Integrierte Azure-Rollen für Privileged
In diesem Artikel werden die integrierten Azure-Rollen in der Kategorie "Privilegierte" aufgeführt.
Mitwirkender
Hiermit wird Vollzugriff zum Verwalten aller Ressourcen gewährt, allerdings nicht zum Zuweisen von Rollen in Azure RBAC, zum Verwalten von Zuweisungen in Azure Blueprints oder zum Teilen von Imagekatalogen.
| Aktionen | BESCHREIBUNG |
|---|---|
| * | Erstellen und Verwalten von Ressourcen aller Typen |
| NotActions | |
| Microsoft.Authorization/*/Delete | Löschen von Rollen, Richtlinienzuweisungen, Richtliniendefinitionen und Richtliniensatzdefinitionen |
| Microsoft.Authorization/*/Write | Erstellen von Rollen, Rollenzuweisungen, Richtlinienzuweisungen, Richtliniendefinitionen und Richtliniensatzdefinitionen |
| Microsoft.Authorization/elevateAccess/Action | Gewährt dem Aufrufer Zugriff vom Typ „Benutzerzugriffsadministrator“ auf der Mandantenebene. |
| Microsoft.Blueprint/blueprintAssignments/write | Erstellt oder aktualisiert alle Blaupausenzuweisungen |
| Microsoft.Blueprint/blueprintAssignments/delete | Löscht alle Blaupausenzuweisungen |
| Microsoft.Compute/galleries/share/action | Gibt einen Katalog in verschiedenen Bereichen frei. |
| Microsoft.Purview/consents/write | Erstellen oder Aktualisieren einer Zustimmungsressource. |
| Microsoft.Purview/consents/delete | Löschen Sie die Zustimmungsressource. |
| Microsoft.Resources/deploymentStacks/manageDenySetting/action | Verwalten Sie die Eigenschaft "denySettings" eines Bereitstellungsstapels. |
| DataActions | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Besitzer
Hiermit wird Vollzugriff zum Verwalten aller Ressourcen gewährt, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen.
| Aktionen | BESCHREIBUNG |
|---|---|
| * | Erstellen und Verwalten von Ressourcen aller Typen |
| NotActions | |
| keine | |
| DataActions | |
| keine | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Reservierungsadmin
Ermöglicht das Lesen und Verwalten aller Reservierungen in einem Mandanten.
| Aktionen | Beschreibung |
|---|---|
| Microsoft.Capacity/*/read | |
| Microsoft.Capacity/*/action | |
| Microsoft.Capacity/*/write | |
| Microsoft.Authorization/roleAssignments/read | Dient zum Abrufen von Informationen zu einer Rollenzuweisung. |
| Microsoft.Authorization/roleDefinitions/read | Dient zum Abrufen von Informationen zu einer Rollendefinition. |
| Microsoft.Authorization/roleAssignments/write | Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich. |
| Microsoft.Authorization/roleAssignments/delete | Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich. |
| NotActions | |
| keine | |
| DataActions | |
| keine | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator:in für rollenbasierte Zugriffssteuerung
Verwalten Sie den Zugriff auf Azure-Ressourcen durch Zuweisung von Rollen mit Azure RBAC. Mit dieser Rolle können Sie den Zugriff nicht auf andere Arten verwalten, wie etwa Azure Policy.
| Aktionen | Beschreibung |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich. |
| Microsoft.Authorization/roleAssignments/delete | Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich. |
| */Lesen | Lesen von Ressourcen aller Typen mit Ausnahme geheimer Schlüssel |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| NotActions | |
| keine | |
| DataActions | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Benutzerzugriffsadministrator
Ermöglicht Ihnen die Verwaltung von Benutzerzugriffen auf Azure-Ressourcen.
| Aktionen | Beschreibung |
|---|---|
| */Lesen | Lesen von Ressourcen aller Typen mit Ausnahme geheimer Schlüssel |
| Microsoft.Authorization/* | Verwalten der Autorisierung |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| NotActions | |
| keine | |
| DataActions | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}