Funções internas do Azure para Privileged
Este artigo lista as funções internas do Azure na categoria Privilegiado.
Contribuinte
Concede acesso total para gerenciar todos os recursos, mas não permite que você atribua funções no RBAC do Azure, gerencie atribuições no Azure Blueprints ou compartilhe galerias de imagens.
Ações | Description |
---|---|
* | Criar e gerir recursos de todos os tipos |
NotActions | |
Microsoft.Authorization/*/Delete | Excluir funções, atribuições de política, definições de política e definições de conjunto de políticas |
Microsoft.Authorization/*/Write | Criar funções, atribuições de funções, atribuições de políticas, definições de políticas e definições de conjuntos de políticas |
Microsoft.Authorization/elevateAccess/Action | Concede ao chamador o acesso de Administrador de Acesso de Utilizador no âmbito do inquilino |
Microsoft.Blueprint/blueprintAtribuições/gravação | Criar ou atualizar quaisquer atribuições de blueprint |
Microsoft.Blueprint/blueprintAtribuições/excluir | Excluir quaisquer atribuições de blueprint |
Microsoft.Compute/galleries/share/action | Partilha uma Galeria com âmbitos diferentes |
Microsoft.Purview/consents/write | Crie ou atualize um recurso de consentimento. |
Microsoft.Purview/consents/delete | Exclua o recurso de consentimento. |
Microsoft.Resources/deploymentStacks/manageDenySetting/action | Gerencie a propriedade denySettings de uma pilha de implantação. |
Microsoft.Subscription/cancel/action | Cancela a Subscrição |
Microsoft.Subscription/enable/action | Reativa a Subscrição |
DataActions | |
nenhum | |
NotDataActions | |
nenhum |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action",
"Microsoft.Subscription/cancel/action",
"Microsoft.Subscription/enable/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Proprietário
Concede acesso total para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no RBAC do Azure.
Ações | Description |
---|---|
* | Criar e gerir recursos de todos os tipos |
NotActions | |
nenhum | |
DataActions | |
nenhum | |
NotDataActions | |
nenhum |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Reservas
Permite ler e gerir todas as reservas num inquilino
Ações | Description |
---|---|
Microsoft.Capacity/*/read | |
Microsoft.Capacity/*/action | |
Microsoft.Capacity/*/write | |
Microsoft.Authorization/roleAssignments/read | Obtenha informações sobre uma atribuição de função. |
Microsoft.Authorization/roleDefinitions/read | Obtenha informações sobre uma definição de função. |
Microsoft.Authorization/roleAssignments/write | Crie uma atribuição de função no escopo especificado. |
Microsoft.Authorization/roleAssignments/delete | Exclua uma atribuição de função no escopo especificado. |
NotActions | |
nenhum | |
DataActions | |
nenhum | |
NotDataActions | |
nenhum |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de controle de acesso baseado em função
Gerencie o acesso aos recursos do Azure atribuindo funções usando o Azure RBAC. Essa função não permite que você gerencie o acesso usando outras maneiras, como a Política do Azure.
Ações | Description |
---|---|
Microsoft.Authorization/roleAssignments/write | Crie uma atribuição de função no escopo especificado. |
Microsoft.Authorization/roleAssignments/delete | Exclua uma atribuição de função no escopo especificado. |
*/read | Ler recursos de todos os tipos, exceto segredos. |
Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
NotActions | |
nenhum | |
DataActions | |
nenhum | |
NotDataActions | |
nenhum |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Acesso dos Utilizadores
Permite gerenciar o acesso do usuário aos recursos do Azure.
Ações | Descrição |
---|---|
*/read | Ler recursos de todos os tipos, exceto segredos. |
Microsoft.Authorization/* | Autorização de gestão |
Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
NotActions | |
nenhum | |
DataActions | |
nenhum | |
NotDataActions | |
nenhum |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}