Compartir a través de

Requisito de permiso para Service Connector

  • Artículo

Service Connector crea conexiones entre los servicios de Azure mediante un token en nombre de. La creación de una conexión a un recurso de Azure específico requiere sus permisos correspondientes.

App Service

Acción Descripción
Microsoft.Web/sites/config/write Actualiza las opciones de configuración de Web Apps
Microsoft.web/sites/config/delete Elimina la configuración de Web Apps.
Microsoft.Web/sites/config/list/action Muestra las opciones confidenciales de seguridad de Web Apps como las credenciales de publicación, la configuración de la aplicación y las cadenas de conexión
Microsoft.Web/sites/config/Read Obtiene las opciones de configuración de Web Apps
Microsoft.Web/sites/write Crea una nueva aplicación web o actualiza una ya existente
Microsoft.Web/sites/read Obtiene las propiedades de una aplicación web

Ranura de aplicación web

Acción Descripción
Microsoft.Web/sites/slots/Write Crea una nueva ranura de aplicación web o actualiza una ya existente
Microsoft.Web/sites/slots/Read Obtiene las propiedades de una ranura de implementación de aplicación web
Microsoft.Web/sites/slots/config/Read Obtiene las opciones de configuración de ranura de Web Apps
Microsoft.Web/sites/slots/config/Write Actualiza las opciones de configuración de ranura de Web Apps
microsoft.web/sites/slots/config/delete Elimina la configuración de ranuras de Web Apps.
Microsoft.Web/sites/slots/config/list/Action Muestra las opciones confidenciales de seguridad de ranuras de Web Apps como las credenciales de publicación, la configuración de la aplicación y las cadenas de conexión

Aplicación de Azure Spring

Acción Descripción
Microsoft.AppPlatform/Spring/read Obtiene las instancias del servicio Azure Spring Apps.
Microsoft.AppPlatform/Spring/apps/read Obtiene las aplicaciones para una instancia específica de servicio de Azure Spring Apps.
Microsoft.AppPlatform/Spring/apps/write Crea o actualiza la aplicación específica para una instancia de servicio de Azure Spring Apps.
Microsoft.AppPlatform/Spring/apps/deployments/*/read Permite obtener las implementaciones para una aplicación específica.
Microsoft.AppPlatform/Spring/apps/deployments/*/write Permite crear o actualizar la implementación para una aplicación específica.
Microsoft.AppPlatform/Spring/apps/deployments/*/delete Permite eliminar la implementación para una aplicación específica.

Azure Container Apps

Acción Descripción
Microsoft.App/containerApps/read Obtención de una aplicación de contenedor
Microsoft.App/containerApps/write Creación o actualización de una aplicación de contenedor
Microsoft.App/containerApps/listsecrets/action Enumeración de secretos de una aplicación de contenedor
Microsoft.App/managedEnvironments/read Obtención de un entorno administrado
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Obtención de un estado de operación de ejecución prolongada del entorno administrado
microsoft.app/locations/containerappoperationstatuses/read Obtención de un estado de operación de larga duración de la aplicación contenedora
microsoft.app/locations/containerappoperationresults/read Obtención de un resultado de la operación de ejecución prolongada de una aplicación de contenedor
microsoft.app/locations/managedenvironmentoperationresults/read Obtención de un resultado de la operación de ejecución prolongada del entorno administrado

Dapr en Azure Container Apps

Acción Descripción
Microsoft.App/managedEnvironments/daprComponents/read Lectura del componente Dapr del entorno administrado
Microsoft.App/managedEnvironments/daprComponents/write Creación o actualización del componente Dapr del entorno administrado
Microsoft.App/managedEnvironments/daprComponents/delete Eliminación del componente Dapr del entorno administrado

Azure Cache for Redis

Acción Descripción
Microsoft.Cache/redis/read Visualiza la configuración de Redis Cache en el portal de administración
Microsoft.Cache/redis/firewallRules/read Obtiene las reglas de firewall de IP de una instancia de Redis Cache
Microsoft.Cache/redis/firewallRules/write Edita las reglas de firewall de IP de una instancia de Redis Cache
Microsoft.Cache/redis/firewallRules/delete Elimina las reglas de firewall de IP de una instancia de Redis Cache
Microsoft.Cache/redis/listKeys/action Visualiza el valor de las claves de acceso de Redis Cache en el portal de administración

Azure Cache for Redis Enterprise

Acción Descripción
Microsoft.Cache/redisEnterprise/read Ve la configuración de la caché de Redis Enterprise en el portal de administración.
Microsoft.Cache/redisEnterprise/databases/read Ve la configuración de la base de datos de la caché de Redis Enterprise en el portal de administración.
Microsoft.Cache/redisEnterprise/databases/listKeys/action Ver el valor de las claves de acceso de base de datos de Redis Enterprise en el Portal de administración

Azure Database for PostgreSQL

Azure Database for PostgreSQL

Acción Descripción
Microsoft.DBforPostgreSQL/servers/firewallRules/read Devuelve la lista de reglas de firewall de un servidor u obtiene las propiedades de la regla de firewall especificada.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Crea una regla de firewall con los parámetros especificados o actualiza una regla existente.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Elimina una regla de firewall existente.
Microsoft.DBForPostgreSQL/servers/read Devuelve la lista de servidores u obtiene las propiedades de un servidor específico.
Microsoft.DBForPostgreSQL/servers/databases/read Devuelve la lista de bases de datos de PostgreSQL u obtiene las propiedades de una base de datos específica.
Microsoft.DBforPostgreSQL/servers/write Crea un servidor con los parámetros especificados o actualiza las propiedades o etiquetas del servidor especificado.

Azure Database for PostgreSQL (punto de conexión de servicio)

Acción Descripción
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Devuelve la lista de reglas de red virtual u obtiene las propiedades de una regla de red virtual específica.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Crea una regla de red virtual con los parámetros especificados o actualiza las propiedades o etiquetas de la regla de red virtual especificada.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Elimina una regla de Virtual Network existente.

Azure Database for PostgreSQL: servidor flexible

Acción Descripción
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Devuelve la lista de reglas de firewall de un servidor u obtiene las propiedades de la regla de firewall especificada.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Crea una regla de firewall con los parámetros especificados o actualiza una regla existente.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Elimina una regla de firewall existente.
Microsoft.DBForPostgreSQL/flexibleServers/read Devuelve la lista de servidores u obtiene las propiedades de un servidor específico.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Devuelve la lista de bases de datos del servidor PostgreSQL u obtiene la base de datos para el servidor especificado.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Devuelve la lista de configuraciones de servidor PostgreSQL u obtiene las configuraciones del servidor especificado.

Azure Database for MySQL

Acción Descripción
Microsoft.DBforMySQL/servers/firewallRules/read Devuelve la lista de reglas de firewall de un servidor u obtiene las propiedades de la regla de firewall especificada.
Microsoft.DBforMySQL/servers/firewallRules/write Crea una regla de firewall con los parámetros especificados o actualiza una regla existente.
Microsoft.DBforMySQL/servers/firewallRules/delete Elimina una regla de firewall existente.
Microsoft.DBforMySQL/servers/read Devuelve la lista de servidores u obtiene las propiedades de un servidor específico.
Microsoft.DBforMySQL/servers/databases/read Devuelve la lista de bases de datos de MySQL u obtiene las propiedades de una base de datos específica.
Microsoft.DBforMySQL/servers/write Crea un servidor con los parámetros especificados o actualiza las propiedades o etiquetas del servidor especificado.

Azure Database for MySQL (punto de conexión de servicio)

Acción Descripción
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Devuelve la lista de reglas de red virtual u obtiene las propiedades de una regla de red virtual específica.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Crea una regla de red virtual con los parámetros especificados o actualiza las propiedades o etiquetas de la regla de red virtual especificada.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Elimina una regla de Virtual Network existente.

Azure Database for MySQL con la opción Servidor flexible

Acción Descripción
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Devuelve la lista de reglas de firewall de un servidor u obtiene las propiedades de la regla de firewall especificada.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Crea una regla de firewall con los parámetros especificados o actualiza una regla existente.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Elimina una regla de firewall existente.
Microsoft.DBforMySQL/flexibleServers/read Devuelve la lista de servidores u obtiene las propiedades del servidor especificado.
Microsoft.DBforMySQL/flexibleServers/databases/read Devuelve la lista de bases de datos de un servidor u obtiene las propiedades de la base de datos especificada.
Microsoft.DBforMySQL/flexibleServers/configurations/read Devuelve la lista de configuraciones del servidor MySQL u obtiene las configuraciones del servidor especificado.

Azure App Configuration

Acción Descripción
Microsoft.AppConfiguration/configurationStores/ListKeys/action Muestra las claves de API del almacén de configuración especificado.
Microsoft.AppConfiguration/configurationStores/read Obtiene las propiedades del almacén de configuración especificado o muestra todos los almacenes de configuración de la suscripción o el grupo de recursos que se ha indicado.

Azure Event Hubs

Acción Descripción
Microsoft.EventHub/namespaces/read Obtiene la lista de descripción del recurso del espacio de nombres
Microsoft.EventHub/namespaces/ipFilterRules/read Obtiene el recurso de filtro IP.
Microsoft.EventHub/namespaces/ipFilterRules/write Crea un recurso de filtro IP.
Microsoft.EventHub/namespaces/ipFilterRules/delete Elimina el recurso de filtro IP.
Microsoft.EventHub/namespaces/networkrulesets/read Obtiene el recurso NetworkRuleSet.
Microsoft.EventHub/namespaces/networkrulesets/write Crea un recurso de la regla de red virtual.
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action Obtiene la cadena de conexión al espacio de nombres

Azure Service Bus

Acción Descripción
Microsoft.ServiceBus/namespaces/read Obtiene la lista de descripción del recurso del espacio de nombres
Microsoft.ServiceBus/namespaces/ipFilterRules/read Obtiene el recurso de filtro IP.
Microsoft.ServiceBus/namespaces/ipFilterRules/write Crea un recurso de filtro IP.
Microsoft.ServiceBus/namespaces/ipFilterRules/delete Elimina el recurso de filtro IP.
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action Obtiene la cadena de conexión al espacio de nombres
Microsoft.ServiceBus/namespaces/networkrulesets/read Obtiene el recurso NetworkRuleSet.
Microsoft.ServiceBus/namespaces/networkrulesets/write Crea un recurso de la regla de red virtual.

Azure Blob Storage

Acción Descripción
Microsoft.Storage/storageAccounts/read Devuelve la lista de cuentas de almacenamiento u obtiene las propiedades de la cuenta de almacenamiento especificada.
Microsoft.Storage/storageAccounts/write Crea una cuenta de almacenamiento con los parámetros especificados o actualiza las propiedades o etiquetas, o agrega un dominio personalizado para la cuenta de almacenamiento especificada.
Microsoft.Storage/storageAccounts/listkeys/action Devuelve las claves de acceso de la cuenta de almacenamiento especificada.

Servicio Azure SignalR

Acción Descripción
Microsoft.SignalRService/SignalR/read Vea los valores y configuraciones de SignalR en el portal de administración o con la API
Microsoft.SignalRService/SignalR/write Modifica los valores y configuraciones de SignalR en el portal de administración o con la API
Microsoft.SignalRService/locations/operationresults/signalr/read Consulta el resultado de una operación asincrónica basada en la ubicación.
Microsoft.SignalRService/locations/operationStatuses/signalr/read Consulta el estado de una operación asincrónica basada en la ubicación.
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action Visualiza el valor de las claves de acceso de SignalR en el portal de administración o mediante de la API.

Servicio Azure Web PubSub

Acción Descripción
Microsoft.SignalRService/WebPubSub/read Permite ver los valores y configuraciones de WebPubSub en el portal de administración o con la API.
Microsoft.SignalRService/WebPubSub/write Modifica los valores y configuraciones de WebPubSub en el portal de administración o con la API.
Microsoft.SignalRService/locations/operationresults/webpubsub/read Consulta el resultado de una operación asincrónica basada en la ubicación.
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Consulta el estado de una operación asincrónica basada en la ubicación.
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read Permite ver el valor de las claves de acceso de WebPubSub en el portal de administración o mediante de la API.
Microsoft.SignalRService/WebPubSub/listkeys/action Permite ver el valor de las claves de acceso de WebPubSub en el portal de administración o mediante de la API.

Azure Cosmos DB

Advertencia

Microsoft recomienda usar el flujo de autenticación más seguro disponible. El flujo de autenticación que se describe en este procedimiento requiere un alto grado de confianza en la aplicación y conlleva riesgos que no están presentes en otros flujos. Solo debe usar este flujo cuando otros flujos más seguros, como las identidades administradas, no sean viables.

Acción Descripción
Microsoft.DocumentDB/databaseAccounts/read Lee una cuenta de base de datos.
Microsoft.DocumentDB/databaseAccounts/write Actualiza una cuenta de base de datos.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action Obtiene las cadenas de conexión para una cuenta de base de datos
Microsoft.DocumentDB/databaseAccounts/listKeys/action Enumera las claves de una cuenta de base de datos

Azure SQL Database

Acción Descripción
Microsoft.Sql/servers/firewallRules/read Devuelve la lista de reglas de firewall de servidor u obtiene las propiedades de la regla de firewall de servidor especificada.
Microsoft.Sql/servers/firewallRules/write Crea una regla de firewall de servidor con los parámetros especificados, actualiza las propiedades de la regla especificada o sobrescribe todas las reglas existentes con nuevas reglas de firewall de servidor.
Microsoft.Sql/servers/firewallRules/delete Elimina una regla de firewall de servidor existente.
Microsoft.Sql/servers/databases/read Devuelve la lista de bases de datos u obtiene las propiedades de una base de datos específica.
Microsoft.Sql/servers/read Devuelve la lista de servidores u obtiene las propiedades de un servidor específico.
Microsoft.Sql/servers/virtualNetworkRules/read Devuelve la lista de reglas de red virtual u obtiene las propiedades de una regla de red virtual específica.
Microsoft.Sql/servers/virtualNetworkRules/write Crea una regla de red virtual con los parámetros especificados o actualiza las propiedades o etiquetas de la regla de red virtual especificada.
Microsoft.Sql/servers/virtualNetworkRules/delete Elimina una regla de Virtual Network existente.

Azure Key Vault

Acción Descripción
Microsoft.KeyVault/vaults/write Crea un almacén de claves nuevo o actualiza las propiedades de uno que ya existe. Es posible que ciertas propiedades requieran más permisos.
Microsoft.KeyVault/vaults/read Ve las propiedades de un almacén de claves
Microsoft.KeyVault/vaults/secrets/write Crea un secreto nuevo o actualiza el valor de uno que ya existe.
Microsoft.KeyVault/vaults/accessPolicies/write Actualiza una directiva de acceso existente mediante combinación o sustitución, o bien agrega una directiva de acceso nueva a un almacén de claves.

Azure Cosmos DB

Acción Descripción
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Lee una definición de roles de SQL.
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Crea o actualiza una definición de roles de SQL.
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Eliminación de una asignación de roles de SQL

Es posible que Service Connector tenga que conceder permisos a la identidad administrada o a la entidad de servicio si se crea una conexión con ellos como tipos de autenticación. En la siguiente tabla se enumeran los requisitos de permisos para crear una conexión en este escenario.

Acción Descripción
Microsoft.Authorization/roleAssignments/read Obtiene información sobre una asignación de roles.
Microsoft.Authorization/roleAssignments/write Crea una asignación de roles en el ámbito especificado.
Microsoft.Authorization/roleAssignments/delete Elimine una asignación de roles en el ámbito especificado.

Conexión de identidades administradas asignadas por el usuario

Es posible que Service Connector tenga que conceder permisos a la identidad administrada asignada por el usuario si se crea una conexión con ella como el tipo de autenticación. En la siguiente tabla se enumeran los requisitos de permisos para crear una conexión en este escenario.

Acción Descripción
Microsoft.ManagedIdentity/userAssignedIdentities/read Obtiene la identidad asignada a un usuario existente.
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Acción de RBAC para asignar a un usuario existente una identidad asignada a un recurso.
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Obtiene o enumera las credenciales de identidad federada.
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Crea o actualiza una credencial de identidad federada
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Eliminación de una credencial de identidad federada

Es posible que Service Connector tenga que conceder permisos a la identidad si se crea una conexión con un punto de conexión privado o un punto de conexión de servicio como solución de red. En la siguiente tabla se enumeran los requisitos de permisos para crear una conexión en este escenario.

Acción Descripción
Microsoft.Network/publicIPAddresses/read Obtiene una definición de dirección IP pública.
Microsoft.Network/virtualNetworks/subnets/read Obtiene una definición de subred de red virtual
Microsoft.Network/virtualNetworks/subnets/write Crea una subred de red virtual o actualiza una que ya existe
Microsoft.Network/privateEndpoints/read Obtiene un recurso de punto de conexión privado.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Combina un recurso como una cuenta de almacenamiento o una instancia de SQL Database con una subred. No genera alertas.
Microsoft.Network/networkSecurityGroups/join/action Se une a un grupo de seguridad de red. No genera alertas.
Microsoft.Network/serviceEndpointPolicies/join/action Unirse a una directiva de punto de conexión de servicio. No genera alertas.
Microsoft.Network/natGateways/join/action Une a una puerta de enlace NAT Gateway.
Microsoft.Network/networkIntentPolicies/join/action Se une a una directiva de intención de red. No genera alertas.
Microsoft.Network/networkSecurityGroups/join/action Se une a un grupo de seguridad de red. No genera alertas.
Microsoft.Network/routeTables/join/action Unirse a una tabla de rutas. No genera alertas.

Alta disponibilidad