Integrierte Azure-Rollen für Sicherheit
In diesem Artikel werden die integrierten Azure-Rollen in der Kategorie "Sicherheit" aufgeführt.
App-Complianceautomatisierungs-Admin
Ermöglicht das Erstellen, Lesen, Herunterladen, Ändern und Löschen von Berichtsobjekten und anderen relevanten Ressourcenobjekten.
Aktionen | Beschreibung |
---|---|
Microsoft.AppComplianceAutomation/* | |
Microsoft.Storage/storageAccounts/blobServices/write | Hiermit wird das Ergebnis des Vorgangs zum Festlegen von Eigenschaften des Blob-Diensts zurückgegeben. |
Microsoft.Storage/storageAccounts/fileservices/write | Hiermit werden Dateidiensteigenschaften festgelegt. |
Microsoft.Storage/storageAccounts/listKeys/action | Gibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück. |
Microsoft.Storage/storageAccounts/write | Erstellt ein Speicherkonto mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Tags oder fügt eine benutzerdefinierte Domäne zum angegebenen Speicherkonto hinzu. |
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Gibt einen Benutzerdelegierungsschlüssel für den Blobdienst zurück. |
Microsoft.Storage/storageAccounts/read | Gibt die Liste mit Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab. |
Microsoft.Storage/storageAccounts/blobServices/containers/read | Hiermit wird eine Liste von Containern zurückgegeben. |
Microsoft.Storage/storageAccounts/blobServices/containers/write | Gibt das Ergebnis des PUT-Vorgangs für den Blobcontainer zurück. |
Microsoft.Storage/storageAccounts/blobServices/read | Gibt Eigenschaften oder Statistiken des Blob-Diensts zurück. |
Microsoft.PolicyInsights/policyStates/queryResults/action | Fragt Informationen zu Richtlinienzuständen ab. |
Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | Hiermit wird eine neue Konformitätsauswertung für den ausgewählten Bereich ausgelöst. |
Microsoft.Resources/resources/read | Dient zum Abrufen einer gefilterten Ressourcenliste. |
Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Resources/subscriptions/resourceGroups/resources/read | Ruft die Ressourcen für die Ressourcengruppe ab. |
Microsoft.Resources/subscriptions/resources/read | Ruft die Ressourcen eines Abonnements ab. |
Microsoft.Resources/subscriptions/resourceGroups/delete | Löscht eine Ressourcengruppe und alle dazugehörigen Ressourcen. |
Microsoft.Resources/subscriptions/resourceGroups/write | Erstellt oder aktualisiert eine Ressourcengruppe. |
Microsoft.Resources/tags/read | Ruft alle Tags für eine Ressource ab |
Microsoft.Resources/deployments/validate/action | Überprüft eine Bereitstellung. |
Microsoft.Security/automations/read | Ruft die Automatisierungen für den Bereich ab. |
Microsoft.Resources/deployments/write | Erstellt oder aktualisiert eine Bereitstellung. |
Microsoft.Security/automations/delete | Löscht die Automatisierung für den Bereich. |
Microsoft.Security/automations/write | Erstellt oder aktualisiert die Automatisierung für den Bereich. |
Microsoft.Security/register/action | Registriert das Abonnement für das Azure Security Center. |
Microsoft.Security/unregister/action | Hebt die Registrierung des Abonnements für das Azure Security Center auf. |
*/Lesen | Lesen von Ressourcen aller Typen mit Ausnahme geheimer Schlüssel |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
App-Complianceautomatisierungs-Lesende
Ermöglicht das Lesen und Herunterladen von Berichtsobjekten und anderen relevanten Ressourcenobjekten.
Aktionen | Beschreibung |
---|---|
*/Lesen | Lesen von Ressourcen aller Typen mit Ausnahme geheimer Schlüssel |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Attestation-Mitwirkender
Lesen, Schreiben oder Löschen der Nachweisanbieterinstanz
Aktionen | BESCHREIBUNG |
---|---|
Microsoft.Attestation/attestationProviders/attestation/read | Ruft den Status des Nachweisdiensts ab. |
Microsoft.Attestation/attestationProviders/attestation/write | Fügt den Nachweisdienst hinzu. |
Microsoft.Attestation/attestationProviders/attestation/delete | Entfernt den Nachweisdienst. |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Attestation-Leser
Lesen der Eigenschaften des Nachweisanbieters
Aktionen | BESCHREIBUNG |
---|---|
Microsoft.Attestation/attestationProviders/attestation/read | Ruft den Status des Nachweisdiensts ab. |
Microsoft.Attestation/attestationProviders/read | Ruft den Status des Nachweisdiensts ab. |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Administrator
Ausführen beliebiger Vorgänge auf Datenebene für einen Schlüsseltresor und alle darin enthaltenen Objekte (einschließlich Zertifikate, Schlüssel und Geheimnisse). Kann keine Key Vault-Ressourcen oder Rollenzuweisungen verwalten. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
Microsoft.KeyVault/checkNameAvailability/read | Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird. |
Microsoft.KeyVault/deletedVaults/read | Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore. |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf. |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Zertifikatbenutzer
Lesen von Zertifikatinhalten. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | BESCHREIBUNG |
---|---|
keine | |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/certificates/read | Listet Zertifikate in einem angegebenen Schlüsseltresor auf oder ruft Informationen zu einem Zertifikat ab. |
Microsoft.KeyVault/vaults/secrets/getSecret/action | Ruft den Wert eines Geheimnisses ab. |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Wert. |
Microsoft.KeyVault/vaults/keys/read | Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen eines Schlüssels. Bei asymmetrischen Schlüsseln legt dieser Vorgang den öffentlichen Schlüssel offen und beinhaltet die Fähigkeit, Algorithmen für öffentliche Schlüssel durchzuführen, z. B. Verschlüsselung und Überprüfung der Signatur. Private Schlüssel und symmetrische Schlüssel werden nie offengelegt. |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Zertifikatbeauftragter
Ausführen beliebiger Aktionen für die Zertifikate eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
Microsoft.KeyVault/checkNameAvailability/read | Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird. |
Microsoft.KeyVault/deletedVaults/read | Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore. |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf. |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/certificatecas/* | |
Microsoft.KeyVault/vaults/certificates/* | |
Microsoft.KeyVault/vaults/certificatecontacts/write | Verwaltet einen Zertifikatkontakt. |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Mitwirkender
Verwalten von Schlüsseltresoren, gestattet Ihnen jedoch nicht, Rollen in Azure RBAC zuzuweisen, und ermöglicht keinen Zugriff auf Geheimnisse, Schlüssel oder Zertifikate.
Wichtig
Wenn Sie das Zugriffsrichtlinienberechtigungsmodell verwenden, können Benutzende mit den Rollen Contributor
, Key Vault Contributor
oder einer anderen Rolle, die Microsoft.KeyVault/vaults/write
-Berechtigungen für die Key Vault-Verwaltungsebene enthält, selbst Datenebenenzugriff gewähren, indem eine Zugriffsrichtlinie für den Key Vault festgelegt wird. Um nicht autorisierten Zugriff und die Verwaltung Ihrer Schlüsseltresore, Schlüssel, geheimen Schlüssel und Zertifikate zu verhindern, ist es wichtig, den Zugriff der Teilnehmerrolle auf Schlüsseltresore im Rahmen des Zugriffsrichtlinienberechtigungsmodells einzuschränken. Um dieses Risiko zu minimieren, empfehlen wir, das Berechtigungsmodell „Rollenbasierte Zugriffssteuerung (RBAC)“ zu verwenden, das die Berechtigungsverwaltung auf die Rollen „Besitzende“ und „Benutzerzugriffsadmin“ einschränkt und eine klare Trennung zwischen Sicherheitsvorgängen und administrativen Aufgaben ermöglicht. Weitere Informationen finden Sie im Key Vault RBAC-Leitfaden und unter Was ist Azure RBAC.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.KeyVault/* | |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
NotActions | |
Microsoft.KeyVault/locations/deletedVaults/purge/action | Dient zum endgültigen Löschen eines vorläufig gelöschten Schlüsseltresors. |
Microsoft.KeyVault/hsmPools/* | |
Microsoft.KeyVault/managedHsms/* | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Kryptografiebeauftragter
Ausführen beliebiger Aktionen für die Schlüssel eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
Microsoft.KeyVault/checkNameAvailability/read | Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird. |
Microsoft.KeyVault/deletedVaults/read | Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore. |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf. |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/keys/* | |
Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto Service Encryption-Benutzer
Lesen von Metadaten von Schlüsseln und Ausführen von Vorgängen zum Packen/Entpacken. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | Beschreibung |
---|---|
Microsoft.EventGrid/eventSubscriptions/write | Erstellt oder aktualisiert eventSubscription. |
Microsoft.EventGrid/eventSubscriptions/read | Liest eventSubscription. |
Microsoft.EventGrid/eventSubscriptions/delete | Löscht eventSubscription. |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/keys/read | Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen eines Schlüssels. Bei asymmetrischen Schlüsseln legt dieser Vorgang den öffentlichen Schlüssel offen und beinhaltet die Fähigkeit, Algorithmen für öffentliche Schlüssel durchzuführen, z. B. Verschlüsselung und Überprüfung der Signatur. Private Schlüssel und symmetrische Schlüssel werden nie offengelegt. |
Microsoft.KeyVault/vaults/keys/wrap/action | Umschließt einen symmetrischen Schlüssel mit einem Key Vault-Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Key Vault-Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden. |
Microsoft.KeyVault/vaults/keys/unwrap/action | Hebt die Umschließung eines symmetrischen Schlüssels mit einem Key Vault-Schlüssel auf. |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto Service Release User
Veröffentlichen von Schlüsseln. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | BESCHREIBUNG |
---|---|
keine | |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/keys/release/action | Gibt einen Schlüssel mit dem öffentlichen Teil des KEK aus dem Nachweistoken frei. |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Kryptografiebenutzer
Ausführen kryptografischer Vorgänge mithilfe von Schlüsseln. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | BESCHREIBUNG |
---|---|
keine | |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/keys/read | Listet Schlüssel im angegebenen Tresor auf oder liest Eigenschaften und öffentliche Informationen eines Schlüssels. Bei asymmetrischen Schlüsseln legt dieser Vorgang den öffentlichen Schlüssel offen und beinhaltet die Fähigkeit, Algorithmen für öffentliche Schlüssel durchzuführen, z. B. Verschlüsselung und Überprüfung der Signatur. Private Schlüssel und symmetrische Schlüssel werden nie offengelegt. |
Microsoft.KeyVault/vaults/keys/update/action | Aktualisiert die angegebenen Attribute, die dem jeweiligen Schlüssel zugeordnet sind. |
Microsoft.KeyVault/vaults/keys/backup/action | Erstellt die Sicherungsdatei eines Schlüssels. Die Datei kann verwendet werden, um den Schlüssel in einem Key Vault desselben Abonnements wiederherzustellen. Es können Einschränkungen gelten. |
Microsoft.KeyVault/vaults/keys/encrypt/action | Verschlüsselt Klartext mit einem Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden. |
Microsoft.KeyVault/vaults/keys/decrypt/action | Entschlüsselt Chiffretext mit einem Schlüssel. |
Microsoft.KeyVault/vaults/keys/wrap/action | Umschließt einen symmetrischen Schlüssel mit einem Key Vault-Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Key Vault-Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden. |
Microsoft.KeyVault/vaults/keys/unwrap/action | Hebt die Umschließung eines symmetrischen Schlüssels mit einem Key Vault-Schlüssel auf. |
Microsoft.KeyVault/vaults/keys/sign/action | Signiert einen Nachrichtenhash (Hash) mit einem Schlüssel. |
Microsoft.KeyVault/vaults/keys/verify/action | Überprüft die Signatur eines Nachrichtenhashs (Hash) mit einem Schlüssel. Hinweis: Wenn es sich um einen asymmetrischen Schlüssel handelt, kann dieser Vorgang mit einem Prinzipal mit Lesezugriff durchgeführt werden. |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Datenzugriffsadministrator*in
Verwalten Sie den Zugriff auf Azure Key Vault, indem Sie Rollenzuweisungen für den Key Vault-Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Secrets Reader, Key Vault Secrets Officer oder Key Vault Secrets User-Rollen hinzufügen oder entfernen. Enthält eine ABAC-Bedingung, um Rollenzuweisungen einzuschränken.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/roleAssignments/write | Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich. |
Microsoft.Authorization/roleAssignments/delete | Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich. |
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
Microsoft.Management/managementGroups/read | Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf. |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
Microsoft.KeyVault/vaults/*/read | |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
none | |
Condition | |
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Hinzufügen oder Entfernen von Rollenzuweisungen für die folgenden Rollen: Key Vault-Administrator Key Vault-Zertifikatbeauftragter Key Vault-Kryptografiebeauftragter Key Vault Crypto Service Encryption-Benutzer Key Vault-Kryptografiebenutzer Key Vault-Leser Key Vault-Geheimnisbeauftragter Key Vault-Geheimnisbenutzer |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Leser
Lesen von Metadaten von Schlüsseltresoren und deren Zertifikaten, Schlüsseln und Geheimnissen. Sensible Werte, z. B. der Inhalt von Geheimnissen oder Schlüsselmaterial, können nicht gelesen werden. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
Microsoft.KeyVault/checkNameAvailability/read | Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird. |
Microsoft.KeyVault/deletedVaults/read | Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore. |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf. |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Wert. |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Geheimnisbeauftragter
Ausführen beliebiger Aktionen für die Geheimnisse eines Schlüsseltresors mit Ausnahme der Verwaltung von Berechtigungen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
Microsoft.KeyVault/checkNameAvailability/read | Prüft, ob ein Schlüsseltresorname gültig ist und noch nicht verwendet wird. |
Microsoft.KeyVault/deletedVaults/read | Dient zum Anzeigen der Eigenschaften vorläufig gelöschter Schlüsseltresore. |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Listet die verfügbaren Vorgänge für den Microsoft.KeyVault-Ressourcenanbieter auf. |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/secrets/* | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault-Geheimnisbenutzer
Lesen der Inhalte von Geheimnissen. Funktioniert nur für Schlüsseltresore, die das Berechtigungsmodell „Rollenbasierte Azure-Zugriffssteuerung“ verwenden.
Aktionen | BESCHREIBUNG |
---|---|
keine | |
NotActions | |
keine | |
DataActions | |
Microsoft.KeyVault/vaults/secrets/getSecret/action | Ruft den Wert eines Geheimnisses ab. |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Listet die Eigenschaften eines Geheimnisses auf oder zeigt sie an, nicht aber dessen Wert. |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mitwirkender für verwaltete HSMs
Ermöglicht Ihnen das Verwalten von verwalteten HSM-Pools, aber nicht den Zugriff auf diese.
Aktionen | BESCHREIBUNG |
---|---|
Microsoft.KeyVault/managedHSMs/* | |
Microsoft.KeyVault/deletedManagedHsms/read | Zeigt die Eigenschaften eines gelöschten verwalteten HSM an. |
Microsoft.KeyVault/locations/deletedManagedHsms/read | Zeigt die Eigenschaften eines gelöschten verwalteten HSM an. |
Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Löscht vorläufig gelöschte verwaltete HSMs endgültig. |
Microsoft.KeyVault/locations/managedHsmOperationResults/read | Dient zum Überprüfen des Ergebnisses eines Vorgangs mit langer Ausführungszeit. |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Automation-Mitarbeiter
Microsoft Sentinel Automation-Mitarbeiter
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Logic/workflows/triggers/read | Liest den Trigger. |
Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Ruft die Rückruf-URL für Trigger ab. |
Microsoft.Logic/workflows/runs/read | Liest die Workflowausführung. |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Auflisten von Hostruntime-Workflowtriggern für Web-Apps |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Abrufen des Hostruntime-Workflowtrigger-URI für Web-Apps |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Auflisten von Hostruntime-Workflowausführungen für Web-Apps |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel-Mitwirkender
Microsoft Sentinel-Mitwirkender
Aktionen | Beschreibung |
---|---|
Microsoft.SecurityInsights/* | |
Microsoft.OperationalInsights/workspaces/analytics/query/action | Führt eine Suche mit der neuen Engine aus. |
Microsoft.OperationalInsights/workspaces/*/read | Anzeigen von Log Analytics-Daten |
Microsoft.OperationalInsights/workspaces/savedSearches/* | |
Microsoft.OperationsManagement/solutions/read | Abrufen vorhandener OMS-Lösung |
Microsoft.OperationalInsights/workspaces/query/read | Dient zum Ausführen von Abfragen für die Daten im Arbeitsbereich. |
Microsoft.OperationalInsights/workspaces/query/*/read | |
Microsoft.OperationalInsights/workspaces/dataSources/read | Datenquelle unter einem Arbeitsbereich abrufen. |
Microsoft.OperationalInsights/querypacks/*/read | |
Microsoft.Insights/workbooks/* | |
Microsoft.Insights/myworkbooks/read | |
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
NotActions | |
Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
DataActions | |
keine | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel-Playbookoperator
Microsoft Sentinel-Playbookoperator
Aktionen | Beschreibung |
---|---|
Microsoft.Logic/workflows/read | Liest den Workflow. |
Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Ruft die Rückruf-URL für Trigger ab. |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Abrufen des Hostruntime-Workflowtrigger-URI für Web-Apps |
Microsoft.Web/sites/read | Dient zum Abrufen der Eigenschaften einer Web-App. |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Reader
Microsoft Sentinel-Leser
Aktionen | BESCHREIBUNG |
---|---|
Microsoft.SecurityInsights/*/read | |
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Überprüft Benutzerautorisierung und -lizenz. |
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Abfragen von Threat Intelligence-Indikatoren |
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Abfragen von Threat Intelligence-Indikatoren |
Microsoft.OperationalInsights/workspaces/analytics/query/action | Führt eine Suche mit der neuen Engine aus. |
Microsoft.OperationalInsights/workspaces/*/read | Anzeigen von Log Analytics-Daten |
Microsoft.OperationalInsights/workspaces/LinkedServices/read | Ruft verknüpfte Dienste im angegebenen Arbeitsbereich ab. |
Microsoft.OperationalInsights/workspaces/savedSearches/read | Ruft eine gespeicherte Suchabfrage ab. |
Microsoft.OperationsManagement/solutions/read | Abrufen vorhandener OMS-Lösung |
Microsoft.OperationalInsights/workspaces/query/read | Dient zum Ausführen von Abfragen für die Daten im Arbeitsbereich. |
Microsoft.OperationalInsights/workspaces/query/*/read | |
Microsoft.OperationalInsights/querypacks/*/read | |
Microsoft.OperationalInsights/workspaces/dataSources/read | Datenquelle unter einem Arbeitsbereich abrufen. |
Microsoft.Insights/workbooks/read | Lesen einer Arbeitsmappe |
Microsoft.Insights/myworkbooks/read | |
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Resources/templateSpecs/*/read | Abrufen oder Auflisten von Vorlagenspezifikationen und Vorlagenspezifikationsversionen |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
NotActions | |
Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel-Antwortberechtigter
Microsoft Sentinel Responder
Aktionen | BESCHREIBUNG |
---|---|
Microsoft.SecurityInsights/*/read | |
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Überprüft Benutzerautorisierung und -lizenz. |
Microsoft.SecurityInsights/automationRules/* | |
Microsoft.SecurityInsights/cases/* | |
Microsoft.SecurityInsights/incidents/* | |
Microsoft.SecurityInsights/entities/runPlaybook/action | Playbook für Entität ausführen |
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Anfügen von Tags an Threat Intelligence-Indikator |
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Abfragen von Threat Intelligence-Indikatoren |
Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | Kennzeichnet Informationen zu Bedrohungen in einem Massenvorgang. |
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Anfügen von Tags an Threat Intelligence-Indikator |
Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | Ersetzen von Tags eines Threat Intelligence-Indikators |
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Abfragen von Threat Intelligence-Indikatoren |
Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | Rückgängigmachen einer Aktion |
Microsoft.OperationalInsights/workspaces/analytics/query/action | Führt eine Suche mit der neuen Engine aus. |
Microsoft.OperationalInsights/workspaces/*/read | Anzeigen von Log Analytics-Daten |
Microsoft.OperationalInsights/workspaces/dataSources/read | Datenquelle unter einem Arbeitsbereich abrufen. |
Microsoft.OperationalInsights/workspaces/savedSearches/read | Ruft eine gespeicherte Suchabfrage ab. |
Microsoft.OperationsManagement/solutions/read | Abrufen vorhandener OMS-Lösung |
Microsoft.OperationalInsights/workspaces/query/read | Dient zum Ausführen von Abfragen für die Daten im Arbeitsbereich. |
Microsoft.OperationalInsights/workspaces/query/*/read | |
Microsoft.OperationalInsights/workspaces/dataSources/read | Datenquelle unter einem Arbeitsbereich abrufen. |
Microsoft.OperationalInsights/querypacks/*/read | |
Microsoft.Insights/workbooks/read | Lesen einer Arbeitsmappe |
Microsoft.Insights/myworkbooks/read | |
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
NotActions | |
Microsoft.SecurityInsights/cases/*/Delete | |
Microsoft.SecurityInsights/incidents/*/Delete | |
Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Sicherheitsadministrator
Anzeigen und Aktualisieren von Berechtigungen für Microsoft Defender für Cloud. Gleiche Rechte wie der Sicherheitsleseberechtigte und kann darüber hinaus die Sicherheitsrichtlinie aktualisieren sowie Warnungen und Empfehlungen verwerfen.
Informationen zu Microsoft Defender for IoT finden Sie unter Azure-Benutzerrollen für OT- und Enterprise IoT-Überwachung.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Authorization/policyAssignments/* | Erstellen und Verwalten von Richtlinienzuweisungen |
Microsoft.Authorization/policyDefinitions/* | Erstellen und Verwalten von Richtliniendefinitionen |
Microsoft.Authorization/policyExemptions/* | Erstellen und Verwalten von Richtlinienausnahmen |
Microsoft.Authorization/policySetDefinitions/* | Erstellen und Verwalten von Richtliniensätzen |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.Management/managementGroups/read | Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf. |
Microsoft.operationalInsights/workspaces/*/read | Anzeigen von Log Analytics-Daten |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Security/* | Erstellen und Verwalten von Sicherheitskomponenten und -richtlinien |
Microsoft.IoTSecurity/* | |
Microsoft.IoTFirmwareDefense/* | |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mitwirkender für Sicherheitsbewertungen
Ermöglicht Ihnen das Pushen von Bewertungen an Microsoft Defender für Cloud
Aktionen | BESCHREIBUNG |
---|---|
Microsoft.Security/assessments/write | Erstellen oder Aktualisieren von Sicherheitsbewertungen für Ihr Abonnement |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Sicherheits-Manager (Legacy)
Dies ist eine Legacyrolle. Verwenden Sie stattdessen „Sicherheitsadministrator“.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.ClassicCompute/*/read | Lesen von Konfigurationsinformationen zu klassischen virtuellen Computern |
Microsoft.ClassicCompute/virtualMachines/*/write | Schreiben der Konfiguration für klassische virtuelle Computer |
Microsoft.ClassicNetwork/*/read | Lesen von Konfigurationsinformationen zu klassischem Netzwerk |
Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
Microsoft.ResourceHealth/availabilityStatuses/read | Ruft den Verfügbarkeitsstatus für alle Ressourcen im angegebenen Bereich ab. |
Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Security/* | Erstellen und Verwalten von Sicherheitskomponenten und -richtlinien |
Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Sicherheitsleseberechtigter
Anzeigen von Berechtigungen für Microsoft Defender für Cloud. Kann Empfehlungen, Warnungen, Sicherheitsrichtlinien und Sicherheitszustände anzeigen, jedoch keine Änderungen vornehmen.
Informationen zu Microsoft Defender for IoT finden Sie unter Azure-Benutzerrollen für OT- und Enterprise IoT-Überwachung.
Aktionen | Beschreibung |
---|---|
Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
Microsoft.Insights/alertRules/read | Liest eine klassische Metrikwarnung. |
Microsoft.operationalInsights/workspaces/*/read | Anzeigen von Log Analytics-Daten |
Microsoft.Resources/deployments/*/read | |
Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
Microsoft.Security/*/read | Lesen von Sicherheitskomponenten und -richtlinien |
Microsoft.IoTSecurity/*/read | |
Microsoft.Support/*/read | |
Microsoft.Security/iotDefenderSettings/packageDownloads/action | Ruft Informationen zu herunterladbaren IoT Defender-Paketen ab. |
Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | Lädt die Manager-Aktivierungsdatei mit Daten zum Abonnementkontingent herunter. |
Microsoft.Security/iotSensors/downloadResetPassword/action | Lädt die Dateien zum Zurücksetzen des Kennworts für IoT-Sensoren herunter. |
Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | Ruft Informationen zu herunterladbaren IoT Defender-Paketen ab. |
Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | Lädt die Manager-Aktivierungsdatei herunter. |
Microsoft.Management/managementGroups/read | Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf. |
NotActions | |
keine | |
DataActions | |
keine | |
NotDataActions | |
keine |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}