Sdílet prostřednictvím

Požadavky na oprávnění pro Service Connector

  • Článek

Při vytváření připojení mezi službami Azure je nezbytné zajistit, aby byla udělena potřebná oprávnění. Tento dokument popisuje požadavky na oprávnění pro různé prostředky Azure, které usnadňují bezproblémové vytváření připojení.

Konektor služby vytváří připojení mezi službami Azure pomocí tokenů jménem uživatele.

Vytváření připojení k prostředkům Azure vyžaduje příslušná oprávnění.

App Service

Akce Popis
Microsoft.Web/sites/config/write Aktualizace nastavení konfigurace webové aplikace
Microsoft.web/sites/config/delete Odstraňte konfiguraci Web Apps.
Microsoft.Web/sites/config/list/action Zobrazení seznamu nastavení citlivých na zabezpečení webové aplikace, jako jsou přihlašovací údaje pro publikování, nastavení aplikace a připojovací řetězec
Microsoft.Web/sites/config/Read Získání nastavení konfigurace webové aplikace
Microsoft.Web/sites/write Vytvoření nové webové aplikace nebo aktualizace existující webové aplikace
Microsoft.Web/sites/read Získání vlastností webové aplikace

Slot webové aplikace

Akce Popis
Microsoft.Web/sites/slots/Write Vytvoření nového slotu webové aplikace nebo aktualizace existujícího slotu
Microsoft.Web/sites/slots/Read Získání vlastností slotu nasazení webové aplikace
Microsoft.Web/sites/slots/config/Read Získání nastavení konfigurace Slotu webové aplikace
Microsoft.Web/sites/slots/config/Write Aktualizace nastavení konfigurace slotu webové aplikace
microsoft.web/sites/slots/config/delete Odstraňte konfiguraci slotů Web Apps.
Microsoft.Web/sites/slots/config/list/Action Zobrazení seznamu nastavení citlivých na zabezpečení slotu web appu, jako jsou přihlašovací údaje pro publikování, nastavení aplikace a připojovací řetězec

Aplikace Azure Spring

Akce Popis
Microsoft.AppPlatform/Spring/read Získání instancí služby Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read Získání aplikací pro konkrétní instanci služby Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/write Vytvoření nebo aktualizace aplikace pro konkrétní instanci služby Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/deployments/*/read Získání nasazení pro konkrétní aplikaci
Microsoft.AppPlatform/Spring/apps/deployments/*/write Vytvoření nebo aktualizace nasazení pro konkrétní aplikaci
Microsoft.AppPlatform/Spring/apps/deployments/*/delete Odstranění nasazení pro konkrétní aplikaci

Azure Container Apps

Akce Popis
Microsoft.App/containerApps/read Získání kontejnerové aplikace
Microsoft.App/containerApps/write Vytvoření nebo aktualizace kontejnerové aplikace
Microsoft.App/containerApps/listsecrets/action Výpis tajných kódů aplikace typu kontejner
Microsoft.App/managedEnvironments/read Získání spravovaného prostředí
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Získání stavu dlouhotrvající operace spravovaného prostředí
microsoft.app/locations/containerappoperationstatuses/read Získání stavu dlouhotrvající operace aplikace kontejneru
microsoft.app/locations/containerappoperationresults/read Získání výsledku dlouhotrvající operace aplikace kontejneru
microsoft.app/locations/managedenvironmentoperationresults/read Získání výsledku dlouhotrvající operace spravovaného prostředí

Dapr v Azure Container Apps

Akce Popis
Microsoft.App/managedEnvironments/daprComponents/read Komponenta Dapr pro čtení spravovaného prostředí
Microsoft.App/managedEnvironments/daprComponents/write Vytvoření nebo aktualizace komponenty Dapr spravovaného prostředí
Microsoft.App/managedEnvironments/daprComponents/delete Odstranění komponenty Dapr spravovaného prostředí

Azure Cache for Redis

Akce Popis
Microsoft.Cache/redis/read Zobrazení nastavení a konfigurace služby Redis Cache na portálu pro správu
Microsoft.Cache/redis/firewallRules/read Získání pravidel brány firewall protokolu IP služby Redis Cache
Microsoft.Cache/redis/firewallRules/write Úprava pravidel brány firewall protokolu IP služby Redis Cache
Microsoft.Cache/redis/firewallRules/delete Odstranění pravidel brány firewall protokolu IP služby Redis Cache
Microsoft.Cache/redis/listKeys/action Zobrazení hodnoty přístupových klíčů Redis Cache na portálu pro správu

Azure Cache for Redis Enterprise

Akce Popis
Microsoft.Cache/redisEnterprise/read Zobrazení nastavení a konfigurace mezipaměti Redis Enterprise na portálu pro správu
Microsoft.Cache/redisEnterprise/databases/read Zobrazení nastavení a konfigurace databáze mezipaměti Redis Enterprise na portálu pro správu
Microsoft.Cache/redisEnterprise/databases/listKeys/action Zobrazení hodnoty přístupových klíčů k databázi Redis Enterprise na portálu pro správu

Azure Database for PostgreSQL

Azure Database for PostgreSQL

Akce Popis
Microsoft.DBforPostgreSQL/servers/firewallRules/read Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti zadaného pravidla brány firewall.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Odstraní existující pravidlo brány firewall.
Microsoft.DBForPostgreSQL/servers/read Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBForPostgreSQL/servers/databases/read Vrátí seznam databází PostgreSQL nebo získá vlastnosti pro zadanou databázi.
Microsoft.DBforPostgreSQL/servers/write Vytvoří server se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadaný server.

Azure Database for PostgreSQL (koncový bod služby)

Akce Popis
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Vrátí seznam pravidel virtuální sítě nebo získá vlastnosti zadaného pravidla virtuální sítě.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Vytvoří pravidlo virtuální sítě se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadané pravidlo virtuální sítě.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Odstraní existující pravidlo virtuální sítě.

Flexibilní server Azure Database for PostgreSQL

Akce Popis
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti zadaného pravidla brány firewall.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Odstraní existující pravidlo brány firewall.
Microsoft.DBForPostgreSQL/flexibleServers/read Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Vrátí seznam databází serveru PostgreSQL nebo získá databázi pro zadaný server.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Vrátí seznam konfigurací serveru PostgreSQL nebo získá konfigurace pro zadaný server.

Azure Database for MySQL

Akce Popis
Microsoft.DBforMySQL/servers/firewallRules/read Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti zadaného pravidla brány firewall.
Microsoft.DBforMySQL/servers/firewallRules/write Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforMySQL/servers/firewallRules/delete Odstraní existující pravidlo brány firewall.
Microsoft.DBforMySQL/servers/read Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBforMySQL/servers/databases/read Vrátí seznam databází MySQL nebo získá vlastnosti pro zadanou databázi.
Microsoft.DBforMySQL/servers/write Vytvoří server se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadaný server.

Azure Database for MySQL (koncový bod služby)

Akce Popis
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Vrátí seznam pravidel virtuální sítě nebo získá vlastnosti zadaného pravidla virtuální sítě.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Vytvoří pravidlo virtuální sítě se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadané pravidlo virtuální sítě.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Odstraní existující pravidlo virtuální sítě.

Flexibilní server Azure Database for MySQL

Akce Popis
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Vrátí seznam pravidel brány firewall pro server nebo získá vlastnosti pro zadané pravidlo brány firewall.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Vytvoří pravidlo brány firewall se zadanými parametry nebo aktualizuje existující pravidlo.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Odstraní existující pravidlo brány firewall.
Microsoft.DBforMySQL/flexibleServers/read Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.DBforMySQL/flexibleServers/databases/read Vrátí seznam databází pro server nebo získá vlastnosti pro zadanou databázi.
Microsoft.DBforMySQL/flexibleServers/configurations/read Vrátí seznam konfigurací serveru MySQL nebo získá konfigurace pro zadaný server.

Azure App Configuration

Akce Popis
Microsoft.AppConfiguration/configurationStores/ListKeys/action Zobrazí seznam klíčů rozhraní API pro zadané úložiště konfigurace.
Microsoft.AppConfiguration/configurationStores/read Získá vlastnosti zadaného úložiště konfigurace nebo zobrazí seznam všech úložišť konfigurace v zadané skupině prostředků nebo předplatném.

Azure Event Hubs

Akce Popis
Microsoft.EventHub/namespaces/read Získání seznamu popisů prostředků oboru názvů
Microsoft.EventHub/namespaces/ipFilterRules/read Získání prostředku filtru IP adres
Microsoft.EventHub/namespaces/ipFilterRules/write Vytvoření prostředku filtru IP adres
Microsoft.EventHub/namespaces/ipFilterRules/delete Odstranění prostředku filtru IP adres
Microsoft.EventHub/namespaces/networkrulesets/read Získá prostředek NetworkRuleSet.
Microsoft.EventHub/namespaces/networkrulesets/write Vytvoření prostředku pravidla virtuální sítě
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action Získání připojovacího řetězce k oboru názvů

Azure Service Bus

Akce Popis
Microsoft.ServiceBus/namespaces/read Získání seznamu popisů prostředků oboru názvů
Microsoft.ServiceBus/namespaces/ipFilterRules/read Získání prostředku filtru IP adres
Microsoft.ServiceBus/namespaces/ipFilterRules/write Vytvoření prostředku filtru IP adres
Microsoft.ServiceBus/namespaces/ipFilterRules/delete Odstranění prostředku filtru IP adres
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action Získání připojovacího řetězce k oboru názvů
Microsoft.ServiceBus/namespaces/networkrulesets/read Získá prostředek NetworkRuleSet.
Microsoft.ServiceBus/namespaces/networkrulesets/write Vytvoření prostředku pravidla virtuální sítě

Azure Blob Storage

Akce Popis
Microsoft.Storage/storageAccounts/read Vrátí seznam účtů úložiště nebo získá vlastnosti zadaného účtu úložiště.
Microsoft.Storage/storageAccounts/write Vytvoří účet úložiště se zadanými parametry nebo aktualizuje vlastnosti nebo značky nebo přidá vlastní doménu pro zadaný účet úložiště.
Microsoft.Storage/storageAccounts/listkeys/action Vrátí přístupové klíče pro zadaný účet úložiště.

Azure SignalR Service

Akce Popis
Microsoft.SignalRService/SignalR/read Zobrazení nastavení a konfigurací služby SignalR na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/SignalR/write Úprava nastavení a konfigurací služby SignalR na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/locations/operationresults/signalr/read Dotaz na výsledek asynchronní operace založené na umístění
Microsoft.SignalRService/locations/operationStatuses/signalr/read Dotazování na stav asynchronní operace založené na umístění
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action Zobrazení hodnoty přístupových klíčů SignalR na portálu pro správu nebo prostřednictvím rozhraní API

Služba Azure Web PubSub

Akce Popis
Microsoft.SignalRService/WebPubSub/read Zobrazení nastavení a konfigurací webpubsub na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/WebPubSub/write Úprava nastavení a konfigurací webPubSub na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/locations/operationresults/webpubsub/read Dotaz na výsledek asynchronní operace založené na umístění
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Dotazování na stav asynchronní operace založené na umístění
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read Zobrazení hodnoty přístupových klíčů WebPubSub na portálu pro správu nebo prostřednictvím rozhraní API
Microsoft.SignalRService/WebPubSub/listkeys/action Zobrazení hodnoty přístupových klíčů WebPubSub na portálu pro správu nebo prostřednictvím rozhraní API

Azure Cosmos DB

Upozorňující

Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Ověřovací tok popsaný v tomto postupu vyžaduje velmi vysoký stupeň důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.

Akce Popis
Microsoft.DocumentDB/databaseAccounts/read Načte účet databáze.
Microsoft.DocumentDB/databaseAccounts/write Aktualizujte databázové účty.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action Získání připojovací řetězec pro databázový účet
Microsoft.DocumentDB/databaseAccounts/listKeys/action Výpis klíčů databázového účtu

Azure SQL Database

Akce Popis
Microsoft.Sql/servers/firewallRules/read Vrátí seznam pravidel brány firewall serveru nebo získá vlastnosti pro zadané pravidlo brány firewall serveru.
Microsoft.Sql/servers/firewallRules/write Vytvoří pravidlo brány firewall serveru se zadanými parametry, aktualizuje vlastnosti zadaného pravidla nebo přepíše všechna existující pravidla novými pravidly brány firewall serveru.
Microsoft.Sql/servers/firewallRules/delete Odstraní existující pravidlo brány firewall serveru.
Microsoft.Sql/servers/databases/read Vrátí seznam databází nebo získá vlastnosti pro zadanou databázi.
Microsoft.Sql/servers/read Vrátí seznam serverů nebo získá vlastnosti zadaného serveru.
Microsoft.Sql/servers/virtualNetworkRules/read Vrátí seznam pravidel virtuální sítě nebo získá vlastnosti zadaného pravidla virtuální sítě.
Microsoft.Sql/servers/virtualNetworkRules/write Vytvoří pravidlo virtuální sítě se zadanými parametry nebo aktualizuje vlastnosti nebo značky pro zadané pravidlo virtuální sítě.
Microsoft.Sql/servers/virtualNetworkRules/delete Odstraní existující pravidlo virtuální sítě.

Azure Key Vault

Akce Popis
Microsoft.KeyVault/vaults/write Vytvoří nový trezor klíčů nebo aktualizuje vlastnosti existujícího trezoru klíčů. Některé vlastnosti mohou vyžadovat více oprávnění.
Microsoft.KeyVault/vaults/read Zobrazení vlastností trezoru klíčů
Microsoft.KeyVault/vaults/secrets/write Vytvoří nový tajný klíč nebo aktualizuje hodnotu existujícího tajného kódu.
Microsoft.KeyVault/vaults/accessPolicies/write Aktualizuje existující zásady přístupu sloučením nebo nahrazením nebo přidáním nové zásady přístupu do trezoru klíčů.

Azure Cosmos DB

Akce Popis
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Čtení definice role SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Vytvoření nebo aktualizace definice role SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Odstranění přiřazení role SQL

Konektor služby může potřebovat udělit oprávnění spravované identitě nebo instančnímu objektu, pokud je připojení vytvořené s těmito typy ověřování. Následující tabulka uvádí požadavky na oprávnění pro vytvoření připojení v tomto scénáři.

Akce Popis
Microsoft.Authorization/roleAssignments/read Získejte informace o přiřazení role.
Microsoft.Authorization/roleAssignments/write Vytvořte přiřazení role v zadaném oboru.
Microsoft.Authorization/roleAssignments/delete Odstraňte přiřazení role v zadaném oboru.

Připojení spravovaných identit přiřazených uživatelem

Service Connector může potřebovat udělit oprávnění spravované identitě přiřazené uživatelem, pokud se s ním vytvoří připojení jako typ ověřování. Následující tabulka uvádí požadavky na oprávnění pro vytvoření připojení v tomto scénáři.

Akce Popis
Microsoft.ManagedIdentity/userAssignedIdentities/read Získá existující identitu přiřazenou uživatelem.
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Akce RBAC pro přiřazení existující identity přiřazené uživatelem k prostředku
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Získání nebo výpis přihlašovacích údajů federované identity
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Přidání nebo aktualizace přihlašovacích údajů federované identity
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Odstranění přihlašovacích údajů federované identity

Pokud se jako síťové řešení vytvoří připojení s privátním koncovým bodem nebo koncovým bodem služby, může být potřeba službě Service Connector udělit oprávnění k vaší identitě. Následující tabulka uvádí požadavky na oprávnění pro vytvoření připojení v tomto scénáři.

Akce Popis
Microsoft.Network/publicIPAddresses/read Získá definici veřejné IP adresy.
Microsoft.Network/virtualNetworks/subnets/read Získá definici podsítě virtuální sítě.
Microsoft.Network/virtualNetworks/subnets/write Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě.
Microsoft.Network/privateEndpoints/read Získá prostředek privátního koncového bodu.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Připojí prostředek, jako je účet úložiště nebo databáze SQL, k podsíti. Nelze upozorňovat.
Microsoft.Network/networkSecurityGroups/join/action Připojí skupinu zabezpečení sítě. Nelze upozorňovat.
Microsoft.Network/serviceEndpointPolicies/join/action Připojí zásadu koncového bodu služby. Nelze upozorňovat.
Microsoft.Network/natGateways/join/action Připojí se ke službě NAT Gateway.
Microsoft.Network/networkIntentPolicies/join/action Připojí zásadu záměru sítě. Nelze upozorňovat.
Microsoft.Network/networkSecurityGroups/join/action Připojí skupinu zabezpečení sítě. Nelze upozorňovat.
Microsoft.Network/routeTables/join/action Spojí směrovací tabulku. Nelze upozorňovat.