438-e587778df237 |
原則深入解析資料寫入器 (預覽) | 允許資源原則的讀取存取及資源元件原則事件的寫入存取。 | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
配額要求操作員 | 讀取和建立配額要求、取得配額要求狀態,並建立支援票證。 | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
保留購買者 | 可讓您購買保留 | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
reservations 管理員 istrator | 可讓人員讀取和管理租用戶中的所有保留 | a8889054-8d42-49c9-bc1c-52486c10e7cd |
保留讀取者 | 可讓人員讀取租用戶中的所有保留 | 582fc458-8989-419f-a480-75249bc5db7e |
資源原則參與者 | 有權建立/修改資源原則、建立支援票證及讀取資源/階層的使用者。 | 36243c78-bf99-498c-9df9-86d9f8d28608 |
排程修補參與者 | 使用維護範圍 InGuestPatch 和對應的組態指派,提供管理維護設定的存取權 | cd08ab90-6b14-449c-ad9a-8f8e549482c6 |
Site Recovery 參與者 | 可讓您管理 Site Recovery 服務,但保存庫建立與角色指派除外 | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
Site Recovery 操作員 | 可讓您容錯移轉及容錯回復,但無法執行其他 Site Recovery 管理作業 | 494ae006-db33-4328-bf46-533a6560a3ca |
Site Recovery 讀者 | 可讓您檢視 Site Recovery 狀態,但無法執行其他管理作業 | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
支援要求參與者 | 可讓您建立及管理支援要求 | cf33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
卷標參與者 | 可讓您管理實體上的標籤,而無需提供實體本身的存取權。 | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
範本規格參與者 | 允許在指派的範圍內對範本規格作業的完整存取權。 | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
範本規格讀取者 | 允許在指派的範圍內對範本規格的讀取存取。 | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
混合式 + 多重雲端
內建角色 | 描述 | 識別碼 |
---|---|---|
Azure 資源網橋部署角色 | Azure 資源橋接器部署角色 | 7b1f81f9-4196-4058-8aae-762e593270df |
Azure Stack HCI 管理員 istrator | 授與叢集及其資源的完整存取權,包括註冊 Azure Stack HCI 的能力,並將其他人指派為 Azure Arc HCI VM 參與者和/或 Azure Arc HCI VM 讀取器 | bda0d508-adf1-4af0-9c28-88919fc3ae06 |
Azure Stack HCI 裝置管理 角色 | Microsoft.AzureStackHCI 裝置管理 角色 | 865ae368-6a45-4bd1-8fbf-0d5151f56fc1 |
Azure Stack HCI VM 參與者 | 授與執行所有 VM 動作的許可權 | 874d1c73-6003-4e60-a13a-cb31ea190a85 |
Azure Stack HCI VM 讀取器 | 授與檢視 VM 的許可權 | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
Azure Stack 註冊擁有者 | 可讓您管理 Azure Stack 註冊。 | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |