Delen via

Machtigingsvereisten voor Service Connector

  • Artikel

Wanneer u Service Connector gebruikt om verbindingen tussen Azure-services te maken, is het essentieel om ervoor te zorgen dat de benodigde machtigingen worden verleend. Dit document bevat een overzicht van de machtigingsvereisten voor verschillende Azure-resources om het maken van een naadloze verbinding mogelijk te maken.

Service Connector maakt verbindingen tussen Azure-services met behulp van een on-behalf-of-tokens.

Voor het maken van verbindingen met Azure-resources zijn de juiste machtigingen vereist.

App Service

Actie Beschrijving
Microsoft.Web/sites/config/write Configuratie-instellingen van web-app bijwerken
Microsoft.web/sites/config/delete Web Apps-configuratie verwijderen.
Microsoft.Web/sites/config/list/action Lijst met beveiligingsgevoelige instellingen van web-apps, zoals publicatiereferenties, app-instellingen en verbindingsreeks s
Microsoft.Web/sites/config/Read Configuratie-instellingen voor web-apps ophalen
Microsoft.Web/sites/write Een nieuwe web-app maken of een bestaande bijwerken
Microsoft.Web/sites/read De eigenschappen van een web-app ophalen

Webapp-site

Actie Beschrijving
Microsoft.Web/sites/slots/Write Een nieuwe web-app-site maken of een bestaande site bijwerken
Microsoft.Web/sites/slots/Read De eigenschappen van een web-app-implementatiesite ophalen
Microsoft.Web/sites/slots/config/Read Configuratie-instellingen van web-app-site ophalen
Microsoft.Web/sites/slots/config/Write Configuratie-instellingen van web-app-site bijwerken
microsoft.web/sites/slots/config/delete Web Apps Slots Config verwijderen.
Microsoft.Web/sites/slots/config/list/Action Lijst met beveiligingsgevoelige instellingen van web-app-sites, zoals publicatiereferenties, app-instellingen en verbindingsreeks s

Azure Spring App

Actie Beschrijving
Microsoft.AppPlatform/Spring/read Azure Spring Apps-service-exemplaren ophalen
Microsoft.AppPlatform/Spring/apps/read De toepassingen voor een specifiek Azure Spring Apps-service-exemplaar ophalen
Microsoft.AppPlatform/Spring/apps/write De toepassing voor een specifiek Azure Spring Apps-service-exemplaar maken of bijwerken
Microsoft.AppPlatform/Spring/apps/deployments/*/read De implementaties voor een specifieke toepassing ophalen
Microsoft.AppPlatform/Spring/apps/deployments/*/write De implementatie voor een specifieke toepassing maken of bijwerken
Microsoft.AppPlatform/Spring/apps/deployments/*/delete De implementatie voor een specifieke toepassing verwijderen

Azure Container Apps

Actie Beschrijving
Microsoft.App/containerApps/read Een container-app ophalen
Microsoft.App/containerApps/write Een container-app maken of bijwerken
Microsoft.App/containerApps/listsecrets/action Geheimen van een container-app weergeven
Microsoft.App/managedEnvironments/read Een beheerde omgeving ophalen
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Een langdurige bewerkingsstatus voor een beheerde omgeving ophalen
microsoft.app/locations/containerappoperationstatuses/read Een langdurige bewerkingsstatus van een container-app ophalen
microsoft.app/locations/containerappoperationresults/read Een langdurige bewerkingsresultaat voor een container-app ophalen
microsoft.app/locations/managedenvironmentoperationresults/read Een langdurige bewerkingsresultaat voor een beheerde omgeving ophalen

Dapr in Azure Container Apps

Actie Beschrijving
Microsoft.App/managedEnvironments/daprComponents/read Dapr-onderdeel voor beheerde omgeving lezen
Microsoft.App/managedEnvironments/daprComponents/write Dapr-onderdeel voor beheerde omgeving maken of bijwerken
Microsoft.App/managedEnvironments/daprComponents/delete Dapr-onderdeel voor beheerde omgeving verwijderen

Azure Cache voor Redis

Actie Beschrijving
Microsoft.Cache/redis/read De instellingen en configuratie van de Redis Cache weergeven in de beheerportal
Microsoft.Cache/redis/firewallRules/read De IP-firewallregels van een Redis-cache ophalen
Microsoft.Cache/redis/firewallRules/write De IP-firewallregels van een Redis-cache bewerken
Microsoft.Cache/redis/firewallRules/delete IP-firewallregels van een Redis-cache verwijderen
Microsoft.Cache/redis/listKeys/action De waarde van Redis Cache-toegangssleutels weergeven in de beheerportal

Azure Cache voor Redis Enterprise

Actie Beschrijving
Microsoft.Cache/redisEnterprise/read De instellingen en configuratie van de Redis Enterprise-cache weergeven in de beheerportal
Microsoft.Cache/redisEnterprise/databases/read De instellingen en configuratie van de Redis Enterprise-cachedatabase weergeven in de beheerportal
Microsoft.Cache/redisEnterprise/databases/listKeys/action De waarde van toegangssleutels voor Redis Enterprise-databases weergeven in de beheerportal

Azure Database for PostgreSQL

Azure Database for PostgreSQL

Actie Beschrijving
Microsoft.DBforPostgreSQL/servers/firewallRules/read Retourneert de lijst met firewallregels voor een server of haalt de eigenschappen voor de opgegeven firewallregel op.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Hiermee maakt u een firewallregel met de opgegeven parameters of werkt u een bestaande regel bij.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Hiermee verwijdert u een bestaande firewallregel.
Microsoft.DBForPostgreSQL/servers/read Retourneer de lijst met servers of haalt de eigenschappen voor de opgegeven server op.
Microsoft.DBForPostgreSQL/servers/databases/read Retourneert de lijst met PostgreSQL-databases of haalt de eigenschappen voor de opgegeven database op.
Microsoft.DBforPostgreSQL/servers/write Hiermee maakt u een server met de opgegeven parameters of werkt u de eigenschappen of tags voor de opgegeven server bij.

Azure Database for PostgreSQL (service-eindpunt)

Actie Beschrijving
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Retourneert de lijst met regels voor virtuele netwerken of haalt de eigenschappen op voor de opgegeven regel voor het virtuele netwerk.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Hiermee maakt u een regel voor een virtueel netwerk met de opgegeven parameters of werkt u de eigenschappen of tags voor de opgegeven regel voor het virtuele netwerk bij.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Hiermee verwijdert u een bestaande regel voor een virtueel netwerk

Azure Database for PostgreSQL - Flexible Server

Actie Beschrijving
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Retourneert de lijst met firewallregels voor een server of haalt de eigenschappen voor de opgegeven firewallregel op.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Hiermee maakt u een firewallregel met de opgegeven parameters of werkt u een bestaande regel bij.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Hiermee verwijdert u een bestaande firewallregel.
Microsoft.DBForPostgreSQL/flexibleServers/read Retourneer de lijst met servers of haalt de eigenschappen voor de opgegeven server op.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Retourneert de lijst met PostgreSQL-serverdatabases of haalt de database op voor de opgegeven server.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Retourneert de lijst met PostgreSQL-serverconfiguraties of haalt de configuraties voor de opgegeven server op.

Azure Database for MySQL

Actie Beschrijving
Microsoft.DBforMySQL/servers/firewallRules/read Retourneert de lijst met firewallregels voor een server of haalt de eigenschappen voor de opgegeven firewallregel op.
Microsoft.DBforMySQL/servers/firewallRules/write Hiermee maakt u een firewallregel met de opgegeven parameters of werkt u een bestaande regel bij.
Microsoft.DBforMySQL/servers/firewallRules/delete Hiermee verwijdert u een bestaande firewallregel.
Microsoft.DBforMySQL/servers/read Retourneer de lijst met servers of haalt de eigenschappen voor de opgegeven server op.
Microsoft.DBforMySQL/servers/databases/read Retourneert de lijst met MySQL-databases of haalt de eigenschappen voor de opgegeven database op.
Microsoft.DBforMySQL/servers/write Hiermee maakt u een server met de opgegeven parameters of werkt u de eigenschappen of tags voor de opgegeven server bij.

Azure Database for MySQL (service-eindpunt)

Actie Beschrijving
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Retourneert de lijst met regels voor virtuele netwerken of haalt de eigenschappen op voor de opgegeven regel voor het virtuele netwerk.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Hiermee maakt u een regel voor een virtueel netwerk met de opgegeven parameters of werkt u de eigenschappen of tags voor de opgegeven regel voor het virtuele netwerk bij.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Hiermee verwijdert u een bestaande regel voor een virtueel netwerk

Azure Database for MySQL - Flexibele server

Actie Beschrijving
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Retourneert de lijst met firewallregels voor een server of haalt de eigenschappen voor de opgegeven firewallregel op.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Hiermee maakt u een firewallregel met de opgegeven parameters of werkt u een bestaande regel bij.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Hiermee verwijdert u een bestaande firewallregel.
Microsoft.DBforMySQL/flexibleServers/read Retourneert de lijst met servers of haalt de eigenschappen voor de opgegeven server op.
Microsoft.DBforMySQL/flexibleServers/databases/read Retourneert de lijst met databases voor een server of haalt de eigenschappen voor de opgegeven database op.
Microsoft.DBforMySQL/flexibleServers/configurations/read Retourneert de lijst met MySQL-serverconfiguraties of haalt de configuraties voor de opgegeven server op.

Azure App Configuration

Actie Beschrijving
Microsoft.AppConfiguration/configurationStores/ListKeys/action Toont de API-sleutels voor het opgegeven configuratiearchief.
Microsoft.AppConfiguration/configurationStores/read Hiermee worden de eigenschappen van het opgegeven configuratiearchief opgehaald of worden alle configuratiearchieven weergegeven onder de opgegeven resourcegroep of het opgegeven abonnement.

Azure Event Hubs

Actie Beschrijving
Microsoft.EventHub/namespaces/read De lijst met resourcebeschrijving van naamruimte ophalen
Microsoft.EventHub/namespaces/ipFilterRules/read IP-filterresource ophalen
Microsoft.EventHub/namespaces/ipFilterRules/write IP-filterresource maken
Microsoft.EventHub/namespaces/ipFilterRules/delete IP-filterresource verwijderen
Microsoft.EventHub/namespaces/networkrulesets/read Hiermee haalt u NetworkRuleSet-resource op
Microsoft.EventHub/namespaces/networkrulesets/write VNET-regelresource maken
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action De verbindingsreeks ophalen naar de naamruimte

Azure Service Bus

Actie Beschrijving
Microsoft.ServiceBus/namespaces/read De lijst met resourcebeschrijving van naamruimte ophalen
Microsoft.ServiceBus/namespaces/ipFilterRules/read IP-filterresource ophalen
Microsoft.ServiceBus/namespaces/ipFilterRules/write IP-filterresource maken
Microsoft.ServiceBus/namespaces/ipFilterRules/delete IP-filterresource verwijderen
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action De verbindingsreeks ophalen naar de naamruimte
Microsoft.ServiceBus/namespaces/networkrulesets/read Hiermee haalt u NetworkRuleSet-resource op
Microsoft.ServiceBus/namespaces/networkrulesets/write VNET-regelresource maken

Azure Blob-opslag

Actie Beschrijving
Microsoft.Storage/storageAccounts/read Retourneert de lijst met opslagaccounts of haalt de eigenschappen voor het opgegeven opslagaccount op.
Microsoft.Storage/storageAccounts/write Hiermee maakt u een opslagaccount met de opgegeven parameters of werkt u de eigenschappen of tags bij of voegt u een aangepast domein toe voor het opgegeven opslagaccount.
Microsoft.Storage/storageAccounts/listkeys/action Retourneert de toegangssleutels voor het opgegeven opslagaccount.

Azure SignalR Service

Actie Beschrijving
Microsoft.SignalRService/SignalR/read De instellingen en configuraties van SignalR weergeven in de beheerportal of via API
Microsoft.SignalRService/SignalR/write De instellingen en configuraties van SignalR wijzigen in de beheerportal of via API
Microsoft.SignalRService/locations/operationresults/signalr/read Een query uitvoeren op het resultaat van een asynchrone bewerking op basis van een locatie
Microsoft.SignalRService/locations/operationStatuses/signalr/read Een query uitvoeren op de status van een asynchrone bewerking op basis van een locatie
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action De waarde van SignalR-toegangssleutels weergeven in de beheerportal of via API

Azure Web PubSub-service

Actie Beschrijving
Microsoft.SignalRService/WebPubSub/read De instellingen en configuraties van de WebPubSub weergeven in de beheerportal of via API
Microsoft.SignalRService/WebPubSub/write De instellingen en configuraties van de WebPubSub wijzigen in de beheerportal of via API
Microsoft.SignalRService/locations/operationresults/webpubsub/read Een query uitvoeren op het resultaat van een asynchrone bewerking op basis van een locatie
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Een query uitvoeren op de status van een asynchrone bewerking op basis van een locatie
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read De waarde van WebPubSub-toegangssleutels weergeven in de beheerportal of via API
Microsoft.SignalRService/WebPubSub/listkeys/action De waarde van WebPubSub-toegangssleutels weergeven in de beheerportal of via API

Azure Cosmos DB

Waarschuwing

Microsoft raadt u aan de veiligste verificatiestroom te gebruiken die beschikbaar is. De verificatiestroom die in deze procedure wordt beschreven, vereist een zeer hoge mate van vertrouwen in de toepassing en brengt risico's met zich mee die niet aanwezig zijn in andere stromen. U moet deze stroom alleen gebruiken wanneer andere veiligere stromen, zoals beheerde identiteiten, niet haalbaar zijn.

Actie Beschrijving
Microsoft.DocumentDB/databaseAccounts/read Leest een databaseaccount.
Microsoft.DocumentDB/databaseAccounts/write Een databaseaccount bijwerken.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action De verbindingsreeks s voor een databaseaccount ophalen
Microsoft.DocumentDB/databaseAccounts/listKeys/action Sleutels van een databaseaccount weergeven

Azure SQL-database

Actie Beschrijving
Microsoft.Sql/servers/firewallRules/read Retourneer de lijst met serverfirewallregels of haalt de eigenschappen voor de opgegeven serverfirewallregel op.
Microsoft.Sql/servers/firewallRules/write Hiermee maakt u een serverfirewallregel met de opgegeven parameters, werkt u de eigenschappen voor de opgegeven regel bij of overschrijft u alle bestaande regels met nieuwe serverfirewallregels.
Microsoft.Sql/servers/firewallRules/delete Hiermee verwijdert u een bestaande serverfirewallregel.
Microsoft.Sql/servers/databases/read Retourneert de lijst met databases of haalt de eigenschappen voor de opgegeven database op.
Microsoft.Sql/servers/read Retourneer de lijst met servers of haalt de eigenschappen voor de opgegeven server op.
Microsoft.Sql/servers/virtualNetworkRules/read Retourneert de lijst met regels voor virtuele netwerken of haalt de eigenschappen op voor de opgegeven regel voor het virtuele netwerk.
Microsoft.Sql/servers/virtualNetworkRules/write Hiermee maakt u een regel voor een virtueel netwerk met de opgegeven parameters of werkt u de eigenschappen of tags voor de opgegeven regel voor het virtuele netwerk bij.
Microsoft.Sql/servers/virtualNetworkRules/delete Hiermee verwijdert u een bestaande regel voor een virtueel netwerk

Azure Key Vault

Actie Beschrijving
Microsoft.KeyVault/vaults/write Hiermee maakt u een nieuwe sleutelkluis of werkt u de eigenschappen van een bestaande sleutelkluis bij. Voor bepaalde eigenschappen zijn mogelijk meer machtigingen vereist.
Microsoft.KeyVault/vaults/read De eigenschappen van een sleutelkluis weergeven
Microsoft.KeyVault/vaults/secrets/write Hiermee maakt u een nieuw geheim of werkt u de waarde van een bestaand geheim bij.
Microsoft.KeyVault/vaults/accessPolicies/write Werkt een bestaand toegangsbeleid bij door een nieuw toegangsbeleid samen te voegen of te vervangen of een nieuw toegangsbeleid toe te voegen aan de sleutelkluis.

Azure Cosmos DB

Actie Beschrijving
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Een SQL-roldefinitie lezen
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Een SQL-roldefinitie maken of bijwerken
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Een SQL-roltoewijzing verwijderen

ServiceConnector moet mogelijk machtigingen verlenen aan beheerde identiteit of service-principal als er een verbinding wordt gemaakt met die als verificatietypen. De volgende tabel bevat de machtigingsvereisten voor het maken van een verbinding in dit scenario.

Actie Beschrijving
Microsoft.Authorization/roleAssignments/read Informatie ophalen over een roltoewijzing.
Microsoft.Authorization/roleAssignments/write Maak een roltoewijzing op het opgegeven bereik.
Microsoft.Authorization/roleAssignments/delete Een roltoewijzing verwijderen in het opgegeven bereik.

Door de gebruiker toegewezen verbinding met beheerde identiteiten

ServiceConnector moet mogelijk machtigingen verlenen aan door de gebruiker toegewezen beheerde identiteit als er een verbinding met deze wordt gemaakt als verificatietype. De volgende tabel bevat de machtigingsvereisten voor het maken van een verbinding in dit scenario.

Actie Beschrijving
Microsoft.ManagedIdentity/userAssignedIdentities/read Hiermee haalt u een bestaande door de gebruiker toegewezen identiteit op
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action RBAC-actie voor het toewijzen van een bestaande door de gebruiker toegewezen identiteit aan een resource
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Federatieve identiteitsreferenties ophalen of vermelden
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Een federatieve identiteitsreferentie toevoegen of bijwerken
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Een federatieve identiteitsreferentie verwijderen

ServiceConnector moet mogelijk machtigingen verlenen aan uw identiteit als er een verbinding wordt gemaakt met een privé-eindpunt of service-eindpunt als netwerkoplossing. De volgende tabel bevat de machtigingsvereisten voor het maken van een verbinding in dit scenario.

Actie Beschrijving
Microsoft.Network/publicIPAddresses/read Hiermee haalt u een definitie van een openbaar IP-adres op.
Microsoft.Network/virtualNetworks/subnets/read Hiermee haalt u een subnetdefinitie voor een virtueel netwerk op
Microsoft.Network/virtualNetworks/subnets/write Hiermee maakt u een subnet van een virtueel netwerk of werkt u een bestaand subnet van een virtueel netwerk bij
Microsoft.Network/privateEndpoints/read Hiermee haalt u een privé-eindpuntresource op.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Koppelt resources, zoals opslagaccount of SQL-database, aan een subnet. Niet waarschuwbaar.
Microsoft.Network/networkSecurityGroups/join/action Hiermee wordt een netwerkbeveiligingsgroep samengevoegd. Niet waarschuwbaar.
Microsoft.Network/serviceEndpointPolicies/join/action Hiermee wordt een service-eindpuntbeleid samengevoegd. Niet waarschuwbaar.
Microsoft.Network/natGateways/join/action Hiermee wordt een NAT-gateway samengevoegd
Microsoft.Network/networkIntentPolicies/join/action Hiermee wordt een netwerkintentiebeleid samengevoegd. Niet waarschuwbaar.
Microsoft.Network/networkSecurityGroups/join/action Hiermee wordt een netwerkbeveiligingsgroep samengevoegd. Niet waarschuwbaar.
Microsoft.Network/routeTables/join/action Hiermee wordt een routetabel samengevoegd. Niet waarschuwbaar.