你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 内置角色

Azure 基于角色的访问控制 (Azure RBAC) 拥有多个 Azure 内置角色,可将其分配给用户、组、服务主体和托管标识。 角色分配是控制对 Azure 资源的访问的方式。 如果内置角色不能满足组织的特定需求,你可以创建自己的 Azure 自定义角色。 有关如何分配角色的信息,请参阅分配 Azure 角色的步骤

本文列出了 Azure 内置角色。 如果要查找 Microsoft Entra ID 的管理员角色,请参阅 Microsoft Entra 内置角色

下表提供了每个内置角色的简短说明。 单击角色名称,查看每个角色的 ActionsNotActionsDataActionsNotDataActions 列表。 有关这些操作的含义以及它们如何应用于控制和数据平面的信息,请参阅了解 Azure 角色定义

有特权

内置角色 说明 ID
参与者 授予完全访问权限来管理所有资源,但不允许在 Azure RBAC 中分配角色或在 Azure 蓝图中管理分配,也不允许共享映像库。 b24988ac-6180-42a0-ab88-20f7382dd24c
所有者 授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 8e3af657-a8ff-443c-a75c-2fe8c4bcb635
预留管理员 允许用户读取和管理租户中的所有预留 a8889054-8d42-49c9-bc1c-52486c10e7cd
基于角色的访问控制管理员 通过使用 Azure RBAC 分配角色来管理对 Azure 资源的访问。 此角色不允许使用其他方式(如 Azure Policy)管理访问权限。 f58310d9-a9f6-439a-9e8d-f62e7b41a168
用户访问管理员 允许管理用户对 Azure 资源的访问权限。 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9

常规

内置角色 说明 ID
读者 查看所有资源,但不允许进行任何更改。 acdd72a7-3385-48ef-bd42-f606fba81ae7

计算

内置角色 说明 ID
Azure Arc VMware VM 参与者 Arc VMware VM Contributor 有權執行所有 VM 作業。 b748a06d-6150-4f8a-aaa9-ce3940cd96cb
经典虚拟机参与者 允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 d73bb868-a0df-4d4d-bd69-98a00b01fccb
Compute Gallery 工件发布者 这是可发布库工件的角色。 85a2d0d9-2eba-4c9c-b355-11c2cc0788ab
计算库图像读取器 这是读取库映像的角色。 cf7c76d2-98a3-4358-a134-615aa78bf44d
Compute Gallery 共享管理员 此角色允许用户将库共享给另一个订阅/租户,或共享给公众。 1ef6a3be-d0ac-425d-8c01-acb62866290b
托管磁盘的数据操作员 提供使用 SAS URI 和 Azure AD 身份验证将数据上传到空托管磁盘、读取或导出托管磁盘(未附加到正在运行的 VM)的数据和快照的权限。 959f8984-c045-4866-89c7-12bf9737be2e
桌面虚拟化应用程序组参与者 桌面虚拟化应用程序组参与者。 86240b0e-9422-4c43-887b-b61143f32ba8
桌面虚拟化应用程序组读取者 桌面虚拟化应用程序组读取者。 aebf23d0-b568-4e86-b8f9-fe83a2c6ab55
桌面虚拟化参与者 桌面虚拟化参与者。 082f0a83-3be5-4ba1-904c-961cca79b387
桌面虚拟化主机池参与者 桌面虚拟化主机池参与者。 e307426c-f9b6-4e81-87de-d99efb3c32bc
桌面虚拟化主机池读取者 桌面虚拟化主机池读取者。 ceadfde2-b300-400a-ab7b-6143895aa822
桌面虚拟化启用参与者 向 Azure 虛擬桌面資源提供者提供啟動虛擬機器的權限。 489581de-a3bd-480d-9518-53dea7416b33
桌面虚拟化开/关参与者 向 Azure 虛擬桌面資源提供者提供啟動和停止虛擬機器的權限。 40c5ff49-9181-41f8-ae61-143b0e78555e
桌面虚拟化读取者 桌面虚拟化读取者。 49a72310-ab8d-41df-bbb0-79b649203868
桌面虚拟化会话主机操作员 桌面虚拟化会话主机操作员。 2ad6aaab-ead9-4eaa-8ac5-da422f562408
桌面虚拟化用户 允许用户使用应用程序组中的应用程序。 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63
桌面虚拟化用户会话操作员 桌面虚拟化用户会话操作员。 ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6
桌面虚拟化虚拟机参与者 此角色处于预览版阶段,可能会有所更改。 向 Azure 虛擬桌面資源提供者提供建立、刪除、更新、啟動和停止虛擬機器的權限。 a959dbd1-f747-45e3-8ba6-dd80f235f97c
桌面虚拟化工作区参与者 桌面虚拟化工作区参与者。 21efdde3-836f-432b-bf3d-3e8e734d4b2b
桌面虚拟化工作区读取者 桌面虚拟化工作区读取者。 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d
磁盘备份读取者 向备份保管库提供执行磁盘备份的权限。 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24
磁盘池操作员 向 StoragePool 资源提供程序提供管理添加到磁盘池的磁盘的权限。 60fc6e62-5479-42d4-8bf4-67625fcc2840
磁盘还原操作员 向备份保管库提供执行磁盘还原的权限。 b50d9833-a0cb-478e-945f-707fcc997c13
磁盘快照参与者 向备份保管库提供管理磁盘快照的权限。 7efff54f-a5b4-42b5-a1c5-5411624893ce
虚拟机管理员登录 在门户中查看虚拟机并以管理员身份登录 1c0163c0-47e6-4577-8991-ea5c82e286e4
虚拟机参与者 创建并管理虚拟机、管理磁盘、安装并运行软件、使用 VM 扩展重置虚拟机根用户的密码,以及使用 VM 扩展管理本地用户帐户。 此角色不会授予你对虚拟机连接到的虚拟网络或存储帐户的管理访问权限。 此角色不允许在 Azure RBAC 中分配角色。 9980e02c-c2be-4d73-94e8-173b1dc7cf3c
虚拟机数据访问管理员(预览版) 通过添加或删除“虚拟机管理员登录名”角色和“虚拟机用户登录名”角色的角色分配来管理对虚拟机的访问。 包括用于约束角色分配的 ABAC 条件。 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04
虚拟机本地用户登录 在门户中查看虚拟机,并以在 Arc 服务器上配置的本地用户身份登录 602da2ba-a5c2-41da-b01d-5360126ab525
虚拟机用户登录 在门户中查看虚拟机并以普通用户身份登录。 fb879df8-f326-4884-b1cf-06f3ad86be52
VM 还原操作员 在 VM 还原期间创建和删除资源。 此角色处于预览版阶段,可能会有所更改。 dfce8971-25e3-42e3-ba33-6055438e3080
Windows 365 网络接口贡献者 Windows 365 使用此角色來預配所需的網路資源並將 Microsoft 託管的 VM 新增至網路介面。 1f135831-5bbe-4924-9016-264044c00788
Windows 365 网路用户 Windows 365 使用此角色讀取虛擬網路並加入指定的虛擬網路。 7eabc9a4-85f7-4f71-b8ab-75daaccc1033
Windows Admin Center 管理员登录 允许以管理员身份通过 Windows Admin Center 管理资源的 OS。 a6333a3e-0164-44c3-b281-7a577aff287f

网络

内置角色 说明 ID
Azure Front Door 域参与者 供 Azure 内部使用。 可以管理 Azure Front Door 域,但不能向其他用户授予访问权限。 0ab34830-df19-4f8c-b84e-aa85b8afa6e8
Azure Front Door 域读取者 供 Azure 内部使用。 可以查看 Azure Front Door 域,但不能进行更改。 0f99d363-226e-4dca-9920-b807cf8e1a5f
Azure Front Door 配置文件读取者 可以查看 AFD 标准和高级配置文件及其终结点,但不能进行更改。 662802e2-50f6-46b0-aed2-e834bacc6d12
Azure Front Door 机密参与者 供 Azure 内部使用。 可以管理 Azure Front Door 机密,但不能向其他用户授予访问权限。 3f2eb865-5811-4578-b90a-6fc6fa0df8e5
Azure Front Door 机密读取者 供 Azure 内部使用。 可以查看 Azure Front Door 机密,但不能进行更改。 0db238c4-885e-4c4f-a933-aa2cef684fca
CDN 终结点参与者 可以管理 CDN 终结点,但不能向其他用户授予访问权限。 426e0c7f-0c7e-4658-b36f-ff54d6c29b45
CDN 终结点读者 可以查看 CDN 终结点,但不能进行更改。 871e35f6-b5c1-49cc-a043-bde969a0f2cd
CDN 配置文件参与者 可以管理 CDN 和 Azure Front Door 标准和高级配置文件及其终结点,但不能向其他用户授予访问权限。 ec156ff8-a8d1-4d15-830c-5b80698ca432
CDN 配置文件读者 可以查看 CDN 配置文件及其终结点,但不能进行更改。 8f96442b-4075-438f-813d-ad51ab4019af
经典网络参与者 允许管理经典网络,但不允许访问这些网络。 b34d265f-36f7-4a0d-a4d4-e158ca92e90f
DNS 区域参与者 允许管理 Azure DNS 中的 DNS 区域和记录集,但不允许控制对其访问的人员。 befefa01-2a29-4197-83a8-272ff33ce314
网络参与者 允许管理网络,但不允许访问这些网络。 此角色不授予部署或管理虚拟机的权限。 4d97b98b-1d4f-4787-a291-c67834d212e7
专用 DNS 区域参与者 允许管理专用 DNS 区域资源,但不允许管理它们所链接到的虚拟网络。 b12aa53e-6015-4669-85d0-8515ebb3ae7f
流量管理器参与者 允许管理流量管理器配置文件,但不允许控制谁可以访问它们。 a4b10055-b0c7-44c2-b00f-c7b5b3550cf7

存储

内置角色 说明 ID
Avere 参与者 可以创建和管理 Avere vFXT 群集。 4f8fab4f-1852-4a58-a46a-8eaf358af14a
Avere 操作员 Avere vFXT 群集用来管理群集 c025889f-8102-4ebf-b32c-fc0c6f0c6bd9
备份参与者 允许管理备份服务,但不允许创建保管库以及授予其他人访问权限 5e467623-bb1f-42f4-a55d-6e525e11384b
备份多用户授权管理员 备份多用户授权。 可以建立/刪除ResourceGuard c2a970b4-16a7-4a51-8c84-8a8ea6ee0bb8
备份 MUA 操作员 备份多用户授权。 允許使用者執行受資源保護保護的關鍵操作 f54b6d04-23c6-443e-b462-9c16ab7b4a52
备份操作员 允许管理备份服务,但删除备份、创建保管库以及授予其他人访问权限除外 00c29273-979b-4161-815c-10b084fb9324
备份读者 可以查看备份服务,但是不能进行更改 a795c7a0-d4a2-40c1-ae25-d81f01202912
经典存储帐户参与者 允许管理经典存储帐户,但不允许对其进行访问。 86e8f5dc-a6e9-4c67-9d15-de283e8eac25
经典存储帐户密钥操作员服务角色 允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥 985d6b00-f706-48f5-a6fe-d0ca12fb668d
Data Box 参与者 可让你管理 Data Box 服务下的所有内容,但不能向其他人授予访问权限。 add466c9-e687-43fc-8d98-dfcf8d720be5
Data Box 读者 可让你管理 Data Box 服务,但不能创建订单或编辑订单详细信息,以及向其他人授予访问权限。 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027
Data Lake Analytics 开发人员 允许提交、监视和管理自己的作业,但是不允许创建或删除 Data Lake Analytics 帐户。 47b7735b-770e-4598-a7da-8b91488b4c88
Defender for Storage 数据扫描程序 授予读取 blob 和更新索引标记所需的访问权限。 此角色由 Defender for Storage 的数据扫描程序使用。 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40
弹性 SAN 网路管理员 允許存取以在 SAN 資源上建立專用端點以及讀取 SAN 資源 fa6cecf6-5db3-4c43-8470-c540bcb4eafa
弹性 SAN 所有者 享有对 Azure 弹性 SAN 下所有资源的完全访问权限,包括更改网络安全策略以取消阻止数据路径访问 80dcbedb-47ef-405d-95bd-188a1b4ac406
弹性 SAN 读取者 允许控制对 Azure 弹性 SAN 的路径读取访问权限 af6a70f8-3c9f-4105-acf1-d719e9fca4ca
弹性 SAN 卷组所有者 享有对 Azure 弹性 SAN 中的卷组的完全访问权限,包括更改网络安全策略以取消阻止数据路径访问 a8281131-f312-4f34-8d98-ae12be9f0d23
读取器和数据访问 允许查看所有内容,但不允许删除或创建存储帐户或包含的资源。 它还允许使用存储帐户密钥对存储帐户中包含的所有数据进行读/写访问。 c12c1c16-33a1-487b-954d-41c89c60f349
存储帐户备份参与者 可在存储帐户上使用 Azure 备份执行备份和还原操作。 e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1
存储帐户参与者 允许管理存储帐户。 提供对帐户密钥的访问权限,而帐户密钥可以用来通过共享密钥授权对数据进行访问。 17d1049b-9a84-46fb-8f53-869881c3d3ab
存储帐户密钥操作员服务角色 允许列出和重新生成存储帐户访问密钥。 81a9662b-bebf-436f-a333-f67b29880f12
存储 Blob 数据参与者 读取、写入和删除 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限 ba92f5b4-2d11-453d-a403-e96b0029c9fe
存储 Blob 数据所有者 提供对 Azure 存储 Blob 容器和数据的完全访问权限,包括分配 POSIX 访问控制。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限 b7e6dc6d-f1e8-4753-8033-0f276bb0955b
存储 Blob 数据读者 读取和列出 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
存储 Blob 委托者 获取用户委托密钥,该密钥随后可用于为使用 Azure AD 凭据签名的容器或 Blob 创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS db58b8e5-c6ad-4a2a-8342-4190687cbf4a
存储文件数据特权参与者 通过重写现有的 ACL/NTFS 权限,允许读取、写入、删除和修改 Azure 文件共享中文件/目录上的 ACL。 在 Windows 文件服务器上,此角色没有内置的等效角色。 69566ab7-960f-475b-8e7c-b3118f30c6bd
存储文件数据特权读取者 通过重写现有的 ACL/NTFS 权限,允许对 Azure 文件共享中的文件/目录进行读取访问。 在 Windows 文件服务器上,此角色没有内置的等效角色。 b8eda974-7b85-4f76-af95-65846b26df6d
存储文件数据 SMB 共享参与者 允许针对 Azure 文件共享中的文件/目录的读取、写入和删除权限。 在 Windows 文件服务器上,此角色没有内置的等效角色。 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb
存储文件数据 SMB 共享提升参与者 允许读取、写入、删除和修改 Azure 文件共享中文件/目录上的 ACL。 此角色等效于 Windows 文件服务器上更改的文件共享 ACL。 a7264617-510b-434b-a828-9731dc254ea7
存储文件数据 SMB 共享读取者 允许针对 Azure 文件共享中的文件/目录的读取权限。 此角色等效于 Windows 文件服务器上的文件共享读取 ACL。 aba4ae5f-2193-4029-9191-0cb91df5e314
存储队列数据参与者 读取、写入和删除 Azure 存储队列和队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限 974c5e8b-45b9-4653-ba55-5f855dd0fb88
存储队列数据消息处理器 速览、检索和删除 Azure 存储队列中的消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限 8a0f0c08-91a1-4084-bc3d-661d67233fed
存储队列数据消息发送方 将消息添加到 Azure 存储队列。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限 c6a89b2d-59bc-44d0-9896-0f6e12d7b80a
存储队列数据读取者 读取并列出 Azure 存储队列和队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限 19e7f393-937e-4f77-808e-94535e297925
存储表数据参与者 用于对 Azure 存储表和实体进行读取、写入和删除访问 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3
存储表数据读取者 用于对 Azure 存储表和实体进行读取访问 76199698-9eea-4c19-bc75-cec21354c6b6

Web 和移动

内置角色 说明 ID
Azure Maps 数据参与者 从 Azure Maps 帐户中授予地图相关数据的读取、写入和删除权限。 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204
Azure Maps 数据读取器 授予从 Azure Maps 帐户中读取地图相关数据的权限。 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa
Azure Maps 搜索和呈现数据读取者 授予对常见可视化 Web SDK 场景的非常有限的数据 API 集的访问权限。 具体来说,是渲染和搜寻资料 API。 6be48352-4f82-47c9-ad5e-0acacefdb005
Azure Spring Apps 应用程序配置服务配置文件模式读取器角色 读取 Azure Spring Apps 中应用程式设定服务的设定档模式的内容 25211fc6-dc78-40b6-b205-e4ac934fd9fd
Azure Spring Apps 应用程序配置服务日志读取者角色 读取 Azure Spring Apps 中应用程式设定服务的即时日志 6593e776-2a30-40f9-8a32-4fe28b77655d
Azure Spring Apps 链接角色 Azure Spring Apps 链接角色 80558df3-64f9-4c0f-b32d-e5094b036b0b
Azure Spring Apps 作业日志读取者角色 读取 Azure Spring Apps 中作业的即时日志 b459aa1d-e3c8-436f-ae21-c0531140f43e
Azure Spring Apps 远端侦错角色 Azure Spring Apps 远端侦错角色 a99b0159-1064-4c22-a57b-c9b3caa1c054
Azure Spring Apps Spring Cloud Gateway 日志读取者角色 读取 Azure Spring Apps 中 Spring Cloud Gateway 的即时日志 4301dc2a-25a9-44b0-ae63-3636cf7f2bd2
Azure Spring Cloud Config Server 参与者 允许对 Azure Spring Cloud Config Server 进行读取、写入和删除访问 a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b
Azure Spring Cloud Config Server 读者 允许对 Azure Spring Cloud Config Server 进行读取访问 d04c6db6-4947-4782-9e91-30a88feb7be7
Azure Spring Cloud 数据读取者 允许对 Azure Spring Cloud 进行读取访问 b5537268-8956-4941-a8f0-646150406f0c
Azure Spring Cloud 服务注册表参与者 允许对 Azure Spring Cloud 服务注册表进行读取、写入和删除访问 f5880b48-c26d-48be-b172-7927bfa1c8f1
Azure Spring Cloud 服务注册表读者 允许对 Azure Spring Cloud 服务注册表进行读取访问 cff1b556-2399-4e7e-856d-a8f754be7b65
媒体服务帐户管理员 创建、读取、修改和删除媒体服务帐户;对其他媒体服务资源的只读访问权限。 054126f8-9a2b-4f1c-a9ad-eca461f08466
媒体服务实时事件管理员 创建、读取、修改和删除实时事件、资产、资产筛选器和流式处理定位符;对其他媒体服务资源的只读访问权限。 532bc159-b25e-42c0-969e-a1d439f60d77
媒体服务媒体操作员 创建、读取、修改和删除资产、资产筛选器、流式处理定位符和作业;对其他媒体服务资源的只读访问权限。 e4395492-1534-4db2-bedf-88c14621589c
媒体服务策略管理员 创建、读取、修改和删除帐户筛选器、流式处理策略、内容密钥策略和转换;对其他媒体服务资源的只读访问权限。 不能创建作业、资产或流式处理资源。 c4bba371-dacd-4a26-b320-7250bca963ae
媒体服务流式处理终结点管理员 创建、读取、修改和删除流式处理终结点;对其他媒体服务资源的只读访问权限。 99dba123-b5fe-44d5-874c-ced7199a5804
SignalR AccessKey 读取者 读取 SignalR 服务访问密钥 04165923-9d83-45d5-8227-78b77b0a687e
SignalR 应用服务器 允许应用服务器使用 AAD 身份验证选项访问 SignalR 服务。 420fcaa2-552c-430f-98ca-3264be4806c7
SignalR REST API 所有者 完全访问 Azure Signal 服务 REST API fd53cd77-2268-407a-8f46-7e7863d0f521
SignalR REST API 读者 以只读方式访问 Azure Signal 服务 REST API ddde6b66-c0df-4114-a159-3618637b3035
SignalR 服务所有者 完全访问 Azure Signal 服务 REST API 7e4f1700-ea5a-4f59-8f37-079cfe29dce3
SignalR/Web PubSub 参与者 创建、读取、更新和删除 SignalR 服务资源 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761
Web 计划参与者 管理网站的 web 计划。 不允许在 Azure RBAC 中分配角色。 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b
Web PubSub 服务所有者 對 Azure Web PubSub 服務 REST API 的完全存取權限 12cf5a90-567b-43ae-8102-96cf46c7d9b4
Web PubSub 服务阅读器 对 Azure Web PubSub 服务 REST API 的唯读访问 bfb1c7d2-fb1a-466b-b2ba-aee63b92deaf
网站参与者 管理网站,但不管理 web 计划。 不允许在 Azure RBAC 中分配角色。 de139f84-1756-47ae-9be6-808fbbe84772

容器

内置角色 说明 ID
AcrDelete 从容器注册表中删除存储库、标记或清单。 c2f4ef07-c644-48eb-af81-4b1b4947fb11
AcrImageSigner 将受信任的映像推送到为内容信任启用的容器注册表中或从中拉取受信任的映像。 6cef56e8-d556-48e5-a04f-b8e64114680f
AcrPull 从容器注册表中拉取项目。 7f951dda-4ed3-4680-a7ca-43fe172d538d
AcrPush 将项目推送到容器注册表或从中拉取项目。 8311e382-0749-4cb8-b61a-304f252e45ec
AcrQuarantineReader 从容器注册表中拉取已隔离的映像。 cdda3590-29a3-44f6-95f2-9f980659eb04
AcrQuarantineWriter 将已隔离的映像推送到容器注册表或从中拉取已隔离的映像。 c8d4ff99-41c3-41a8-9f60-21dfdad59608
已启用 Azure Arc 的 Kubernetes 群集用户角色 列出群集用户凭据操作。 00493d72-78f6-4148-b6c5-d3ce8e4799dd
Azure Arc Kubernetes 管理员 允许管理群集/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 dffb1e0c-446f-4dde-a09f-99eb5cc68b96
Azure Arc Kubernetes 群集管理员 允许管理群集中的所有资源。 8393591c-06b9-48a2-a542-1bd6b377f6a2
Azure Arc Kubernetes 查看者 允许查看群集/命名空间中除密码之外的所有资源。 63f0a09d-1495-4db4-a681-037d84835eb4
Azure Arc Kubernetes 写入者 允许更新群集/命名空间中的所有内容,但 (cluster)role 和 (cluster)role 绑定除外。 5b999177-9696-4545-85c7-50de3797e5a1
Azure 容器存储参与者 安装 Azure 容器存储并管理其存储资源。 包括用于约束角色分配的 ABAC 条件。 95dd08a6-00bd-4661-84bf-f6726f83a4d0
Azure 容器存储操作员 启用托管标识以执行 Azure 容器存储操作,例如管理虚拟机和管理虚拟网络。 08d4c71a-cc63-4ce4-a9c8-5dd251b4d619
Azure 容器存储所有者 安装 Azure 容器存储,授予对其存储资源的访问权限,并配置 Azure 弹性存储区域网络 (SAN)。 包括用于约束角色分配的 ABAC 条件。 95de85bd-744d-4664-9dde-11430bc34793
Azure Kubernetes 舰队管理器参与者角色 授予对 Azure Kubernetes 舰队管理器提供的 Azure 资源(包括舰队、舰队成员、舰队更新策略、舰队更新运行等)的读/写访问权限。 63bb64ad-9799-4770-b5c3-24ed299a07bf
Azure Kubernetes 舰队管理器 RBAC 管理员 授予对舰队托管的中心群集中命名空间内的 Kubernetes 资源的读/写访问权限 - 提供对命名空间中的大多数对象的写入权限,但 ResourceQuota 对象和命名空间对象本身除外。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 434fb43a-c01c-447e-9f67-c3ad923cfaba
Azure Kubernetes 舰队管理器 RBAC 群集管理员 授予对舰队托管的中心群集中所有 Kubernetes 资源的读/写访问权限。 18ab4d3d-a1bf-4477-8ad9-8359bc988f69
Azure Kubernetes 舰队管理器 RBAC 读者 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的只读访问权限。 不允许查看角色或角色绑定。 此角色不允许查看机密,因为通过读取机密内容可以访问命名空间中的 ServiceAccount 凭据,这样就会允许以命名空间中任何 ServiceAccount 的身份进行 API 访问(一种特权提升形式)。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 30b27cfc-9c84-438e-b0ce-70e35255df80
Azure Kubernetes 舰队管理器 RBAC 编写者 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的读/写访问权限。 此角色不允许查看或修改角色或角色绑定。 但是,允许此角色以命名空间中任何 ServiceAccount 的身份访问机密,因此可用它获取命名空间中任何 ServiceAccount 的 API 访问级别。  在群集范围内应用此角色将提供对所有命名空间的访问权限。 5af6afb3-c06c-4fa4-8848-71a8aee05683
Azure Kubernetes 服务 Arc 群集管理员角色 列出群集管理员凭据操作。 b29efa5f-7782-4dc3-9537-4d5bc70a5e9f
Azure Kubernetes 服务 Arc 群集用户角色 列出群集用户凭据操作。 233ca253-b031-42ff-9fba-87ef12d6b55f
Azure Kubernetes 服务 Arc 参与者角色 授予讀取和寫入 Azure Kubernetes 服務混合叢集的存取權限 5d3f1697-4507-4d08-bb4a-477695db5f82
Azure Kubernetes 服务群集管理员角色 列出群集管理员凭据操作。 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8
Azure Kubernetes 服务群集监视用户 列出群集监视用户凭据操作。 1afdec4b-e479-420e-99e7-f82237c7c5e6
Azure Kubernetes 服务群集用户角色 列出群集用户凭据操作。 4abbcc35-e782-43d8-92c5-2d3f1bd2253f
Azure Kubernetes 服务参与者角色 授予对 Azure Kubernetes 服务群集的读写访问权限 ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8
Azure Kubernetes 服务 RBAC 管理员 允许管理群集/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 3498e952-d568-435e-9b2c-8d77e338d7f7
Azure Kubernetes 服务 RBAC 群集管理员 允许管理群集中的所有资源。 b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b
Azure Kubernetes 服务 RBAC 读取者 允许进行只读访问并查看命名空间中的大多数对象。 不允许查看角色或角色绑定。 此角色不允许查看机密,因为通过读取机密内容可以访问命名空间中的 ServiceAccount 凭据,这样就会允许以命名空间中任何 ServiceAccount 的身份进行 API 访问(一种特权提升形式)。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 7f6c6a51-bcf8-42ba-9220-52d62157d7db
Azure Kubernetes 服务 RBAC 写入者 允许对命名空间中的大多数对象进行读/写访问。 此角色不允许查看或修改角色或角色绑定。 但是,允许此角色以命名空间中任何 ServiceAccount 的身份访问机密和运行 Pod,因此可用它获取命名空间中任何 ServiceAccount 的 API 访问级别。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb
连接群集托管身份检查访问读取器 允许连接丛集托管身分呼叫 checkAccess API 的内建角色 65a14201-8f6c-4c28-bec4-12619c5a9aaa
Kubernetes 无代理操作员 授予 Microsoft Defender for Cloud 对 Azure Kubernetes 服务的访问权限 d5a2ae44-610b-4500-93be-660a0c5f5ca6
Kubernetes 群集 - Azure Arc 载入 授权任何用户/服务创建 connectedClusters 资源的角色定义 34e09817-6cbe-4d01-b1a2-e0eac5743d41
Kubernetes 扩展参与者 可以创建、更新、获取、列出和删除 Kubernetes 扩展,以及获取扩展异步操作 85cb6faf-e071-4c9b-8136-154b5a04f717
Service Fabric 群集参与者 管理 Service Fabric 群集资源。 包括群集、应用程序类型、应用程序类型版本、应用程序和服务。 将需要额外权限才能部署和管理群集的基础资源,例如虚拟机规模集、存储帐户、网络等。 b6efc156-f0da-4e90-a50a-8c000140b017
Service Fabric 托管群集参与者 部署和管理 Service Fabric 托管群集资源。 包括托管群集、节点类型、应用程序类型、应用程序类型版本、应用程序和服务。 83f80186-3729-438c-ad2d-39e94d718838

数据库

内置角色 说明 ID
连接到 Azure 的 SQL Server 载入 对于已启用 Arc 的服务器上的 SQL Server,允许对 Azure 资源的读取和写入访问。 e8113dce-c529-4d33-91fa-e9b972617508
Cosmos DB 帐户读者角色 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。 fbdf93bf-df7d-467e-a4d2-9458aa1360c8
Cosmos DB 操作员 允许管理 Azure Cosmos DB 帐户,但不能访问其中的数据。 阻止访问帐户密钥和连接字符串。 230815da-be43-4aae-9cb4-875f7bd000aa
CosmosBackupOperator 可以为帐户提交 Cosmos DB 数据库或容器的还原请求 db7b14f2-5adf-42da-9f96-f2ee17bab5cb
CosmosRestoreOperator 可以对连续备份模式下的 Cosmos DB 数据库帐户执行还原操作 5432c526-bc82-444a-b7ba-57c5b0b5b34f
DocumentDB 帐户参与者 可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。 5bd9cd88-fe45-4216-938b-f97437e15450
PostgreSQL 灵活服务器长期保留备份角色 允许备份库访问 PostgreSQL 灵活服务器资源 API 以进行长期保留备份的角色。 c088a766-074b-43ba-90d4-1fb21feae531
Redis 缓存参与者 允许管理 Redis 缓存,但不允许访问这些缓存。 e0f68234-74aa-48ed-b826-c38b57376e17
SQL DB 参与者 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec
SQL 托管实例参与者 允许你管理 SQL 托管实例和必需的网络配置,但无法向其他人授予访问权限。 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d
SQL 安全管理器 允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。 056cd41c-7e88-42e1-933e-88ba6a50c9c3
SQL Server 参与者 允许管理SQL 服务器和数据库,但不允许访问它们及其安全相关策略。 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437

分析

内置角色 说明 ID
Azure 事件中心数据所有者 允许完全访问 Azure 事件中心资源。 f526a384-b230-433a-b45c-95f59c4a2dec
Azure 事件中心数据接收方 允许接收对 Azure 事件中心资源的访问权限。 a638d3c7-ab3a-418d-83e6-5f17a39d4fde
Azure 事件中心数据发送方 允许以发送方式访问 Azure 事件中心资源。 2b629674-e913-4c01-ae53-ef4638d8f975
数据工厂参与者 创建和管理数据工厂,以及其中的子资源。 673868aa-7521-48a0-acc6-0f60742d39f5
数据清除程序 从 Log Analytics 工作区中删除专用数据。 150f5e0c-0603-4f03-8c7f-cf70034c4e90
HDInsight 群集操作员 允许你读取和修改 HDInsight 群集配置。 61ed4efc-fab3-44fd-b111-e24485cc132a
HDInsight 域服务参与者 可以读取、创建、修改和删除 HDInsight 企业安全性套餐所需的域服务相关操作 8d8d5a11-05d3-4bda-a417-a08778121c7c
HDInsight on AKS 群集管理员 授予用户/组在给定集群池中创建、删除和管理集群的权力。 叢集管理員還可以運行工作負載、監控和管理這些叢集上的所有使用者活動。 fd036e6b-1266-47a0-b0bb-a05d04831731
HDInsight on AKS 群集池管理员 可以讀取、建立、修改和刪除 AKS 叢集池上的 HDInsight 以及建立叢集 7656b436-37d4-490a-a4ab-d39f838f0042
Log Analytics 参与者 Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志收集、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。 92aaf0da-9dab-42b6-94a3-d43ce8d16293
Log Analytics 读者 Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。 73c42c96-874c-492b-b04d-ab87d138a893
架构注册表参与者(预览) 读取、写入和删除架构注册表组和架构。 5dffeca3-4936-4216-b2bc-10343a5abb25
架构注册表读取器(预览版) 读取和列出架构注册表组和架构。 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2
流分析查询测试者 可以执行查询测试,而无需先创建流分析作业 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf

AI + 机器学习

内置角色 说明 ID
AgFood 平台感測器合作夥伴貢獻者 提供贡献访问权限以管理 AgFood 平台服务中的传感器相关实体 6b77f0a0-0d89-41cc-acd1-579c22c17a67
AgFood 平台服务管理员 提供 AgFood 平台服务的管理员访问权限 f8da80de-1ff9-4747-ad80-a19b7f6079e3
AgFood平台服务贡献者 提供对 AgFood 平台服务的贡献访问权限 8508508a-4469-4e45-963b-2518ee0bb728
AgFood 平台服务读者 提供对 AgFood 平台服务的读取存取权限 7ec7ccdc-f61e-41fe-9aaf-980df0a44eba
Azure AI 开发人员 除了管理资源本身之外,还可以在 Azure AI 资源中执行所有操作。 64702f94-c441-49e6-a78b-ef80e0188fee
Azure AI 企业网络连接审批者 可以批准与 Azure AI 通用依赖项资源的专用终结点连接 b556d68e-0be0-4f35-a333-ad7ee1ce17ea
Azure AI 推理部署操作员 可以执行在资源组中创建资源部署所需的所有操作。 3afb7f49-54cb-416e-8c09-6dc049efa503
AzureML 计算操作员 可以在机器学习服务托管计算资源(包括笔记本 VM)上访问和执行 CRUD 操作。 e503ece1-11d0-4e8e-8e2c-7a6c3bf38815
AzureML 数据科学家 可以在 Azure 机器学习工作区中执行所有操作,但创建或删除计算资源及修改工作区本身除外。 f6c7c914-8db3-469d-8ca1-694a8f32e121
AzureML 指标编写器(预览版) 允许您将指标写入 AzureML 工作区 635dd51f-9968-44d3-b7fb-6d9a6bd613ae
AzureML 注册表用户 可以对机器学习服务注册表资产执行所有操作并取得注册表资源。 1823dd4f-9b8c-4ab6-ab4e-7397a3684615
认知服务参与者 允许创建、读取、更新、删除和管理认知服务的密钥。 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68
认知服务自定义视觉参与者 对项目的完全访问权限,包括可以查看、创建、编辑或删除项目。 c1ff6cc2-c111-46fe-8896-e0ef812ad9f3
认知服务自定义视觉部署 发布、取消发布或导出模型。 部署可以查看项目,但不能更新项目。 5c4089e1-6d96-4d2f-b296-c1bc7137275f
认知服务自定义视觉标记者 查看、编辑训练图像,创建、添加、移除或删除图像标记。 标记者可以查看项目,但不能更新除训练图像和标记以外的任何内容。 88424f51-ebe7-446f-bc41-7fa16989e96c
认知服务自定义视觉读取者 只读项目中的操作。 读取者不能创建或更新项目。 93586559-c37d-4a6b-ba08-b9f0940c2d73
认知服务自定义视觉训练者 查看、编辑项目和训练模型,包括可以发布、取消发布、导出模型。 训练者不能创建或删除项目。 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b
认知服务数据读者 允许读取认知服务数据。 b59867f0-fa02-499b-be73-45a86b5b3e1c
认知服务人脸识别者 让你可以在人脸 API 上执行“检测”、“验证”、“识别”、“分组”和“查找相似”等操作。 此角色不允许创建或删除操作,因此非常适合只需要对功能进行推理、遵循“最小特权”最佳做法的终结点。 9894cab4-e18a-44aa-828b-cb588cd6f2d7
认知服务沉浸式阅读器用户 提供建立沉浸式阅读器会话和呼叫 API 的存取权限 b2de6794-95db-4659-8781-7e080d3f2b9d
认知服务语言所有者 可以存取语言入口网站下的所有读取、测试、写入、部署和删除功能 f07febfe-79bc-46b1-8b37-790e26e6e498
认知服务语言读取者 可以存取语言入口网站下的读取和测试功能 7628b7b8-a8b2-4cdc-b46f-e9b35248918e
认知服务语言写入者 可以存取语言入口网站下的所有读取、测试和写入功能 f2310ca1-dc64-4889-bb49-c8e0fa3d47a8
认知服务 LUIS 所有者 有权存取 LUIS 下的所有读取、测试、写入、部署和删除功能 f72c8140-2111-481c-87ff-72b910f6e3f8
认知服务 LUIS 读者 可以存取 LUIS 下的读取和测试功能。 18e81cdc-4e98-4e29-a639-e7d10c5a6226
认知服务 LUIS 写入者 可以存取 LUIS 下的所有读取、测试和写入功能 6322a993-d5c9-4bed-b113-e49bbea25b27
认知服务指标顾问管理员 拥有对项目的完全访问权限,包括系统级配置。 cb43c632-a144-4ec5-977c-e80c4affc34a
认知服务指标顾问用户 访问该项目。 3b20f47b-3825-43cb-8114-4bd2201156a8
认知服务 OpenAI 参与者 完全访问权限,包括微调、部署和生成文本的功能 a001fd3d-188f-4b5d-821b-7da978bf7442
认知服务 OpenAI 用户 查看文件、模型、部署的读取访问权限。 创建完成操作和嵌入调用的功能。 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd
认知服务 QnA Maker 编辑者 允许你创建、编辑、导入和导出知识库。 但不能发布或删除知识库。 f4cc2bf9-21be-47a1-bdf1-5c5804381025
认知服务 QnA Maker 读取者 只能读取和测试知识库。 466ccd10-b268-4a11-b098-b4849f024126
认知服务语音参与者 完全存取语音项目,包括读取、写入和删除所有实体,用于即时语音认可和批量转录任务、即时语音合成和长音讯任务、自订语音和自订语音。 0e75ca1e-0464-4b4d-8b93-68208a576181
认知服务语音用户 存取即时语音认可和批次转录API、即时语音合成和长音讯API,以及读取自订模型的资料/测试/模型/端点,但无法建立、删除或修改自订模型的资料/测试/模型/端点。 f2dc8367-1007-4938-bd23-fe263f013447
认知服务使用情况读取者 查看认知服务使用情况的最小权限。 bba48692-92b0-4667-a9ad-c31c7b334ac2
认知服务用户 允许读取和列出认知服务的密钥。 a97b65f3-24c7-4388-baec-2e87135dc908
Health Bot 管理员 具有管理员存取权限的使用者可以登入、检视和编辑所有机器人资源、场景和配置设置,包括机器人实例金钥&金钥。 f1082fec-a70f-419f-9230-885d2550fb38
Health Bot 编辑器 具有编辑存取权限的使用者可以登入、查看和编辑所有机器人资源、场景和配置设置,机器人实例密钥&密钥和最终用户输入(包括反馈、无法识别的话语和对话日志)除外。 对机器人技能和频道的唯读存取权限。 af854a69-80ce-4ff7-8447-f1118a2e0ca8
Health Bot 阅读器 具有读者存取权限的使用者可以登录,对机器人资源、场景和配置设定具有唯读存取权限,机器人实例金钥&金钥(包括身份验证、数据连接和通道金钥)和最终用户输入(包括回馈、无法辨识的话语和对话日志)。 eb5a76d5-50e7-4c33-a449-070e7c9c4cf2
搜索索引数据参与者 授予对 Azure 认知搜索索引数据的完全访问权限。 8ebe5a00-799e-43f5-93ac-243d3dce84a7
搜索索引数据读取者 授予对 Azure 认知搜索索引数据的读取访问权限。 1407120a-92aa-4202-b7e9-c0e197c71c8f
搜索服务参与者 允许管理搜索服务,但不允许访问这些服务。 7ca78c08-252a-4471-8644-bb5ff32d4ba0

物联网

内置角色 说明 ID
Azure 数字孪生数据所有者 对数字孪生数据平面具有完全访问权限的角色 bcd981a7-7f74-457b-83e1-cceb9e632ffe
Azure 数字孪生数据读者 对数字孪生数据平面具有只读权限的角色 d57506d4-4c8d-48b1-8587-93c323f6a5a3
设备预配服务数据参与者 允许对设备预配服务数据平面操作进行完全访问。 dfce44e4-17b7-4bd1-a6d1-04996ec95633
设备预配服务数据读取者 允许对设备预配服务数据平面属性进行完全读取访问。 10745317-c249-44a1-a5ce-3a4353c0bbd8
设备更新管理员 授予你对管理操作和内容操作的完全访问权限 02ca0879-e8e4-47a5-a61e-5c618b76e64a
设备更新内容管理员 授予你对内容操作的完全访问权限 0378884a-3af5-44ab-8323-f5b22f9f3c98
设备更新内容读取者 授予你对内容操作的读取访问权限,但不允许进行更改 d1ee9a80-8b14-47f0-bdc2-f4a351625a7b
设备更新部署管理员 授予你对管理操作的完全访问权限 e4237640-0e3d-4a46-8fda-70bc94856432
设备更新部署读取者 授予你对管理操作的读取访问权限,但不允许进行更改 49e2f5d2-7741-4835-8efa-19e1fe35e47f
设备更新读取者 授予你对管理操作和内容操作的读取访问权限,但不允许进行更改 e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f
固件分析管理员 在 Defender for IoT 中上传和分析韧体映像 9c1607d1-791d-4c68-885d-c7b7aaff7c8a
IoT 中心数据参与者 具有 IoT 中心数据平面操作的完全访问权限。 4fc6c259-987e-4a07-842e-c321cc9d413f
IoT 中心数据读取者 具有 IoT 中心数据平面属性的完全读取访问权限 b447c946-2db7-41ec-983d-d8bf3b1c77e3
IoT 中心注册表参与者 具有 IoT 中心设备注册表的完全访问权限。 4ea46cd5-c1b2-4a8e-910b-273211f9ce47
IoT 中心孪生参与者 具有所有 IoT 中心设备和模块孪生的读写访问权限。 494bdba2-168f-4f31-a0a1-191d2f7c028c

混合现实

内置角色 说明 ID
远程渲染管理员 为用户提供 Azure 远程渲染的转换、管理会话、渲染和诊断功能 3df8b902-2a6f-47c7-8cc5-360e9b272a7e
远程渲染客户端 为用户提供 Azure 远程渲染的管理会话、渲染和诊断功能。 d39065c4-c120-43c9-ab0a-63eed9795f0a

集成

内置角色 说明 ID
API 管理开发人员门户内容编辑器 可以自订开发人员门户、编辑其内容并发布。 c031e6a8-4391-4de0-8d69-4706a7ed3729
API 管理服务参与者 可以管理服务和 API 312a565d-c81f-4fd8-895a-4e21e48d571c
API 管理服务操作员角色 可以管理服务,但不可管理 API e022efe7-f5ba-4159-bbe4-b44f577e9b61
API 管理服务读者角色 对服务和 API 的只读访问权限 71522526-b88f-4d52-b57f-d31fc3546d0d
API Management 服务工作区 API 开发人员 对标记和产品拥有读取访问权限,并拥有以下写入访问权限:将 API 分配到产品、将标记分配到产品和 API。 应在服务范围内分配此角色。 9565a273-41b9-4368-97d2-aeb0c976a9b3
API 管理服务工作区 API 产品经理 具有与 API 管理服务工作区 API 开发人员相同的访问权限,对用户具有读取访问权限,并且具有写入访问权限,可允许将用户分配给组。 应在服务范围内分配此角色。 d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da
API 管理工作区 API 开发人员 对工作区中的实体具有读取访问权限,并对用于编辑 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 56328988-075d-4c6a-8766-d93edd6725b6
API 管理工作区 API 产品经理 对工作区中的实体具有读取访问权限,并对用于发布 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 73c2c328-d004-4c5e-938c-35c6f5679a1f
API 管理工作区参与者 可以管理工作区和视图,但不能修改其成员。 应在工作区范围内分配此角色。 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799
API 管理工作区读者 对工作区中的实体具有只读访问权限。 应在工作区范围内分配此角色。 ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2
应用程式配置贡献者 授予对应用程式配置资源的所有管理操作(清除除外)的权限。 fe86443c-f201-4fc4-9d2a-ac61149fbda0
应用程序配置数据所有者 允许对应用程序配置数据进行完全访问。 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b
应用程序配置数据读取者 允许对应用程序配置数据进行读取访问。 516239f1-63e1-4d78-a4de-a74fb236a071
应用程式配置读取器 授予应用程式配置资源的读取操作权限。 175b81b9-6e0d-490a-85e4-0d422273c10c
Azure API 中心合规性管理者 允许管理 Azure API 中心服务中的 API 合规性。 ede9aaa3-4627-494e-be13-4aa7c256148d
Azure API 中心数据读取者 允许访问 Azure API 中心数据平面读取操作。 c7244dfb-f447-457d-b2ba-3999044d1706
Azure API 中心服务参与者 允许管理 Azure API 中心服务。 dd24193f-ef65-44e5-8a7e-6fa6e03f7713
Azure API 中心服务读取者 允许对 Azure API 中心服务进行只读访问。 6cba8790-29c5-48e5-bab1-c7541b01cb04
Azure 中继侦听器 允许侦听对 Azure 中继资源的访问。 26e0b698-aa6d-4085-9386-aadae190014d
Azure 中继所有者 允许完全访问 Azure 中继资源。 2787bf04-f1f5-4bfe-8383-c8a24483ee38
Azure 中继发送方 允许发送对 Azure 中继资源的访问权限。 26baccc8-eea7-41f1-98f4-1762cc7f685d
Azure 资源通知系统主题订阅者 允许您在 Azure 资源通知目前和将来公开的所有系统主题上建立系统主题和事件订阅 0b962ed2-6d56-471c-bd5f-3477d83a7ba4
Azure 服务总线数据所有者 允许完全访问 Azure 服务总线资源。 090c5cfd-751d-490a-894a-3ce6f1109419
Azure 服务总线数据接收方 允许对 Azure 服务总线资源进行接收访问。 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0
Azure 服务总线数据发送方 允许对 Azure 服务总线资源进行发送访问。 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39
BizTalk 参与者 允许管理 BizTalk 服务,但不允许访问这些服务。 5e3c6656-6cfa-4708-81fe-0de47ac73342
商会管理员 让您管理建模和仿真 Workbench 内的一切。 4e9b8407-af2e-495b-ae54-bb60a55b1b5a
商会用户 允许您查看建模和模拟Workbench下的所有内容,但不进行任何变更。 4447db05-44ed-4da3-ae60-6cbece780e32
DeID 批处理数据所有者 创建和管理 DeID 批处理作业。 此角色处于预览版阶段,可能会有所更改。 8a90fa6b-6997-4a07-8a95-30633a7c97b9
DeID 批处理数据读取者 读取 DeID 批处理作业。 此角色处于预览版阶段,可能会有所更改。 b73a14ee-91f5-41b7-bd81-920e12466be9
DeID 数据所有者 完全访问 DeID 数据。 此角色处于预览版阶段,可能会有所更改 78e4b983-1a0b-472e-8b7d-8d770f7c5890
DeID 实时数据用户 针对 DeID 实时终结点执行请求。 此角色处于预览版阶段,可能会有所更改。 bb6577c4-ea0a-40b2-8962-ea18cb8ecd4e
DICOM 资料所有者 完全存取 DICOM 资料。 58a3b984-7adf-4c20-983a-32417c86fbc8
DICOM 数据读取器 读取和搜寻 DICOM 数据。 e89c7a3c-2f64-4fa1-a847-3e4c9ba4283a
EventGrid 参与者 可以管理 EventGrid 操作。 1e241071-0855-49ea-94dc-649edcd759de
EventGrid 数据发送方 允许发送对事件网格事件的访问权限。 d5a91429-5739-47e2-a06b-3470a27159e7
EventGrid EventSubscription 参与者 可以管理 EventGrid 事件订阅操作。 428e0ff0-5e57-4d9c-a221-2c70d0e0a443
EventGrid EventSubscription 读者 可以读取 EventGrid 事件订阅。 2414bbcf-6497-4faf-8c65-045460748405
EventGrid TopicSpaces 发布者 允许您在主题空间上发布讯息。 a12b0b94-b317-4dcd-84a8-502ce99884c6
EventGrid TopicSpaces 订阅者 允许您订阅主题空间上的消息。 4b0f2fd7-60b4-4eca-896f-4435034f8bf5
FHIR 数据参与者 角色允许用户或主体完全访问 FHIR 数据 5a1fc7df-4bf1-4951-a576-89034ee01acd
FHIR 资料转换器 角色允许使用者或委托人将资料从旧格式转换为 FHIR a1705bd2-3a8f-45a5-8683-466fcfd5cc24
FHIR 数据导出者 角色允许用户或主体读取和导出 FHIR 数据 3db33094-8700-4567-8da5-1501d4e7e843
FHIR 数据导入者 该角色允许用户或主体读取和导入 FHIR 数据 4465e953-8ced-4406-a58e-0f6e3f3b530b
FHIR 数据读取者 角色允许用户或主体读取 FHIR 数据 4c8d0bbc-75d3-4935-991f-5f3c56d81508
FHIR 数据写入者 角色允许用户或主体读取和写入 FHIR 数据 3f88fce4-5892-4214-ae73-ba5294559913
FHIR SMART 用户 角色允许使用者根据 SMART on FHIR 规格存取 FHIR 服务 4ba50f17-9666-485c-a643-ff00808643f0
集成服务环境参与者 允许管理集成服务环境,但不允许访问这些环境。 a41e2c5b-bd99-4a07-88f4-9bf657a760b8
集成服务环境开发人员 允许开发人员在集成服务环境中创建和更新工作流、集成帐户与 API 连接。 c7aa55d3-1abb-444a-a5ca-5e51e485d6ec
Intelligent Systems 帐户参与者 允许管理智能系统帐户,但不允许访问这些帐户。 03a6d094-3444-4b3d-88af-7477090a9e5e
逻辑应用参与者 允许管理逻辑应用,但不允许更改其访问权限。 87a39d53-fc1b-424a-814c-f7e04687dc9e
逻辑应用操作员 允许读取、启用和禁用逻辑应用,但不允许编辑或更新它们。 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe
标准型逻辑应用参与者(预览版) 可以管理标准逻辑应用和工作流的各个方面。 不能更改访问权限或所有权。 ad710c24-b039-4e85-a019-deb4a06e8570
标准型逻辑应用开发者(预览版) 可以为标准逻辑应用创建和编辑工作流、连接和设置。 不能在工作流范围之外进行更改。 523776ba-4eb2-4600-a3c8-f2dc93da4bdb
标准型逻辑应用操作者(预览版) 你可以启用和禁用逻辑应用、重新提交工作流运行,以及创建连接。 不能编辑工作流或设置。 b70c96e9-66fe-4c09-b6e7-c98e69c98555
标准型逻辑应用读取者(预览版) 对标准型逻辑应用和工作流中的所有资源(包括工作流运行及其历史记录)具有只读访问权限。 4accf36b-2c05-432f-91c8-5c532dff4c73
计划程序作业集合参与者 允许管理计划程序作业集合,但不允许访问这些集合。 188a0f2f-5c9e-469b-ae67-2aa5ce574b94
服务中心操作员 “服务中心操作员”允许你执行与服务中心连接器相关的所有读取、写入和删除操作。 82200a5b-e217-47a5-b665-6d8765ee745b

标识

内置角色 说明 ID
域服务参与者 可以管理 Azure AD 域服务和相关网络配置 eeaeda52-9324-47f6-8069-5d5bade478b2
域服务读取者 可以查看 Azure AD 域服务和相关网络配置 361898ef-9ed1-48c2-849c-a832951106bb
托管的标识参与者 创建、读取、更新和删除用户分配的标识 e40ec5ca-96e0-45a2-b4ff-59039f2c2b59
托管的标识操作员 读取和分配用户分配的标识 f1a07417-d97a-45cb-824c-7a7467783830

安全性

内置角色 说明 ID
应用合规性自动化管理员 创建、读取、下载、修改和删除报表对象及其他相关的资源对象。 0f37683f-2463-46b6-9ce7-9b788b988ba2
应用合规性自动化读取者 读取和下载报表对象及其他相关的资源对象。 ffc6bbe0-e443-4c3b-bf54-26581bb2f78e
证明参与者 可读写或删除证明提供者实例 bbf86eb8-f7b4-4cce-96e4-18cddf81d86e
证明读取者 可以读取证明提供程序属性 fd1bd22b-8476-40bc-a0bc-69b95687b9f3
Key Vault 管理员 对密钥保管库以及其中的所有对象(包括证书、密钥和机密)执行所有数据平面操作。 无法管理密钥保管库资源或管理角色分配。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 00482a5a-887f-4fb3-b363-3b7fe8e74483
密钥保管库证书用户 读取证书内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 db79e9a7-68ee-4b58-9aeb-b90e7c24fcba
Key Vault 证书管理人员 对密钥保管库的证书执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 a4417e6f-fecd-4de8-b567-7b0420556985
密钥保管库参与者 管理密钥保管库,但不允许在 Azure RBAC 中分配角色,也不允许访问机密、密钥或证书。 f25e0fa2-a7c8-4377-a976-54943a77a395
Key Vault 加密管理人员 对密钥保管库的密钥执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 14b46e9e-c2b7-41b4-b07b-48a6ebf60603
密钥保管库加密服务加密用户 读取密钥的元数据并执行包装/展开操作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 e147488a-f6f5-4113-8e2d-b22465e65bf6
密钥保管库加密服务发布用户 发布密钥。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 08bbd89e-9f13-488c-ac41-acfcb10c90ab
Key Vault 加密用户 使用密钥执行加密操作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 12338af0-0e69-4776-bea7-57ae8d297424
密钥保管库数据访问管理员 通过添加或删除 Key Vault 管理员、Key Vault 证书主管、Key Vault 加密管理人员、Key Vault 加密服务加密用户、Key Vault 加密用户、Key Vault 加密用户、Key Vault 读取者、Key Vault 机密主管或 Key Vault 机密用户角色来管理对 Azure Key Vault 的访问。 包括用于约束角色分配的 ABAC 条件。 8b54135c-b56d-4d72-a534-26097cfdc8d8
Key Vault 读取者 读取密钥保管库及其证书、密钥和机密的元数据。 无法读取机密内容或密钥材料等敏感值。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 21090545-7ca7-4776-b22c-e363652d74d2
Key Vault 机密管理人员 对密钥保管库的机密执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 b86a8fe4-44ce-4948-aee5-eccb2c155cd7
Key Vault 机密用户 读取机密内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 4633458b-17de-408a-b874-0445c86b69e6
托管 HSM 参与者 允许你管理托管 HSM 池,但不允许访问这些池。 18500a29-7fe2-46b2-a342-b16a415e101d
Microsoft Sentinel 自动化参与者 Microsoft Sentinel 自动化参与者 f4c81013-99ee-4d62-a7ee-b3f1f648599a
Microsoft Sentinel 参与者 Microsoft Sentinel 参与者 ab8e14d6-4a74-4a29-9ba8-549422addade
Microsoft Sentinel Playbook 操作员 Microsoft Sentinel Playbook 操作员 51d6186e-6489-4900-b93f-92e23144cca5
Microsoft Sentinel 读取者 Microsoft Sentinel 读取者 8d289c81-5878-46d4-8554-54e1e3d8b5cb
Microsoft Sentinel 响应者 Microsoft Sentinel 响应者 3e150937-b8fe-4cfb-8069-0eaf05ecd056
安全管理员 查看和更新 Microsoft Defender for Cloud 的权限。 与安全读取者角色具有相同的权限,还可以更新安全策略并关闭警报和建议。

对于 Microsoft Defender for IoT,请参阅用于 OT 和企业 IoT 监视的 Azure 用户角色
fb1c8493-542b-48eb-b624-b4c8fea62acd
安全评估参与者 可将评估推送到 Microsoft Defender for Cloud 612c2aa1-cb24-443b-ac28-3ab7272de6f5
安全管理器(旧版) 这是旧角色。 请改用安全管理员。 e3d13bf0-dd5a-482e-ba6b-9b8433878d10
安全读取者 查看 Microsoft Defender for Cloud 的权限。 可以查看但不能更改建议、警报、安全策略和安全状态。

对于 Microsoft Defender for IoT,请参阅用于 OT 和企业 IoT 监视的 Azure 用户角色
39bc4728-0917-49c7-9d2c-d95423bc2eb4

DevOps

内置角色 说明 ID
部署环境读取器 提供对环境资源的读取访问权限。 eb960402-bf75-4cc3-8d68-35b34f960f72
部署环境用户 提供管理环境资源的访问权限。 18e40d4e-8d2e-438d-97e1-9528336e149c
DevCenter Dev Box 用户 提供创建和管理开发框的访问权限。 45d50f46-0b78-4001-a660-4198cbe8cd05
DevCenter 项目管理员 提供管理项目资源的访问权限。 331c37c6-af14-46d9-b9f4-e1909e1b95a0
DevTest 实验室用户 允许连接、启动、重启和关闭 Azure 开发测试实验室中的虚拟机。 76283e04-6283-4c54-8f91-bcf1374a3c64
实验室助理 允许查看现有实验室、在实验室 VM 上执行操作,以及向实验室发送邀请。 ce40b423-cede-4313-a93f-9b28290b72e1
实验室参与者 适用于实验室级别,允许管理实验室。 适用于资源组,允许创建和管理实验室。 5daaa2af-1fe8-407c-9122-bba179798270
实验室创建者 允许在 Azure 实验室帐户下新建实验室。 b97fb8bc-a8b2-4522-a38b-dd33c7e65ead
实验室操作员 允许有限地管理现有实验室。 a36e6959-b6be-4b12-8e9f-ef4b474d304d
实验室服务参与者 允许完全控制资源组中的所有实验室服务方案。 f69b8690-cc87-41d6-b77a-a4bc3c0a966f
实验室服务读取者 允许查看所有实验室计划和实验室资源,但不允许更改。 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc
负载测试参与者 查看、创建、更新、删除和执行负载测试。 查看并列出负载测试资源,但不能进行任何更改。 749a398d-560b-491b-bb21-08924219302e
负载测试所有者 对负载测试资源和负载测试执行所有操作 45bb0b16-2f0c-4e78-afaa-a07599b003f6
负载测试读取者 查看并列出所有负载测试和负载测试资源,但不能进行任何更改 3ae3fb29-0000-4ccd-bf80-542e7b26e081

监视

内置角色 说明 ID
Application Insights 组件参与者 可管理 Application Insights 组件 ae349356-3a1b-4a5e-921d-050484c6347e
Application Insights 快照调试器 授予用户查看和下载使用 Application Insights Snapshot Debugger 收集的调试快照的权限。 请注意,所有者参与者角色不包括这些权限。 在向用户授予 Application Insights Snapshot Debugger 角色时,必须将该角色直接授予用户。 将角色添加到自定义角色时,无法识别该角色。 08954f03-6346-4c2e-81c0-ec3a5cfae23b
Azure 托管 Grafana 工作区参与者 可以管理 Azure 托管 Grafana 资源,无需提供对工作区本身的访问权限。 5c2d7e57-b7c2-4d8a-be4f-82afa42c6e95
Grafana 管理员 管理伺服器范围的设定并管理对组织、使用者和许可证等资源的存取。 22926164-76b3-42b3-bc55-97df8dab3e41
Grafana 编辑者 建立、编辑、删除或检视仪表板;建立、编辑或删除资料夹;并编辑或查看播放清单。 a79a5197-3a5c-4973-a920-486035ffd60f
Grafana 受限查看者 看主页。 41e04612-9dac-4699-a02b-c82ff2cc3fb5
Grafana 查看者 查看仪表板、播放清单和查询资料来源。 60921a7e-fef1-4a43-9b16-a26c52ad4769
监视参与者 可以读取所有监视数据和编辑监视设置。 另请参阅 Azure Monitor 的角色、权限和安全入门 749f88d5-cbae-40b8-bcfc-e573ddc772fa
监视指标发布者 允许针对 Azure 资源发布指标 3913510d-42f4-4e42-8a64-420c390055eb
监视读取者 可以读取所有监视数据(指标、日志等)。 另请参阅 Azure Monitor 的角色、权限和安全入门 43d0d8ad-25c7-4714-9337-8ba259a9fe05
工作簿参与者 可以保存共享的工作簿。 e8ddcd69-c73f-4f9f-9844-4100522f16ad
工作簿读者 可以读取工作簿。 b279062a-9be3-42a0-92ae-8b3cf002ec4d

管理和治理

内置角色 说明 ID
顾问建议参与者(评估和评审) 查看评估建议、接受的审查建议并管理建议生命周期(将建议标记为已完成、推迟或忽略、进行中或未开始)。 6b534d80-e337-47c4-864f-140f5c7f593d
顾问评审参与者 查看针对工作负荷的评审并会审与之关联的建议。 8aac15f0-d885-4138-8afa-bfb5872f7d13
顾问评审读者 查看针对工作负荷的评审以及与之关联的建议。 c64499e0-74c3-47ad-921c-13865957895c
自动化参与者 使用 Azure 自动化管理 Azure 自动化资源和其他资源。 f353d9bd-d4a6-484e-a77a-8050b599b867
自动化作业操作员 使用自动化 Runbook 创建和管理作业。 4fe576fe-1146-4730-92eb-48519fa6bf9f
自动化操作员 自动化操作员能够启动、停止、暂停和恢复作业 d3881f73-407a-4167-8283-e981cbba0404
自动化 Runbook 操作员 读取 Runbook 属性 - 以能够创建 runbook 的作业。 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5
Azure SAP 解决方案中心管理员 此角色提供對 Azure Center for SAP 解決方案的所有功能的讀寫存取權。 7b0c7e81-271f-4c71-90bf-e30bdfdbc2f7
Azure SAP 解決方案中心讀者 Azure SAP 解決方案中心讀者 05352d14-a920-4328-a0de-4cbe7430e26b
Azure SAP 解决方案中心服务角色 Azure Center for SAP 解決方案服務角色 - 此角色旨在用於指派給使用者的託管識別碼提供權限。 Azure Center for SAP 解決方案將使用此識別碼來部署和管理 SAP 系統。 aabbc5dd-1af0-458b-a942-81af88f9c138
Azure Connected Machine 加入 可以加入 Azure Connected Machine。 b64e21ea-ac4e-4cdf-9dc9-5b892992bee7
Azure Connected Machine 资源管理员 可以读取、写入、删除和重新加入 Azure Connected Machine。 cd570a14-e51a-42ad-bac8-bafd67325302
Azure Connected Machine 资源管理员 AzureStackHCI RP 的自定义角色,负责管理资源组中的混合计算机和混合连接终结点 f5819b54-e033-4d82-ac66-4fec3cbf3f4c
订阅的 Azure 客户密码箱审核者 在订阅所在的租户上启用 azure 的客户密码 Microsoft箱时,可以批准Microsoft支持请求来访问订阅中包含的特定资源或订阅本身。 4dae6930-7baf-46f5-909e-0383bc931c46
计费读者 允许对帐单数据进行读取访问 fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64
蓝图参与者 可以管理蓝图定义,但不能对其进行分配。 41077137-e803-4205-871c-5a86e6a753b4
蓝图操作员 可以指定现有已发布的蓝图,但不能创建新的蓝图。 请注意:仅当使用用户分配的托管标识完成分配时,此分配才有效。 437d2ced-4a38-4302-8479-ed2bcb43d090
碳优化读者 允许对 Azure 碳优化数据进行读取访问 fa0d39e6-28e5-40cf-8521-1eb320653a4c
成本管理参与者 可以查看成本和管理成本配置(例如预算、导出) 434105ed-43f6-45c7-a02f-909b2ba83430
成本管理读者 可以查看成本数据和配置(例如预算、导出) 72fafb9e-0641-4937-9268-a91bfd8191a3
层次结构设置管理员 允许用户编辑和删除层次结构设置 350f8d15-c687-4448-8ae1-157740a3936d
托管应用程序参与者角色 允许创建托管应用程序资源。 641177b8-a67a-45b9-a033-47bc880bb21e
托管应用程序操作员角色 可让你在托管应用程序资源上读取和执行操作 c7393b34-138c-406f-901b-d8cf2b17e6ae
托管应用程序读者 允许读取托管应用中的资源并请求 JIT 访问。 b9331d33-8a36-4f8c-b097-4f54124fdb44
托管服务注册分配删除角色 托管服务注册分配删除角色允许管理租户用户删除分配给其租户的注册分配。 91c1777a-f3dc-4fae-b103-61d183457e46
管理组参与者 管理组参与者角色 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c
管理组读取者 管理组读取者角色 ac63b705-f282-497d-ac71-919bf39d939d
New elic APM 帐户参与者 允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。 5d28c62d-5b37-4476-8438-e587778df237
策略见解数据编写者(预览) 允许对资源策略进行读取访问,并允许对资源组件策略事件进行写入访问。 66bb4e9e-b016-4a94-8249-4c0511c2be84
配额请求操作员 读取和创建配额请求,获取配额请求状态并创建支持票证。 0e5f05e5-9ab9-446b-b98d-1e2157c94125
预留买方 允许你购买预留 f7b75c60-3036-4b75-91c3-6b41c27c1689
预留读者 允许用户读取租户中的所有预留 582fc458-8989-419f-a480-75249bc5db7e
资源策略参与者 有权创建/修改资源策略、创建支持票证和读取资源/层次结构的用户。 36243c78-bf99-498c-9df9-86d9f8d28608
储蓄计划购买者 让您购买储蓄计划 3d24a3a0-c154-4f6f-a5ed-adc8e01ddb74
计划修补参与者 提供访问权限以管理具有维护范围 InGuestPatch 和相应配置分配的维护配置 cd08ab90-6b14-449c-ad9a-8f8e549482c6
Site Recovery 参与者 允许管理除保管库创建和角色分配外的 Site Recovery 服务 6670b86e-a3f7-4917-ac9b-5d6ab1be4567
Site Recovery 操作员 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作 494ae006-db33-4328-bf46-533a6560a3ca
Site Recovery 读取者 允许查看 Site Recovery 状态,但不允许执行其他管理操作 dbaa88c4-0c30-4179-9fb3-46319faa6149
支持请求参与者 允许创建和管理支持请求 cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e
标记参与者 允许你管理实体上的标记,而无需提供对实体本身的访问权限。 4a9ae827-6dc8-4573-8ac7-8239d42aa03f
模板规格参与者 允许在分配的范围内对模板规格操作进行完全访问。 1c9b6475-caf0-4164-b5a1-2142a7116f4b
模板规格读取者 允许在分配的范围内对模板规格进行读取访问。 392ae280-861d-42bd-9ea5-08ee6d83b80e

混合 + 多云

内置角色 说明 ID
Azure 资源网桥部署角色 Azure 资源网桥部署角色 7b1f81f9-4196-4058-8aae-762e593270df
Azure Stack HCI 管理员 授予对群集及其资源的完全访问权限,包括注册 Azure Stack HCI 并将其他人分配为 Azure Arc HCI VM 参与者和/或 Azure Arc HCI VM 读者的权限 bda0d508-adf1-4af0-9c28-88919fc3ae06
Azure Stack HCI 连接的基础结构 Azure Stack HCI 基础结构虚拟机 Arc 集成的角色。 c99c945f-8bd1-4fb1-a903-01460aae6068
Azure Stack HCI 设备管理角色 Microsoft.AzureStackHCI 设备管理角色 865ae368-6a45-4bd1-8fbf-0d5151f56fc1
Azure Stack HCI VM 参与者 授予执行所有 VM 操作的权限 874d1c73-6003-4e60-a13a-cb31ea190a85
Azure Stack HCI VM 读者 授予查看 VM 的权限 4b3fe76c-f777-4d24-a2d7-b027b0f7b273
Azure Stack 注册所有者 允许管理 Azure Stack 注册。 6f12a6df-dd06-4f3e-bcb1-ce8be600526a
混合式伺服器资源管理员 可以读取、写入、删除混合伺服器以及将混合伺服器重新载入到混合资源提供者。 48b40c6e-82e0-4eb3-90d5-19e40f49b624

后续步骤