Wbudowane role platformy Azure dla uprzywilejowanych
W tym artykule wymieniono wbudowane role platformy Azure w kategorii Uprzywilejowane.
Współautor
Udziela pełnego dostępu do zarządzania wszystkimi zasobami, ale nie zezwala na przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure, zarządzanie przypisaniami w usłudze Azure Blueprints lub udostępnianie galerii obrazów.
| Akcje | opis |
|---|---|
| * | Tworzenie wszystkich typów zasobów i zarządzanie nimi |
| NotActions | |
| Microsoft.Authorization/*/Delete | Usuwanie ról, przypisań zasad, definicji zasad i definicji zestawu zasad |
| Microsoft.Authorization/*/Write | Tworzenie ról, przypisań ról, przypisań zasad, definicji zasad i definicji zestawu zasad |
| Microsoft.Authorization/elevateAccess/Action | Przyznaje osobie wywołującej uprawnienia administratora dostępu użytkowników w zakresie dzierżawy |
| Microsoft.Blueprint/blueprintAssignments/write | Tworzenie lub aktualizowanie wszelkich przypisań strategii |
| Microsoft.Blueprint/blueprintAssignments/delete | Usuwanie wszelkich przypisań strategii |
| Microsoft.Compute/gallerys/share/action | Udostępnianie galerii do różnych zakresów |
| Microsoft.Purview/consents/write | Utwórz lub zaktualizuj zasób zgody. |
| Microsoft.Purview/consents/delete | Usuń zasób zgody. |
| Microsoft.Resources/deploymentStacks/manageDenySetting/action | Zarządzanie właściwością denySettings stosu wdrożenia. |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Właściciel
Udziela pełnego dostępu do zarządzania wszystkimi zasobami, w tym możliwość przypisywania ról w kontroli dostępu opartej na rolach platformy Azure.
| Akcje | opis |
|---|---|
| * | Tworzenie wszystkich typów zasobów i zarządzanie nimi |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator rezerwacji
Umożliwia odczytywanie wszystkich rezerwacji w dzierżawie i zarządzanie nimi
| Akcje | opis |
|---|---|
| Microsoft.Capacity/*/read | |
| Microsoft.Capacity/*/action | |
| Microsoft.Capacity/*/write | |
| Microsoft.Authorization/roleAssignments/read | Uzyskaj informacje o przypisaniu roli. |
| Microsoft.Authorization/roleDefinitions/read | Uzyskaj informacje o definicji roli. |
| Microsoft.Authorization/roleAssignments/write | Utwórz przypisanie roli w określonym zakresie. |
| Microsoft.Authorization/roleAssignments/delete | Usuń przypisanie roli w określonym zakresie. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator kontroli dostępu opartej na rolach
Zarządzanie dostępem do zasobów platformy Azure przez przypisanie ról przy użyciu kontroli dostępu opartej na rolach platformy Azure. Ta rola nie umożliwia zarządzania dostępem przy użyciu innych sposobów, takich jak usługa Azure Policy.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Utwórz przypisanie roli w określonym zakresie. |
| Microsoft.Authorization/roleAssignments/delete | Usuń przypisanie roli w określonym zakresie. |
| */read | Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator dostępu użytkowników
Umożliwia zarządzanie dostępem użytkowników do zasobów platformy Azure.
| Akcje | Opis |
|---|---|
| */read | Czytanie zasobów wszystkich typów z wyjątkiem wpisów tajnych. |
| Microsoft.Authorization/* | Zarządzanie autoryzacją |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}