Встроенные роли Azure для привилегированных ролей
В этой статье перечислены встроенные роли Azure в категории "Привилегированные".
Участник
Предоставляет полный доступ для управления всеми ресурсами, но не позволяет назначать роли в системе управления доступом на основе ролей Azure (Azure RBAC), управлять назначениями в Azure Blueprints или предоставлять общий доступ к галереям изображений.
| Действия | Description |
|---|---|
| * | Создание ресурсов всех типов и управление ими |
| NotActions | |
| Microsoft.Authorization/*/Delete | Удаление ролей, назначение политик, определение политик и определение наборов политик |
| Microsoft.Authorization/*/Write | Создание ролей, назначение ролей, назначение политик, определение политик и определение наборов политик |
| Microsoft.Authorization/elevateAccess/Action | Предоставляет вызывающему доступ с правами администратора для области действия клиента. |
| Microsoft.Blueprint/blueprintAssignments/write | Создание или изменение любых назначений схемы |
| Microsoft.Blueprint/blueprintAssignments/delete | Удаление любых назначений схемы |
| Microsoft.Compute/galleries/share/action | Предоставляет общий доступ к коллекции для разных областей. |
| Microsoft.Purview/consents/write | Создание или обновление ресурса согласия. |
| Microsoft.Purview/consents/delete | Удалите ресурс согласия. |
| Microsoft.Resources/deploymentStacks/manageDenySetting/action | Управление свойством DenySettings в стеке развертывания. |
| Microsoft.Subscription/cancel/action | Отменяет подписку |
| Microsoft.Subscription/enable/action | Повторно активирует подписку |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action",
"Microsoft.Subscription/cancel/action",
"Microsoft.Subscription/enable/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ответственный
Предоставляет полный доступ для управления всеми ресурсами, включая возможность назначать роли в Azure RBAC.
| Действия | Description |
|---|---|
| * | Создание ресурсов всех типов и управление ими |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор резервирования
Позволяет считывать и управлять всеми резервированиями в клиенте
| Действия | Description |
|---|---|
| Microsoft.Capacity/*/read | |
| Microsoft.Capacity/*/action | |
| Microsoft.Capacity/*/write | |
| Microsoft.Authorization/roleAssignments/read | Возвращает сведения о назначении роли. |
| Microsoft.Authorization/roleDefinitions/read | Возвращает сведения об определении роли. |
| Microsoft.Authorization/roleAssignments/write | Создает назначение роли в указанной области. |
| Microsoft.Authorization/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор контроль доступа на основе ролей
Управление доступом к ресурсам Azure путем назначения ролей с помощью Azure RBAC. Эта роль не позволяет управлять доступом с помощью других способов, таких как Политика Azure.
| Действия | Description |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Создает назначение роли в указанной области. |
| Microsoft.Authorization/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор доступа пользователей
Позволяет управлять доступом пользователей к ресурсам Azure.
| Действия | Описание |
|---|---|
| */чтение | Чтение ресурсов всех типов, кроме секретов. |
| Microsoft.Authorization/* | Управление авторизацией |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}