特権を持つ Azure の組み込みロール
この記事では、特権カテゴリの Azure 組み込みロールの一覧を示します。
Contributor
すべてのリソースを管理するためのフル アクセスが付与されますが、Azure RBAC でロールを割り当てたり、Azure Blueprints で割り当てを管理したり、イメージ ギャラリーを共有したりすることはできません。
アクション | 説明 |
---|---|
* | あらゆる種類のリソースの作成と管理 |
NotActions | |
Microsoft.Authorization/*/Delete | ロール、ポリシーの割り当て、ポリシーの定義、ポリシー セットの定義を削除します。 |
Microsoft.Authorization/*/Write | ロール、ロールの割り当て、ポリシーの割り当て、ポリシーの定義、ポリシー セットの定義を作成します。 |
Microsoft.Authorization/elevateAccess/Action | テナント スコープで、ユーザー アクセス管理者のアクセス権を呼び出し元に付与する |
Microsoft.Blueprint/blueprintAssignments/write | 任意のブループリント割り当てを作成または更新します |
Microsoft.Blueprint/blueprintAssignments/delete | 任意のブループリント割り当てを削除します |
Microsoft.Compute/galleries/share/action | ギャラリーを別のスコープに共有します |
Microsoft.Purview/consents/write | 同意のリソースを作成または更新します。 |
Microsoft.Purview/consents/delete | 同意のリソースを削除します。 |
Microsoft.Resources/deploymentStacks/manageDenySetting/action | デプロイ スタックの denySettings プロパティを管理します。 |
Microsoft.Subscription/cancel/action | サブスクリプションを取り消します。 |
Microsoft.Subscription/enable/action | サブスクリプションを再アクティブ化します |
DataActions | |
なし | |
NotDataActions | |
なし |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action",
"Microsoft.Subscription/cancel/action",
"Microsoft.Subscription/enable/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
所有者
Azure RBAC でロールを割り当てる権限を含め、すべてのリソースを管理するためのフル アクセスを付与します。
アクション | 説明 |
---|---|
* | あらゆる種類のリソースの作成と管理 |
NotActions | |
なし | |
DataActions | |
なし | |
NotDataActions | |
なし |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
予約管理者
テナント内のすべての予約を表示して管理できます
アクション | 説明 |
---|---|
Microsoft.Capacity/*/read | |
Microsoft.Capacity/*/action | |
Microsoft.Capacity/*/write | |
Microsoft.Authorization/roleAssignments/read | ロールの割り当てに関する情報を取得します。 |
Microsoft.Authorization/roleDefinitions/read | ロール定義に関する情報を取得します。 |
Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
NotActions | |
なし | |
DataActions | |
なし | |
NotDataActions | |
なし |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ロール ベースのアクセスの制御の管理者
Azure RBACを使用してロールを割り当てることにより、Azure リソースへのアクセスを管理します。 このロールでは、Azure Policy などの他の方法を使用してアクセスを管理することはできません。
アクション | 説明 |
---|---|
Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
*/read | 機密データを除くあらゆる種類のリソースの読み取り |
Microsoft.Support/* | サポート チケットの作成と更新 |
NotActions | |
なし | |
DataActions | |
なし | |
NotDataActions | |
なし |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
User Access Administrator
Azure リソースに対するユーザー アクセスを管理します。
アクション | 説明 |
---|---|
*/read | 機密データを除くあらゆる種類のリソースの読み取り |
Microsoft.Authorization/* | 承認の管理 |
Microsoft.Support/* | サポート チケットの作成と更新 |
NotActions | |
なし | |
DataActions | |
なし | |
NotDataActions | |
なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}