Requisitos de permissão para o Service Connector

Ao usar o Service Connector para criar conexões entre os serviços do Azure, é essencial garantir que as permissões necessárias sejam concedidas. Este documento descreve os requisitos de permissão para vários recursos do Azure para facilitar a criação de conexão perfeita.

O Service Connector cria conexões entre os serviços do Azure usando um token em nome de.

Criar conexões com recursos do Azure requer permissões apropriadas.

Serviço de Aplicações

Ação	Descrição
Microsoft.Web/sites/config/write	Atualizar definições de configuração do Web App
Microsoft.web/sites/config/delete	Exclua a configuração de aplicativos Web.
Microsoft.Web/sites/config/list/action	Listar configurações sensíveis à segurança do Web App, como credenciais de publicação, configurações de aplicativo e cadeias de conexão
Microsoft.Web/sites/config/Read	Obter definições de configuração do Aplicativo Web
Microsoft.Web/sites/write	Criar um novo aplicativo Web ou atualizar um existente
Microsoft.Web/sites/read	Obter as propriedades de um aplicativo Web

Ranhura Webapp

Ação	Descrição
Microsoft.Web/sites/slots/Write	Criar um novo Slot de Aplicativo Web ou atualizar um existente
Microsoft.Web/sites/slots/Read	Obter as propriedades de um slot de implantação de Aplicativo Web
Microsoft.Web/sites/slots/config/Read	Obter as definições de configuração do Web App Slot
Microsoft.Web/sites/slots/config/Write	Atualizar as definições de configuração do Web App Slot
microsoft.web/sites/slots/config/delete	Exclua a configuração de slots de aplicativos Web.
Microsoft.Web/sites/slots/config/list/Action	Listar configurações sensíveis à segurança do Slot de Aplicativo Web, como credenciais de publicação, configurações de aplicativo e cadeias de conexão

Azure Spring App

Ação	Descrição
Microsoft.AppPlatform/Spring/read	Obter instância(s) de serviço do Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read	Obter os aplicativos para uma instância de serviço específica do Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/write	Criar ou atualizar o aplicativo para uma instância de serviço específica do Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/deployments/*/read	Obter as implantações para um aplicativo específico
Microsoft.AppPlatform/Spring/apps/deployments/*/write	Criar ou atualizar a implantação para um aplicativo específico
Microsoft.AppPlatform/Spring/apps/deployments/*/delete	Excluir a implantação de um aplicativo específico

Azure Container Apps

Ação	Descrição
Microsoft.App/containerApps/read	Obter um aplicativo de contêiner
Microsoft.App/containerApps/write	Criar ou atualizar um aplicativo de contêiner
Microsoft.App/containerApps/listsecrets/action	Listar segredos de um aplicativo de contêiner
Microsoft.App/managedEnvironments/read	Obtenha um ambiente gerenciado
Microsoft.App/locations/managedEnvironmentOperationStatuses/read	Obter um ambiente gerenciado Status de operação de longa duração
microsoft.app/locations/containerappoperationstatuses/read	Obter um status de operação de longa duração de um aplicativo de contêiner
microsoft.app/locations/containerappoperationresults/read	Obter um resultado da operação de longa duração de um aplicativo de contêiner
microsoft.app/locations/managedenvironmentoperationresults/read	Obtenha um resultado de operação de longa duração em um ambiente gerenciado

Dapr em Aplicativos de Contêiner do Azure

Ação	Descrição
Microsoft.App/managedEnvironments/daprComponents/read	Ler o componente Dapr do ambiente gerenciado
Microsoft.App/managedEnvironments/daprComponents/write	Criar ou atualizar o componente Dapr do ambiente gerenciado
Microsoft.App/managedEnvironments/daprComponents/delete	Excluir componente Dapr de ambiente gerenciado

Cache do Azure para Redis

Ação	Descrição
Microsoft.Cache/redis/read	Veja as definições e a configuração do Cache Redis no portal de gerenciamento
Microsoft.Cache/redis/firewallRules/read	Obter as regras de firewall IP de um Cache Redis
Microsoft.Cache/redis/firewallRules/write	Editar as regras de firewall IP de um Cache Redis
Microsoft.Cache/redis/firewallRules/delete	Excluir regras de firewall IP de um Cache Redis
Microsoft.Cache/redis/listKeys/action	Exibir o valor das chaves de acesso do Cache Redis no portal de gerenciamento

Cache do Azure para Redis Enterprise

Ação	Descrição
Microsoft.Cache/redisEnterprise/read	Exibir as definições e a configuração do cache Redis Enterprise no portal de gerenciamento
Microsoft.Cache/redisEnterprise/databases/read	Exibir as definições e a configuração do banco de dados de cache Redis Enterprise no portal de gerenciamento
Microsoft.Cache/redisEnterprise/databases/listKeys/action	Exibir o valor das chaves de acesso ao banco de dados Redis Enterprise no portal de gerenciamento

Base de Dados do Azure para PostgreSQL

Base de Dados do Azure para PostgreSQL

Ação	Descrição
Microsoft.DBforPostgreSQL/servers/firewallRules/read	Retorna a lista de regras de firewall para um servidor ou obtém as propriedades para a regra de firewall especificada.
Microsoft.DBforPostgreSQL/servers/firewallRules/write	Cria uma regra de firewall com os parâmetros especificados ou atualiza uma regra existente.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete	Exclui uma regra de firewall existente.
Microsoft.DBForPostgreSQL/servers/read	Retorna a lista de servidores ou obtém as propriedades para o servidor especificado.
Microsoft.DBForPostgreSQL/servers/databases/read	Retorna a lista de bancos de dados PostgreSQL ou obtém as propriedades para o banco de dados especificado.
Microsoft.DBforPostgreSQL/servers/write	Cria um servidor com os parâmetros especificados ou atualiza as propriedades ou tags para o servidor especificado.

Banco de Dados do Azure para PostgreSQL (ponto de extremidade de serviço)

Ação	Descrição
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read	Retorna a lista de regras de rede virtual ou obtém as propriedades da regra de rede virtual especificada.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write	Cria uma regra de rede virtual com os parâmetros especificados ou atualiza as propriedades ou tags da regra de rede virtual especificada.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete	Exclui uma regra de rede virtual existente

Base de Dados do Azure para PostgreSQL – Servidor Flexível

Ação	Descrição
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read	Retorna a lista de regras de firewall para um servidor ou obtém as propriedades para a regra de firewall especificada.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write	Cria uma regra de firewall com os parâmetros especificados ou atualiza uma regra existente.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete	Exclui uma regra de firewall existente.
Microsoft.DBForPostgreSQL/flexibleServers/read	Retorna a lista de servidores ou obtém as propriedades para o servidor especificado.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read	Retorna a lista de bancos de dados do servidor PostgreSQL ou obtém o banco de dados para o servidor especificado.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read	Retorna a lista de configurações do servidor PostgreSQL ou obtém as configurações para o servidor especificado.

Base de Dados do Azure para MySQL

Ação	Descrição
Microsoft.DBforMySQL/servers/firewallRules/read	Retorna a lista de regras de firewall para um servidor ou obtém as propriedades para a regra de firewall especificada.
Microsoft.DBforMySQL/servers/firewallRules/write	Cria uma regra de firewall com os parâmetros especificados ou atualiza uma regra existente.
Microsoft.DBforMySQL/servers/firewallRules/delete	Exclui uma regra de firewall existente.
Microsoft.DBforMySQL/servers/read	Retorna a lista de servidores ou obtém as propriedades para o servidor especificado.
Microsoft.DBforMySQL/servers/databases/read	Retorna a lista de bancos de dados MySQL ou obtém as propriedades para o banco de dados especificado.
Microsoft.DBforMySQL/servers/write	Cria um servidor com os parâmetros especificados ou atualiza as propriedades ou tags para o servidor especificado.

Banco de Dados do Azure para MySQL (ponto de extremidade de serviço)

Ação	Descrição
Microsoft.DBforMySQL/servers/virtualNetworkRules/read	Retorna a lista de regras de rede virtual ou obtém as propriedades da regra de rede virtual especificada.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write	Cria uma regra de rede virtual com os parâmetros especificados ou atualiza as propriedades ou tags da regra de rede virtual especificada.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete	Exclui uma regra de rede virtual existente

Banco de Dados do Azure para MySQL - Servidor Flexível

Ação	Descrição
Microsoft.DBforMySQL/flexibleServers/firewallRules/read	Retorna a lista de regras de firewall para um servidor ou obtém as propriedades da regra de firewall especificada.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write	Cria uma regra de firewall com os parâmetros especificados ou atualiza uma regra existente.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete	Exclui uma regra de firewall existente.
Microsoft.DBforMySQL/flexibleServers/read	Retorna a lista de servidores ou obtém as propriedades do servidor especificado.
Microsoft.DBforMySQL/flexibleServers/databases/read	Retorna a lista de bancos de dados para um servidor ou obtém as propriedades para o banco de dados especificado.
Microsoft.DBforMySQL/flexibleServers/configurations/read	Retorna a lista de configurações do servidor MySQL ou obtém as configurações para o servidor especificado.

Configuração da Aplicação Azure

Ação	Descrição
Microsoft.AppConfiguration/configurationStores/ListKeys/action	Lista as chaves de API para o armazenamento de configuração especificado.
Microsoft.AppConfiguration/configurationStores/read	Obtém as propriedades do repositório de configuração especificado ou lista todos os armazenamentos de configuração sob o grupo de recursos ou assinatura especificados.

Hubs de Eventos do Azure

Ação	Descrição
Microsoft.EventHub/namespaces/read	Obter a lista de Descrição de Recursos de Espaço de Nomes
Microsoft.EventHub/namespaces/ipFilterRules/read	Obter recurso de filtro IP
Microsoft.EventHub/namespaces/ipFilterRules/write	Criar recurso de filtro IP
Microsoft.EventHub/namespaces/ipFilterRules/delete	Excluir recurso de filtro IP
Microsoft.EventHub/namespaces/networkrulesets/read	Obtém o recurso NetworkRuleSet
Microsoft.EventHub/namespaces/networkrulesets/write	Criar recurso de regra VNET
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action	Obter a cadeia de conexão para o namespace

Azure Service Bus

Ação	Descrição
Microsoft.ServiceBus/namespaces/read	Obter a lista de Descrição de Recursos de Espaço de Nomes
Microsoft.ServiceBus/namespaces/ipFilterRules/read	Obter recurso de filtro IP
Microsoft.ServiceBus/namespaces/ipFilterRules/write	Criar recurso de filtro IP
Microsoft.ServiceBus/namespaces/ipFilterRules/delete	Excluir recurso de filtro IP
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action	Obter a cadeia de conexão para o namespace
Microsoft.ServiceBus/namespaces/networkrulesets/read	Obtém o recurso NetworkRuleSet
Microsoft.ServiceBus/namespaces/networkrulesets/write	Criar recurso de regra VNET

Armazenamento de Blobs do Azure

Ação	Descrição
Microsoft.Storage/storageAccounts/read	Retorna a lista de contas de armazenamento ou obtém as propriedades da conta de armazenamento especificada.
Microsoft.Storage/storageAccounts/write	Cria uma conta de armazenamento com os parâmetros especificados ou atualiza as propriedades ou tags ou adiciona domínio personalizado para a conta de armazenamento especificada.
Microsoft.Storage/storageAccounts/listkeys/action	Retorna as chaves de acesso para a conta de armazenamento especificada.

Azure SignalR Service

Ação	Descrição
Microsoft.SignalRService/SignalR/read	Veja as definições e configurações do SignalR no portal de gerenciamento ou através da API
Microsoft.SignalRService/SignalR/write	Modificar as definições e configurações do SignalR no portal de gerenciamento ou através da API
Microsoft.SignalRService/locations/operationresults/signalr/read	Consultar o resultado de uma operação assíncrona baseada em local
Microsoft.SignalRService/locations/operationStatuses/signalr/read	Consultar o status de uma operação assíncrona baseada em local
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action	Visualize o valor das chaves de acesso do SignalR no portal de gerenciamento ou por meio da API

Serviço Azure Web PubSub

Ação	Descrição
Microsoft.SignalRService/WebPubSub/read	Visualize as definições e configurações do WebPubSub no portal de gerenciamento ou por meio da API
Microsoft.SignalRService/WebPubSub/write	Modificar as definições e configurações do WebPubSub no portal de gerenciamento ou por meio da API
Microsoft.SignalRService/locations/operationresults/webpubsub/read	Consultar o resultado de uma operação assíncrona baseada em local
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read	Consultar o status de uma operação assíncrona baseada em local
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read	Visualize o valor das chaves de acesso WebPubSub no portal de gerenciamento ou por meio da API
Microsoft.SignalRService/WebPubSub/listkeys/action	Visualize o valor das chaves de acesso WebPubSub no portal de gerenciamento ou por meio da API

Azure Cosmos DB

Aviso

A Microsoft recomenda que você use o fluxo de autenticação mais seguro disponível. O fluxo de autenticação descrito neste procedimento requer um grau muito alto de confiança no aplicativo e acarreta riscos que não estão presentes em outros fluxos. Você só deve usar esse fluxo quando outros fluxos mais seguros, como identidades gerenciadas, não forem viáveis.

Ação	Descrição
Microsoft.DocumentDB/databaseAccounts/read	Lê uma conta de banco de dados.
Microsoft.DocumentDB/databaseAccounts/write	Atualizar contas de banco de dados.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action	Obter as cadeias de conexão para uma conta de banco de dados
Microsoft.DocumentDB/databaseAccounts/listKeys/action	Listar chaves de uma conta de banco de dados

Base de Dados SQL do Azure

Ação	Descrição
Microsoft.Sql/servers/firewallRules/read	Retorna a lista de regras de firewall do servidor ou obtém as propriedades da regra de firewall do servidor especificada.
Microsoft.Sql/servers/firewallRules/write	Cria uma regra de firewall de servidor com os parâmetros especificados, atualiza as propriedades da regra especificada ou substitui todas as regras existentes por nova(s) regra(s) de firewall de servidor.
Microsoft.Sql/servers/firewallRules/delete	Exclui uma regra de firewall de servidor existente.
Microsoft.Sql/servers/databases/read	Retorna a lista de bancos de dados ou obtém as propriedades do banco de dados especificado.
Microsoft.Sql/servers/read	Retorna a lista de servidores ou obtém as propriedades para o servidor especificado.
Microsoft.Sql/servers/virtualNetworkRules/read	Retorna a lista de regras de rede virtual ou obtém as propriedades da regra de rede virtual especificada.
Microsoft.Sql/servers/virtualNetworkRules/write	Cria uma regra de rede virtual com os parâmetros especificados ou atualiza as propriedades ou tags da regra de rede virtual especificada.
Microsoft.Sql/servers/virtualNetworkRules/delete	Exclui uma regra de rede virtual existente

Azure Key Vault

Ação	Descrição
Microsoft.KeyVault/vaults/write	Cria um novo cofre de chaves ou atualiza as propriedades de um cofre de chaves existente. Algumas propriedades podem exigir mais permissões.
Microsoft.KeyVault/vaults/read	Ver as propriedades de um cofre de chaves
Microsoft.KeyVault/vaults/secrets/write	Cria um novo segredo ou atualiza o valor de um segredo existente.
Microsoft.KeyVault/vaults/accessPolicies/write	Atualiza uma política de acesso existente mesclando ou substituindo, ou adiciona uma nova política de acesso ao cofre de chaves.

Azure Cosmos DB

Ação	Descrição
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read	Ler uma definição de função SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write	Criar ou atualizar uma definição de função SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete	Excluir uma atribuição de função SQL

Conexão relacionada à identidade gerenciada/entidade de serviço

O Service Connector pode precisar conceder permissões à Identidade Gerenciada ou à Entidade de Serviço se uma conexão for criada com esses como tipos de autenticação. A tabela a seguir lista os requisitos de permissão para criar uma conexão nesse cenário.

Ação	Descrição
Microsoft.Authorization/roleAssignments/read	Obtenha informações sobre uma atribuição de função.
Microsoft.Authorization/roleAssignments/write	Crie uma atribuição de função no escopo especificado.
Microsoft.Authorization/roleAssignments/delete	Exclua uma atribuição de função no escopo especificado.

Conexão de identidades gerenciadas atribuídas pelo usuário

O Service Connector pode precisar conceder permissões à Identidade Gerenciada atribuída pelo usuário se uma conexão for criada com ele como o tipo de autenticação. A tabela a seguir lista os requisitos de permissão para criar uma conexão nesse cenário.

Ação	Descrição
Microsoft.ManagedIdentity/userAssignedIdentities/read	Obtém uma identidade atribuída ao usuário existente
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action	Ação RBAC para atribuir uma identidade atribuída ao usuário existente a um recurso
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read	Obter ou listar credenciais de identidade federada
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write	Adicionar ou atualizar uma credencial de identidade federada
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete	Excluir uma credencial de identidade federada

Permissão relacionada ao ponto de extremidade privado/ponto de extremidade de serviço

O Service Connector pode precisar conceder permissões à sua identidade se uma conexão for criada com ponto de extremidade privado ou ponto de extremidade de serviço como a solução de rede. A tabela a seguir lista os requisitos de permissão para criar uma conexão nesse cenário.

Ação	Descrição
Microsoft.Network/publicIPAddresses/read	Obtém uma definição de endereço IP público.
Microsoft.Network/virtualNetworks/subnets/read	Obtém uma definição de sub-rede de rede virtual
Microsoft.Network/virtualNetworks/subnets/write	Cria uma sub-rede de rede virtual ou atualiza uma sub-rede de rede virtual existente
Microsoft.Network/privateEndpoints/read	Obtém um recurso de ponto de extremidade privado.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action	Associa recursos como conta de armazenamento ou banco de dados SQL a uma sub-rede. Não alertável.
Microsoft.Network/networkSecurityGroups/join/action	Ingressa em um grupo de segurança de rede. Não alertável.
Microsoft.Network/serviceEndpointPolicies/join/action	Ingressa em uma Política de Ponto de Extremidade de Serviço. Não alertável.
Microsoft.Network/natGateways/join/action	Junta-se a um gateway NAT
Microsoft.Network/networkIntentPolicies/join/action	Ingressa em uma Política de Intenção de Rede. Não alertável.
Microsoft.Network/networkSecurityGroups/join/action	Ingressa em um grupo de segurança de rede. Não alertável.
Microsoft.Network/routeTables/join/action	Junta-se a uma tabela de rotas. Não alertável.

Ligações relacionadas

• FAQ
• Internos do serviço
• Funções do Microsoft Entra atribuídas pelo Service Connector