你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 内置角色
Azure 基于角色的访问控制 (Azure RBAC) 拥有多个 Azure 内置角色,可将其分配给用户、组、服务主体和托管标识。 角色分配是控制对 Azure 资源的访问的方式。 如果内置角色不能满足组织的特定需求,你可以创建自己的 Azure 自定义角色。 有关如何分配角色的信息,请参阅分配 Azure 角色的步骤。
本文列出了 Azure 内置角色。 如果要查找 Microsoft Entra ID 的管理员角色,请参阅 Microsoft Entra 内置角色。
下表提供了每个内置角色的简短说明。 单击角色名称,查看每个角色的 Actions
、NotActions
、DataActions
和 NotDataActions
列表。 有关这些操作的含义以及它们如何应用于控制和数据平面的信息,请参阅了解 Azure 角色定义。
有特权
内置角色 | 说明 | ID |
---|---|---|
参与者 | 授予完全访问权限来管理所有资源,但不允许在 Azure RBAC 中分配角色或在 Azure 蓝图中管理分配,也不允许共享映像库。 | b24988ac-6180-42a0-ab88-20f7382dd24c |
所有者 | 授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
预留管理员 | 允许用户读取和管理租户中的所有预留 | a8889054-8d42-49c9-bc1c-52486c10e7cd |
基于角色的访问控制管理员 | 通过使用 Azure RBAC 分配角色来管理对 Azure 资源的访问。 此角色不允许使用其他方式(如 Azure Policy)管理访问权限。 | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
用户访问管理员 | 允许管理用户对 Azure 资源的访问权限。 | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
常规
内置角色 | 说明 | ID |
---|---|---|
读者 | 查看所有资源,但不允许进行任何更改。 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
计算
内置角色 | 说明 | ID |
---|---|---|
Azure Arc VMware VM 参与者 | Arc VMware VM 参与者有权执行所有 VM 操作。 | b748a06d-6150-4f8a-aaa9-ce3940cd96cb |
经典虚拟机参与者 | 允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
Compute Gallery 工件发布者 | 这是可发布库工件的角色。 | 85a2d0d9-2eba-4c9c-b355-11c2cc0788ab |
Compute Gallery 共享管理员 | 此角色允许用户将库共享给另一个订阅/租户,或共享给公众。 | 1ef6a3be-d0ac-425d-8c01-acb62866290b |
托管磁盘的数据操作员 | 提供使用 SAS URI 和 Azure AD 身份验证将数据上传到空托管磁盘、读取或导出托管磁盘(未附加到正在运行的 VM)的数据和快照的权限。 | 959f8984-c045-4866-89c7-12bf9737be2e |
桌面虚拟化应用程序组参与者 | 桌面虚拟化应用程序组参与者。 | 86240b0e-9422-4c43-887b-b61143f32ba8 |
桌面虚拟化应用程序组读取者 | 桌面虚拟化应用程序组读取者。 | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
桌面虚拟化参与者 | 桌面虚拟化参与者。 | 082f0a83-3be5-4ba1-904c-961cca79b387 |
桌面虚拟化主机池参与者 | 桌面虚拟化主机池参与者。 | e307426c-f9b6-4e81-87de-d99efb3c32bc |
桌面虚拟化主机池读取者 | 桌面虚拟化主机池读取者。 | ceadfde2-b300-400a-ab7b-6143895aa822 |
桌面虚拟化启用参与者 | 向 Azure 虚拟桌面资源提供程序提供启动虚拟机的权限。 | 489581de-a3bd-480d-9518-53dea7416b33 |
桌面虚拟化开/关参与者 | 向 Azure 虚拟桌面资源提供程序提供启动和停止虚拟机的权限。 | 40c5ff49-9181-41f8-ae61-143b0e78555e |
桌面虚拟化读取者 | 桌面虚拟化读取者。 | 49a72310-ab8d-41df-bbb0-79b649203868 |
桌面虚拟化会话主机操作员 | 桌面虚拟化会话主机操作员。 | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
桌面虚拟化用户 | 允许用户使用应用程序组中的应用程序。 | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
桌面虚拟化用户会话操作员 | 桌面虚拟化用户会话操作员。 | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
桌面虚拟化虚拟机参与者 | 此角色处于预览版阶段,可能会有所更改。 向 Azure 虚拟桌面资源提供程序提供创建、删除、更新、启动和停止虚拟机的权限。 | a959dbd1-f747-45e3-8ba6-dd80f235f97c |
桌面虚拟化工作区参与者 | 桌面虚拟化工作区参与者。 | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
桌面虚拟化工作区读取者 | 桌面虚拟化工作区读取者。 | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
磁盘备份读取者 | 向备份保管库提供执行磁盘备份的权限。 | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
磁盘池操作员 | 向 StoragePool 资源提供程序提供管理添加到磁盘池的磁盘的权限。 | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
磁盘还原操作员 | 向备份保管库提供执行磁盘还原的权限。 | b50d9833-a0cb-478e-945f-707fcc997c13 |
磁盘快照参与者 | 向备份保管库提供管理磁盘快照的权限。 | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
虚拟机管理员登录 | 在门户中查看虚拟机并以管理员身份登录 | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
虚拟机参与者 | 创建并管理虚拟机、管理磁盘、安装并运行软件、使用 VM 扩展重置虚拟机根用户的密码,以及使用 VM 扩展管理本地用户帐户。 此角色不会授予你对虚拟机连接到的虚拟网络或存储帐户的管理访问权限。 此角色不允许在 Azure RBAC 中分配角色。 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
虚拟机数据访问管理员(预览版) | 通过添加或删除“虚拟机管理员登录名”角色和“虚拟机用户登录名”角色的角色分配来管理对虚拟机的访问。 包括用于约束角色分配的 ABAC 条件。 | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
虚拟机本地用户登录 | 在门户中查看虚拟机,并以在 Arc 服务器上配置的本地用户身份登录 | 602da2ba-a5c2-41da-b01d-5360126ab525 |
虚拟机用户登录 | 在门户中查看虚拟机并以普通用户身份登录。 | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Windows 365 网络接口参与者 | Windows 365 使用此角色来预配所需的网络资源,并将 Microsoft 托管的 VM 加入到网络接口。 | 1f135831-5bbe-4924-9016-264044c00788 |
Windows 365 网络用户 | Windows 365 使用此角色来读取虚拟网络并加入指定的虚拟网络。 | 7eabc9a4-85f7-4f71-b8ab-75daaccc1033 |
Windows Admin Center 管理员登录 | 允许以管理员身份通过 Windows Admin Center 管理资源的 OS。 | a6333a3e-0164-44c3-b281-7a577aff287f |
网络
内置角色 | 说明 | ID |
---|---|---|
Azure Front Door 域参与者 | 供 Azure 内部使用。 可以管理 Azure Front Door 域,但不能向其他用户授予访问权限。 | 0ab34830-df19-4f8c-b84e-aa85b8afa6e8 |
Azure Front Door 域读取者 | 供 Azure 内部使用。 可以查看 Azure Front Door 域,但不能进行更改。 | 0f99d363-226e-4dca-9920-b807cf8e1a5f |
Azure Front Door 配置文件读取者 | 可以查看 AFD 标准和高级配置文件及其终结点,但不能进行更改。 | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
Azure Front Door 机密参与者 | 供 Azure 内部使用。 可以管理 Azure Front Door 机密,但不能向其他用户授予访问权限。 | 3f2eb865-5811-4578-b90a-6fc6fa0df8e5 |
Azure Front Door 机密读取者 | 供 Azure 内部使用。 可以查看 Azure Front Door 机密,但不能进行更改。 | 0db238c4-885e-4c4f-a933-aa2cef684fca |
CDN 终结点参与者 | 可以管理 CDN 终结点,但不能向其他用户授予访问权限。 | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
CDN 终结点读者 | 可以查看 CDN 终结点,但不能进行更改。 | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
CDN 配置文件参与者 | 可以管理 CDN 和 Azure Front Door 标准和高级配置文件及其终结点,但不能向其他用户授予访问权限。 | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
CDN 配置文件读者 | 可以查看 CDN 配置文件及其终结点,但不能进行更改。 | 8f96442b-4075-438f-813d-ad51ab4019af |
经典网络参与者 | 允许管理经典网络,但不允许访问这些网络。 | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
DNS 区域参与者 | 允许管理 Azure DNS 中的 DNS 区域和记录集,但不允许控制对其访问的人员。 | befefa01-2a29-4197-83a8-272ff33ce314 |
网络参与者 | 允许管理网络,但不允许访问这些网络。 此角色不授予部署或管理虚拟机的权限。 | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
专用 DNS 区域参与者 | 允许管理专用 DNS 区域资源,但不允许管理它们所链接到的虚拟网络。 | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
流量管理器参与者 | 允许管理流量管理器配置文件,但不允许控制谁可以访问它们。 | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
存储
内置角色 | 说明 | ID |
---|---|---|
Avere 参与者 | 可以创建和管理 Avere vFXT 群集。 | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
Avere 操作员 | Avere vFXT 群集用来管理群集 | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
备份参与者 | 允许管理备份服务,但不允许创建保管库以及授予其他人访问权限 | 5e467623-bb1f-42f4-a55d-6e525e11384b |
备份 MUA 管理员 | 备份多用户授权。 可以创建/删除 ResourceGuard | c2a970b4-16a7-4a51-8c84-8a8ea6ee0bb8 |
备份 MUA 操作员 | 备份多用户授权。 允许用户执行受 resourceguard 保护的关键操作 | f54b6d04-23c6-443e-b462-9c16ab7b4a52 |
备份操作员 | 允许管理备份服务,但删除备份、创建保管库以及授予其他人访问权限除外 | 00c29273-979b-4161-815c-10b084fb9324 |
备份读者 | 可以查看备份服务,但是不能进行更改 | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
经典存储帐户参与者 | 允许管理经典存储帐户,但不允许对其进行访问。 | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
经典存储帐户密钥操作员服务角色 | 允许经典存储帐户密钥操作员在经典存储帐户上列出和再生成密钥 | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
Data Box 参与者 | 可让你管理 Data Box 服务下的所有内容,但不能向其他人授予访问权限。 | add466c9-e687-43fc-8d98-dfcf8d720be5 |
Data Box 读者 | 可让你管理 Data Box 服务,但不能创建订单或编辑订单详细信息,以及向其他人授予访问权限。 | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
Data Lake Analytics 开发人员 | 允许提交、监视和管理自己的作业,但是不允许创建或删除 Data Lake Analytics 帐户。 | 47b7735b-770e-4598-a7da-8b91488b4c88 |
Defender for Storage 数据扫描程序 | 授予读取 blob 和更新索引标记所需的访问权限。 此角色由 Defender for Storage 的数据扫描程序使用。 | 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40 |
弹性 SAN 网络管理员 | 允许访问在 SAN 资源上创建专用终结点并读取 SAN 资源 | fa6cecf6-5db3-4c43-8470-c540bcb4eafa |
弹性 SAN 所有者 | 享有对 Azure 弹性 SAN 下所有资源的完全访问权限,包括更改网络安全策略以取消阻止数据路径访问 | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
弹性 SAN 读取者 | 允许控制对 Azure 弹性 SAN 的路径读取访问权限 | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
弹性 SAN 卷组所有者 | 享有对 Azure 弹性 SAN 中的卷组的完全访问权限,包括更改网络安全策略以取消阻止数据路径访问 | a8281131-f312-4f34-8d98-ae12be9f0d23 |
读取器和数据访问 | 允许查看所有内容,但不允许删除或创建存储帐户或包含的资源。 它还允许使用存储帐户密钥对存储帐户中包含的所有数据进行读/写访问。 | c12c1c16-33a1-487b-954d-41c89c60f349 |
存储帐户备份参与者 | 可在存储帐户上使用 Azure 备份执行备份和还原操作。 | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
存储帐户参与者 | 允许管理存储帐户。 提供对帐户密钥的访问权限,而帐户密钥可以用来通过共享密钥授权对数据进行访问。 | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
存储帐户密钥操作员服务角色 | 允许列出和重新生成存储帐户访问密钥。 | 81a9662b-bebf-436f-a333-f67b29880f12 |
存储 Blob 数据参与者 | 读取、写入和删除 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
存储 Blob 数据所有者 | 提供对 Azure 存储 Blob 容器和数据的完全访问权限,包括分配 POSIX 访问控制。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
存储 Blob 数据读者 | 读取和列出 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
存储 Blob 委托者 | 获取用户委托密钥,该密钥随后可用于为使用 Azure AD 凭据签名的容器或 Blob 创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
存储文件数据特权参与者 | 通过重写现有的 ACL/NTFS 权限,允许读取、写入、删除和修改 Azure 文件共享中文件/目录上的 ACL。 在 Windows 文件服务器上,此角色没有内置的等效角色。 | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
存储文件数据特权读取者 | 通过重写现有的 ACL/NTFS 权限,允许对 Azure 文件共享中的文件/目录进行读取访问。 在 Windows 文件服务器上,此角色没有内置的等效角色。 | b8eda974-7b85-4f76-af95-65846b26df6d |
存储文件数据 SMB 共享参与者 | 允许针对 Azure 文件共享中的文件/目录的读取、写入和删除权限。 在 Windows 文件服务器上,此角色没有内置的等效角色。 | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
存储文件数据 SMB 共享提升参与者 | 允许读取、写入、删除和修改 Azure 文件共享中文件/目录上的 ACL。 此角色等效于 Windows 文件服务器上更改的文件共享 ACL。 | a7264617-510b-434b-a828-9731dc254ea7 |
存储文件数据 SMB 共享读取者 | 允许针对 Azure 文件共享中的文件/目录的读取权限。 此角色等效于 Windows 文件服务器上的文件共享读取 ACL。 | aba4ae5f-2193-4029-9191-0cb91df5e314 |
存储队列数据参与者 | 读取、写入和删除 Azure 存储队列和队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
存储队列数据消息处理器 | 速览、检索和删除 Azure 存储队列中的消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
存储队列数据消息发送方 | 将消息添加到 Azure 存储队列。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
存储队列数据读取者 | 读取并列出 Azure 存储队列和队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 19e7f393-937e-4f77-808e-94535e297925 |
存储表数据参与者 | 用于对 Azure 存储表和实体进行读取、写入和删除访问 | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
存储表数据读取者 | 用于对 Azure 存储表和实体进行读取访问 | 76199698-9eea-4c19-bc75-cec21354c6b6 |
Web 和移动
内置角色 | 说明 | ID |
---|---|---|
Azure Maps 数据参与者 | 从 Azure Maps 帐户中授予地图相关数据的读取、写入和删除权限。 | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
Azure Maps 数据读取器 | 授予从 Azure Maps 帐户中读取地图相关数据的权限。 | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
Azure Maps 搜索和呈现数据读取者 | 授予对常见可视 Web SDK 方案非常有限的一组数据 API 的访问权限。 特别是呈现和搜索数据 API。 | 6be48352-4f82-47c9-ad5e-0acacefdb005 |
Azure Spring Apps 应用程序配置服务配置文件模式读取者角色 | 读取 Azure Spring Apps 中应用程序配置服务的配置文件模式的内容 | 25211fc6-dc78-40b6-b205-e4ac934fd9fd |
Azure Spring Apps 应用程序配置服务日志读取者角色 | 读取 Azure Spring Apps 中应用程序配置服务的实时日志 | 6593e776-2a30-40f9-8a32-4fe28b77655d |
Azure Spring Apps 连接角色 | Azure Spring Apps 连接角色 | 80558df3-64f9-4c0f-b32d-e5094b036b0b |
Azure Spring Apps 作业日志读取者角色 | 读取 Azure Spring Apps 中作业的实时日志 | b459aa1d-e3c8-436f-ae21-c0531140f43e |
Azure Spring Apps 远程调试角色 | Azure Spring Apps 远程调试角色 | a99b0159-1064-4c22-a57b-c9b3caa1c054 |
Azure Spring Apps Spring Cloud Gateway 日志读取者角色 | 读取 Azure Spring Apps 中 Spring Cloud Gateway 的实时日志 | 4301dc2a-25a9-44b0-ae63-3636cf7f2bd2 |
Azure Spring Cloud Config Server 参与者 | 允许对 Azure Spring Cloud Config Server 进行读取、写入和删除访问 | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
Azure Spring Cloud Config Server 读者 | 允许对 Azure Spring Cloud Config Server 进行读取访问 | d04c6db6-4947-4782-9e91-30a88feb7be7 |
Azure Spring Cloud 数据读取者 | 允许对 Azure Spring Cloud 进行读取访问 | b5537268-8956-4941-a8f0-646150406f0c |
Azure Spring Cloud 服务注册表参与者 | 允许对 Azure Spring Cloud 服务注册表进行读取、写入和删除访问 | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
Azure Spring Cloud 服务注册表读者 | 允许对 Azure Spring Cloud 服务注册表进行读取访问 | cff1b556-2399-4e7e-856d-a8f754be7b65 |
媒体服务帐户管理员 | 创建、读取、修改和删除媒体服务帐户;对其他媒体服务资源的只读访问权限。 | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
媒体服务实时事件管理员 | 创建、读取、修改和删除实时事件、资产、资产筛选器和流式处理定位符;对其他媒体服务资源的只读访问权限。 | 532bc159-b25e-42c0-969e-a1d439f60d77 |
媒体服务媒体操作员 | 创建、读取、修改和删除资产、资产筛选器、流式处理定位符和作业;对其他媒体服务资源的只读访问权限。 | e4395492-1534-4db2-bedf-88c14621589c |
媒体服务策略管理员 | 创建、读取、修改和删除帐户筛选器、流式处理策略、内容密钥策略和转换;对其他媒体服务资源的只读访问权限。 不能创建作业、资产或流式处理资源。 | c4bba371-dacd-4a26-b320-7250bca963ae |
媒体服务流式处理终结点管理员 | 创建、读取、修改和删除流式处理终结点;对其他媒体服务资源的只读访问权限。 | 99dba123-b5fe-44d5-874c-ced7199a5804 |
SignalR AccessKey 读取者 | 读取 SignalR 服务访问密钥 | 04165923-9d83-45d5-8227-78b77b0a687e |
SignalR 应用服务器 | 允许应用服务器使用 AAD 身份验证选项访问 SignalR 服务。 | 420fcaa2-552c-430f-98ca-3264be4806c7 |
SignalR REST API 所有者 | 完全访问 Azure Signal 服务 REST API | fd53cd77-2268-407a-8f46-7e7863d0f521 |
SignalR REST API 读者 | 以只读方式访问 Azure Signal 服务 REST API | ddde6b66-c0df-4114-a159-3618637b3035 |
SignalR 服务所有者 | 完全访问 Azure Signal 服务 REST API | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
SignalR/Web PubSub 参与者 | 创建、读取、更新和删除 SignalR 服务资源 | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
Web 计划参与者 | 管理网站的 web 计划。 不允许在 Azure RBAC 中分配角色。 | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
Web PubSub 服务所有者 | 对 Azure Web PubSub 服务 REST API 的完全访问权限 | 12cf5a90-567b-43ae-8102-96cf46c7d9b4 |
Web PubSub 服务读取者 | 对 Azure Web PubSub 服务 REST API 的只读访问权限 | bfb1c7d2-fb1a-466b-b2ba-aee63b92deaf |
网站参与者 | 管理网站,但不管理 web 计划。 不允许在 Azure RBAC 中分配角色。 | de139f84-1756-47ae-9be6-808fbbe84772 |
容器
内置角色 | 说明 | ID |
---|---|---|
AcrDelete | 从容器注册表中删除存储库、标记或清单。 | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
AcrImageSigner | 将受信任的映像推送到为内容信任启用的容器注册表中或从中拉取受信任的映像。 | 6cef56e8-d556-48e5-a04f-b8e64114680f |
AcrPull | 从容器注册表中拉取项目。 | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
AcrPush | 将项目推送到容器注册表或从中拉取项目。 | 8311e382-0749-4cb8-b61a-304f252e45ec |
AcrQuarantineReader | 从容器注册表中拉取已隔离的映像。 | cdda3590-29a3-44f6-95f2-9f980659eb04 |
AcrQuarantineWriter | 将已隔离的映像推送到容器注册表或从中拉取已隔离的映像。 | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
已启用 Azure Arc 的 Kubernetes 群集用户角色 | 列出群集用户凭据操作。 | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
Azure Arc Kubernetes 管理员 | 允许管理群集/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
Azure Arc Kubernetes 群集管理员 | 允许管理群集中的所有资源。 | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
Azure Arc Kubernetes 查看者 | 允许查看群集/命名空间中除密码之外的所有资源。 | 63f0a09d-1495-4db4-a681-037d84835eb4 |
Azure Arc Kubernetes 写入者 | 允许更新群集/命名空间中的所有内容,但 (cluster)role 和 (cluster)role 绑定除外。 | 5b999177-9696-4545-85c7-50de3797e5a1 |
Azure 容器存储参与者 | 安装 Azure 容器存储并管理其存储资源。 包括用于约束角色分配的 ABAC 条件。 | 95dd08a6-00bd-4661-84bf-f6726f83a4d0 |
Azure 容器存储操作员 | 启用托管标识以执行 Azure 容器存储操作,例如管理虚拟机和管理虚拟网络。 | 08d4c71a-cc63-4ce4-a9c8-5dd251b4d619 |
Azure 容器存储所有者 | 安装 Azure 容器存储,授予对其存储资源的访问权限,并配置 Azure 弹性存储区域网络 (SAN)。 包括用于约束角色分配的 ABAC 条件。 | 95de85bd-744d-4664-9dde-11430bc34793 |
Azure Kubernetes 舰队管理器参与者角色 | 授予对 Azure Kubernetes 舰队管理器提供的 Azure 资源(包括舰队、舰队成员、舰队更新策略、舰队更新运行等)的读/写访问权限。 | 63bb64ad-9799-4770-b5c3-24ed299a07bf |
Azure Kubernetes 舰队管理器 RBAC 管理员 | 授予对舰队托管的中心群集中命名空间内的 Kubernetes 资源的读/写访问权限 - 提供对命名空间中的大多数对象的写入权限,但 ResourceQuota 对象和命名空间对象本身除外。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
Azure Kubernetes 舰队管理器 RBAC 群集管理员 | 授予对舰队托管的中心群集中所有 Kubernetes 资源的读/写访问权限。 | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
Azure Kubernetes 舰队管理器 RBAC 读者 | 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的只读访问权限。 不允许查看角色或角色绑定。 此角色不允许查看机密,因为通过读取机密内容可以访问命名空间中的 ServiceAccount 凭据,这样就会允许以命名空间中任何 ServiceAccount 的身份进行 API 访问(一种特权提升形式)。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
Azure Kubernetes 舰队管理器 RBAC 编写者 | 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的读/写访问权限。 此角色不允许查看或修改角色或角色绑定。 但是,允许此角色以命名空间中任何 ServiceAccount 的身份访问机密,因此可用它获取命名空间中任何 ServiceAccount 的 API 访问级别。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
Azure Kubernetes 服务 Arc 群集管理员角色 | 列出群集管理员凭据操作。 | b29efa5f-7782-4dc3-9537-4d5bc70a5e9f |
Azure Kubernetes 服务 Arc 群集用户角色 | 列出群集用户凭据操作。 | 233ca253-b031-42ff-9fba-87ef12d6b55f |
Azure Kubernetes 服务 Arc 参与者角色 | 授予对 Azure Kubernetes 服务混合群集的读写访问权限 | 5d3f1697-4507-4d08-bb4a-477695db5f82 |
Azure Kubernetes 服务群集管理员角色 | 列出群集管理员凭据操作。 | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
Azure Kubernetes 服务群集监视用户 | 列出群集监视用户凭据操作。 | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
Azure Kubernetes 服务群集用户角色 | 列出群集用户凭据操作。 | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
Azure Kubernetes 服务参与者角色 | 授予对 Azure Kubernetes 服务群集的读写访问权限 | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
Azure Kubernetes 服务 RBAC 管理员 | 允许管理群集/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
Azure Kubernetes 服务 RBAC 群集管理员 | 允许管理群集中的所有资源。 | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
Azure Kubernetes 服务 RBAC 读取者 | 允许进行只读访问并查看命名空间中的大多数对象。 不允许查看角色或角色绑定。 此角色不允许查看机密,因为通过读取机密内容可以访问命名空间中的 ServiceAccount 凭据,这样就会允许以命名空间中任何 ServiceAccount 的身份进行 API 访问(一种特权提升形式)。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
Azure Kubernetes 服务 RBAC 写入者 | 允许对命名空间中的大多数对象进行读/写访问。 此角色不允许查看或修改角色或角色绑定。 但是,允许此角色以命名空间中任何 ServiceAccount 的身份访问机密和运行 Pod,因此可用它获取命名空间中任何 ServiceAccount 的 API 访问级别。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
连接的群集托管标识 CheckAccess 读取者 | 允许已连接群集托管标识调用 checkAccess API 的内置角色 | 65a14201-8f6c-4c28-bec4-12619c5a9aaa |
Kubernetes 无代理操作员 | 授予 Microsoft Defender for Cloud 对 Azure Kubernetes 服务的访问权限 | d5a2ae44-610b-4500-93be-660a0c5f5ca6 |
Kubernetes 群集 - Azure Arc 载入 | 授权任何用户/服务创建 connectedClusters 资源的角色定义 | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
Kubernetes 扩展参与者 | 可以创建、更新、获取、列出和删除 Kubernetes 扩展,以及获取扩展异步操作 | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
Service Fabric 群集参与者 | 管理 Service Fabric 群集资源。 包括群集、应用程序类型、应用程序类型版本、应用程序和服务。 需要其他权限才能部署和管理群集的基础资源,例如虚拟机规模集、存储帐户、网络等。 | b6efc156-f0da-4e90-a50a-8c000140b017 |
Service Fabric 托管群集参与者 | 部署和管理 Service Fabric 托管群集资源。 包括托管群集、节点类型、应用程序类型、应用程序类型版本、应用程序和服务。 | 83f80186-3729-438c-ad2d-39e94d718838 |
数据库
内置角色 | 说明 | ID |
---|---|---|
连接到 Azure 的 SQL Server 载入 | 对于已启用 Arc 的服务器上的 SQL Server,允许对 Azure 资源的读取和写入访问。 | e8113dce-c529-4d33-91fa-e9b972617508 |
Cosmos DB 帐户读者角色 | 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。 | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
Cosmos DB 操作员 | 允许管理 Azure Cosmos DB 帐户,但不能访问其中的数据。 阻止访问帐户密钥和连接字符串。 | 230815da-be43-4aae-9cb4-875f7bd000aa |
CosmosBackupOperator | 可以为帐户提交 Cosmos DB 数据库或容器的还原请求 | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
CosmosRestoreOperator | 可以对连续备份模式下的 Cosmos DB 数据库帐户执行还原操作 | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
DocumentDB 帐户参与者 | 可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。 | 5bd9cd88-fe45-4216-938b-f97437e15450 |
PostgreSQL 灵活服务器长期保留备份角色 | 允许备份保管库访问用于长期保留备份的 PostgreSQL 灵活服务器资源 API 的角色。 | c088a766-074b-43ba-90d4-1fb21feae531 |
Redis 缓存参与者 | 允许管理 Redis 缓存,但不允许访问这些缓存。 | e0f68234-74aa-48ed-b826-c38b57376e17 |
SQL DB 参与者 | 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。 | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
SQL 托管实例参与者 | 允许你管理 SQL 托管实例和必需的网络配置,但无法向其他人授予访问权限。 | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
SQL 安全管理器 | 允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。 | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
SQL Server 参与者 | 允许管理SQL 服务器和数据库,但不允许访问它们及其安全相关策略。 | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
分析
内置角色 | 说明 | ID |
---|---|---|
Azure 事件中心数据所有者 | 允许完全访问 Azure 事件中心资源。 | f526a384-b230-433a-b45c-95f59c4a2dec |
Azure 事件中心数据接收方 | 允许接收对 Azure 事件中心资源的访问权限。 | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
Azure 事件中心数据发送方 | 允许以发送方式访问 Azure 事件中心资源。 | 2b629674-e913-4c01-ae53-ef4638d8f975 |
数据工厂参与者 | 创建和管理数据工厂,以及其中的子资源。 | 673868aa-7521-48a0-acc6-0f60742d39f5 |
数据清除程序 | 从 Log Analytics 工作区中删除专用数据。 | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
HDInsight 群集操作员 | 允许你读取和修改 HDInsight 群集配置。 | 61ed4efc-fab3-44fd-b111-e24485cc132a |
HDInsight 域服务参与者 | 可以读取、创建、修改和删除 HDInsight 企业安全性套餐所需的域服务相关操作 | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
HDInsight on AKS 群集管理员 | 授予用户/组在给定群集池内创建、删除和管理群集的权限。 群集管理员还可以在这些群集上运行工作负荷、监控和管理所有用户活动。 | fd036e6b-1266-47a0-b0bb-a05d04831731 |
HDInsight on AKS 群集池管理员 | 可以读取、创建、修改和删除 AKS 群集池上的 HDInsight 并创建群集 | 7656b436-37d4-490a-a4ab-d39f838f0042 |
Log Analytics 参与者 | Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志收集、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。 | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
Log Analytics 读者 | Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。 | 73c42c96-874c-492b-b04d-ab87d138a893 |
架构注册表参与者(预览) | 读取、写入和删除架构注册表组和架构。 | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
架构注册表读取器(预览版) | 读取和列出架构注册表组和架构。 | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
流分析查询测试者 | 可以执行查询测试,而无需先创建流分析作业 | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
AI + 机器学习
内置角色 | 说明 | ID |
---|---|---|
AgFood 平台传感器合作伙伴参与者 | 提供对管理 AgFood 平台服务中传感器相关实体的参与访问权限 | 6b77f0a0-0d89-41cc-acd1-579c22c17a67 |
AgFood 平台服务管理员 | 提供对 AgFood 平台服务的管理员访问权限 | f8da80de-1ff9-4747-ad80-a19b7f6079e3 |
AgFood 平台服务参与者 | 提供对 AgFood 平台服务的参与访问权限 | 8508508a-4469-4e45-963b-2518ee0bb728 |
AgFood 平台服务读者 | 提供对 AgFood 平台服务的读取访问权限 | 7ec7ccdc-f61e-41fe-9aaf-980df0a44eba |
Azure AI 开发人员 | 除了管理资源本身之外,还可以在 Azure AI 资源中执行所有操作。 | 64702f94-c441-49e6-a78b-ef80e0188fee |
Azure AI 企业网络连接审批者 | 可以批准与 Azure AI 通用依赖项资源的专用终结点连接 | b556d68e-0be0-4f35-a333-ad7ee1ce17ea |
Azure AI 推理部署操作员 | 可以执行在资源组中创建资源部署所需的所有操作。 | 3afb7f49-54cb-416e-8c09-6dc049efa503 |
AzureML 计算操作员 | 可以在机器学习服务托管计算资源(包括笔记本 VM)上访问和执行 CRUD 操作。 | e503ece1-11d0-4e8e-8e2c-7a6c3bf38815 |
AzureML 数据科学家 | 可以在 Azure 机器学习工作区中执行所有操作,但创建或删除计算资源及修改工作区本身除外。 | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
AzureML 指标编写器(预览版) | 允许将指标写入 AzureML 工作区 | 635dd51f-9968-44d3-b7fb-6d9a6bd613ae |
AzureML 注册表用户 | 可对机器学习服务注册表资产执行所有操作,并获取注册表资源。 | 1823dd4f-9b8c-4ab6-ab4e-7397a3684615 |
认知服务参与者 | 允许创建、读取、更新、删除和管理认知服务的密钥。 | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
认知服务自定义视觉参与者 | 对项目的完全访问权限,包括可以查看、创建、编辑或删除项目。 | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
认知服务自定义视觉部署 | 发布、取消发布或导出模型。 部署可以查看项目,但不能更新项目。 | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
认知服务自定义视觉标记者 | 查看、编辑训练图像,创建、添加、移除或删除图像标记。 标记者可以查看项目,但不能更新除训练图像和标记以外的任何内容。 | 88424f51-ebe7-446f-bc41-7fa16989e96c |
认知服务自定义视觉读取者 | 只读项目中的操作。 读取者不能创建或更新项目。 | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
认知服务自定义视觉训练者 | 查看、编辑项目和训练模型,包括可以发布、取消发布、导出模型。 训练者不能创建或删除项目。 | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
认知服务数据读取器 | 允许读取认知服务数据。 | b59867f0-fa02-499b-be73-45a86b5b3e1c |
认知服务人脸识别者 | 让你可以在人脸 API 上执行“检测”、“验证”、“识别”、“分组”和“查找相似”等操作。 此角色不允许创建或删除操作,因此非常适合只需要对功能进行推理、遵循“最小特权”最佳做法的终结点。 | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
认知服务沉浸式阅读器用户 | 提供对于创建沉浸式阅读器会话和调用 API 的访问权限 | b2de6794-95db-4659-8781-7e080d3f2b9d |
认知服务语言所有者 | 有权访问语言门户下的所有读取、测试、写入、部署和删除功能 | f07febfe-79bc-46b1-8b37-790e26e6e498 |
认知服务语言读取者 | 有权访问语言门户下的读取和测试函数 | 7628b7b8-a8b2-4cdc-b46f-e9b35248918e |
认知服务语言写入者 | 有权访问语言门户下的所有读取、测试和写入功能 | f2310ca1-dc64-4889-bb49-c8e0fa3d47a8 |
认知服务 LUIS 所有者 | 有权访问 LUIS 下的所有读取、测试、写入、部署和删除功能 | f72c8140-2111-481c-87ff-72b910f6e3f8 |
认知服务 LUIS 读者 | 有权访问 LUIS 下的读取和测试功能。 | 18e81cdc-4e98-4e29-a639-e7d10c5a6226 |
认知服务 LUIS 写入者 | 有权访问 LUIS 下的所有读取、测试和写入功能 | 6322a993-d5c9-4bed-b113-e49bbea25b27 |
认知服务指标顾问管理员 | 拥有对项目的完全访问权限,包括系统级配置。 | cb43c632-a144-4ec5-977c-e80c4affc34a |
认知服务指标顾问用户 | 对项目的访问权限。 | 3b20f47b-3825-43cb-8114-4bd2201156a8 |
认知服务 OpenAI 参与者 | 完全访问权限,包括微调、部署和生成文本的功能 | a001fd3d-188f-4b5d-821b-7da978bf7442 |
认知服务 OpenAI 用户 | 查看文件、模型、部署的读取访问权限。 创建完成操作和嵌入调用的功能。 | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
认知服务 QnA Maker 编辑者 | 允许你创建、编辑、导入和导出知识库。 但不能发布或删除知识库。 | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
认知服务 QnA Maker 读取者 | 只能读取和测试知识库。 | 466ccd10-b268-4a11-b098-b4849f024126 |
认知服务语音参与者 | 针对实时语音识别和批量听录任务、实时语音合成和长音频任务、自定义语音和自定义语音的语音项目(包括读取、写入和删除所有实体)的完全访问权限。 | 0e75ca1e-0464-4b4d-8b93-68208a576181 |
认知服务语音用户 | 访问实时语音识别和批量听录 API、实时语音合成和长音频 API,以及读取自定义模型的数据/测试/模型/终结点,但无法创建、删除或修改自定义模型的数据/测试/模型/终结点。 | f2dc8367-1007-4938-bd23-fe263f013447 |
认知服务使用情况读取者 | 查看认知服务使用情况的最小权限。 | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
认知服务用户 | 允许读取和列出认知服务的密钥。 | a97b65f3-24c7-4388-baec-2e87135dc908 |
Health Bot 管理员 | 拥有管理员访问权限的用户可以登录、查看和编辑所有机器人资源、场景和配置设置,包括机器人实例密钥和机密。 | f1082fec-a70f-419f-9230-885d2550fb38 |
Health Bot 编辑者 | 拥有编辑者访问权限的用户可以登录、查看和编辑除机器人实例密钥和机密以及最终用户输入(包括反馈、未识别语音和对话日志)之外的所有机器人资源、方案和配置设置。 对机器人技能和通道的只读访问权限。 | af854a69-80ce-4ff7-8447-f1118a2e0ca8 |
Health Bot 读取者 | 除了机器人实例密钥和机密(包括身份验证、数据连接和通道密钥)和最终用户输入(包括反馈、未识别语音和对话日志)外,拥有读取者访问权限的用户可以登录、对机器人资源、场景和配置设置拥有只读权限。 | eb5a76d5-50e7-4c33-a449-070e7c9c4cf2 |
搜索索引数据参与者 | 授予对 Azure 认知搜索索引数据的完全访问权限。 | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
搜索索引数据读取者 | 授予对 Azure 认知搜索索引数据的读取访问权限。 | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
搜索服务参与者 | 允许管理搜索服务,但不允许访问这些服务。 | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
物联网
内置角色 | 说明 | ID |
---|---|---|
Azure 数字孪生数据所有者 | 对数字孪生数据平面具有完全访问权限的角色 | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
Azure 数字孪生数据读者 | 对数字孪生数据平面具有只读权限的角色 | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
设备预配服务数据参与者 | 允许对设备预配服务数据平面操作进行完全访问。 | dfce44e4-17b7-4bd1-a6d1-04996ec95633 |
设备预配服务数据读取者 | 允许对设备预配服务数据平面属性进行完全读取访问。 | 10745317-c249-44a1-a5ce-3a4353c0bbd8 |
设备更新管理员 | 授予你对管理操作和内容操作的完全访问权限 | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
设备更新内容管理员 | 授予你对内容操作的完全访问权限 | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
设备更新内容读取者 | 授予你对内容操作的读取访问权限,但不允许进行更改 | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
设备更新部署管理员 | 授予你对管理操作的完全访问权限 | e4237640-0e3d-4a46-8fda-70bc94856432 |
设备更新部署读取者 | 授予你对管理操作的读取访问权限,但不允许进行更改 | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
设备更新读取者 | 授予你对管理操作和内容操作的读取访问权限,但不允许进行更改 | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
固件分析管理员 | 在 Defender for IoT 中上传和分析固件映像 | 9c1607d1-791d-4c68-885d-c7b7aaff7c8a |
IoT 中心数据参与者 | 具有 IoT 中心数据平面操作的完全访问权限。 | 4fc6c259-987e-4a07-842e-c321cc9d413f |
IoT 中心数据读取者 | 具有 IoT 中心数据平面属性的完全读取访问权限 | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
IoT 中心注册表参与者 | 具有 IoT 中心设备注册表的完全访问权限。 | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
IoT 中心孪生参与者 | 具有所有 IoT 中心设备和模块孪生的读写访问权限。 | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
混合现实
内置角色 | 说明 | ID |
---|---|---|
远程渲染管理员 | 为用户提供 Azure 远程渲染的转换、管理会话、渲染和诊断功能 | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
远程渲染客户端 | 为用户提供 Azure 远程渲染的管理会话、渲染和诊断功能。 | d39065c4-c120-43c9-ab0a-63eed9795f0a |
空间定位点帐户参与者 | 允许管理帐户中的空间定位点,但不能删除它们 | 8bbe83f1-e2a6-4df7-8cb4-4e04d4e5c827 |
空间定位点帐户所有者 | 允许管理帐户中的空间定位点,包括删除它们 | 70bbe301-9835-447d-afdd-19eb3167307c |
空间定位点帐户读取者 | 允许查找并读取帐户中的空间定位点的属性 | 5d51204f-eb77-4b1c-b86a-2ec626c49413 |
集成
内置角色 | 说明 | ID |
---|---|---|
API 管理开发人员门户内容编辑者 | 可自定义开发人员门户、编辑和发布其内容。 | c031e6a8-4391-4de0-8d69-4706a7ed3729 |
API 管理服务参与者 | 可以管理服务和 API | 312a565d-c81f-4fd8-895a-4e21e48d571c |
API 管理服务操作员角色 | 可以管理服务,但不可管理 API | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
API 管理服务读者角色 | 对服务和 API 的只读访问权限 | 71522526-b88f-4d52-b57f-d31fc3546d0d |
API Management 服务工作区 API 开发人员 | 对标记和产品拥有读取访问权限,并拥有以下写入访问权限:将 API 分配到产品、将标记分配到产品和 API。 应在服务范围内分配此角色。 | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
API 管理服务工作区 API 产品经理 | 具有与 API 管理服务工作区 API 开发人员相同的访问权限,对用户具有读取访问权限,并且具有写入访问权限,可允许将用户分配给组。 应在服务范围内分配此角色。 | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
API 管理工作区 API 开发人员 | 对工作区中的实体具有读取访问权限,并对用于编辑 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 | 56328988-075d-4c6a-8766-d93edd6725b6 |
API 管理工作区 API 产品经理 | 对工作区中的实体具有读取访问权限,并对用于发布 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
API 管理工作区参与者 | 可以管理工作区和视图,但不能修改其成员。 应在工作区范围内分配此角色。 | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
API 管理工作区读者 | 对工作区中的实体具有只读访问权限。 应在工作区范围内分配此角色。 | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2 |
应用配置参与者 | 为应用配置资源的所有管理操作(清除除外)授予权限。 | fe86443c-f201-4fc4-9d2a-ac61149fbda0 |
应用程序配置数据所有者 | 允许对应用程序配置数据进行完全访问。 | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
应用程序配置数据读取者 | 允许对应用程序配置数据进行读取访问。 | 516239f1-63e1-4d78-a4de-a74fb236a071 |
应用配置读取者 | 授予读取应用配置资源操作的权限。 | 175b81b9-6e0d-490a-85e4-0d422273c10c |
Azure API 中心合规性管理者 | 允许管理 Azure API 中心服务中的 API 合规性。 | ede9aaa3-4627-494e-be13-4aa7c256148d |
Azure API 中心数据读取者 | 允许访问 Azure API 中心数据平面读取操作。 | c7244dfb-f447-457d-b2ba-3999044d1706 |
Azure API 中心服务参与者 | 允许管理 Azure API 中心服务。 | dd24193f-ef65-44e5-8a7e-6fa6e03f7713 |
Azure API 中心服务读取者 | 允许对 Azure API 中心服务进行只读访问。 | 6cba8790-29c5-48e5-bab1-c7541b01cb04 |
Azure 中继侦听器 | 允许侦听对 Azure 中继资源的访问。 | 26e0b698-aa6d-4085-9386-aadae190014d |
Azure 中继所有者 | 允许完全访问 Azure 中继资源。 | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
Azure 中继发送方 | 允许发送对 Azure 中继资源的访问权限。 | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
Azure 资源通知系统主题订阅者 | 可让你在 Azure 资源通知当前和未来公开的所有系统主题上创建系统主题和事件订阅 | 0b962ed2-6d56-471c-bd5f-3477d83a7ba4 |
Azure 服务总线数据所有者 | 允许完全访问 Azure 服务总线资源。 | 090c5cfd-751d-490a-894a-3ce6f1109419 |
Azure 服务总线数据接收方 | 允许对 Azure 服务总线资源进行接收访问。 | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
Azure 服务总线数据发送方 | 允许对 Azure 服务总线资源进行发送访问。 | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
BizTalk 参与者 | 允许管理 BizTalk 服务,但不允许访问这些服务。 | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
Chamber 管理员 | 允许管理建模和模拟 Workbench Chamber 下的所有内容。 | 4e9b8407-af2e-495b-ae54-bb60a55b1b5a |
Chamber 用户 | 允许查看建模和模拟 Workbench Chamber 下的所有内容,但不做任何更改。 | 4447db05-44ed-4da3-ae60-6cbece780e32 |
DeID 批处理数据所有者 | 创建和管理 DeID 批处理作业。 此角色处于预览版阶段,可能会有所更改。 | 8a90fa6b-6997-4a07-8a95-30633a7c97b9 |
DeID 批处理数据读取者 | 读取 DeID 批处理作业。 此角色处于预览版阶段,可能会有所更改。 | b73a14ee-91f5-41b7-bd81-920e12466be9 |
DeID 数据所有者 | 完全访问 DeID 数据。 此角色处于预览版阶段,可能会有所更改 | 78e4b983-1a0b-472e-8b7d-8d770f7c5890 |
DeID 实时数据用户 | 针对 DeID 实时终结点执行请求。 此角色处于预览版阶段,可能会有所更改。 | bb6577c4-ea0a-40b2-8962-ea18cb8ecd4e |
DICOM 数据所有者 | DICOM 数据的完全访问权限。 | 58a3b984-7adf-4c20-983a-32417c86fbc8 |
DICOM 数据读取者 | 读取和搜索 DICOM 数据。 | e89c7a3c-2f64-4fa1-a847-3e4c9ba4283a |
EventGrid 参与者 | 可以管理 EventGrid 操作。 | 1e241071-0855-49ea-94dc-649edcd759de |
EventGrid 数据发送方 | 允许发送对事件网格事件的访问权限。 | d5a91429-5739-47e2-a06b-3470a27159e7 |
EventGrid EventSubscription 参与者 | 可以管理 EventGrid 事件订阅操作。 | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
EventGrid EventSubscription 读者 | 可以读取 EventGrid 事件订阅。 | 2414bbcf-6497-4faf-8c65-045460748405 |
EventGrid TopicSpaces Publisher | 允许在 Topicspaces 上发布消息。 | a12b0b94-b317-4dcd-84a8-502ce99884c6 |
EventGrid TopicSpaces 订阅者 | 允许在 Topicspaces 上订阅消息。 | 4b0f2fd7-60b4-4eca-896f-4435034f8bf5 |
FHIR 数据参与者 | 角色允许用户或主体完全访问 FHIR 数据 | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
FHIR 数据转换者 | 角色允许用户或主体将数据从旧格式转换为 FHIR | a1705bd2-3a8f-45a5-8683-466fcfd5cc24 |
FHIR 数据导出者 | 角色允许用户或主体读取和导出 FHIR 数据 | 3db33094-8700-4567-8da5-1501d4e7e843 |
FHIR 数据导入者 | 该角色允许用户或主体读取和导入 FHIR 数据 | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
FHIR 数据读取者 | 角色允许用户或主体读取 FHIR 数据 | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
FHIR 数据写入者 | 角色允许用户或主体读取和写入 FHIR 数据 | 3f88fce4-5892-4214-ae73-ba5294559913 |
FHIR SMART 用户 | 角色允许用户根据 SMART on FHIR 规范访问 FHIR 服务 | 4ba50f17-9666-485c-a643-ff00808643f0 |
集成服务环境参与者 | 允许管理集成服务环境,但不允许访问这些环境。 | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
集成服务环境开发人员 | 允许开发人员在集成服务环境中创建和更新工作流、集成帐户与 API 连接。 | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
Intelligent Systems 帐户参与者 | 允许管理智能系统帐户,但不允许访问这些帐户。 | 03a6d094-3444-4b3d-88af-7477090a9e5e |
逻辑应用参与者 | 允许管理逻辑应用,但不允许更改其访问权限。 | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
逻辑应用操作员 | 允许读取、启用和禁用逻辑应用,但不允许编辑或更新它们。 | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
标准型逻辑应用参与者(预览版) | 可以管理标准逻辑应用和工作流的各个方面。 不能更改访问权限或所有权。 | ad710c24-b039-4e85-a019-deb4a06e8570 |
标准型逻辑应用开发者(预览版) | 可以为标准逻辑应用创建和编辑工作流、连接和设置。 不能在工作流范围之外进行更改。 | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
标准型逻辑应用操作者(预览版) | 你可以启用和禁用逻辑应用、重新提交工作流运行,以及创建连接。 不能编辑工作流或设置。 | b70c96e9-66fe-4c09-b6e7-c98e69c98555 |
标准型逻辑应用读取者(预览版) | 对标准型逻辑应用和工作流中的所有资源(包括工作流运行及其历史记录)具有只读访问权限。 | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
计划程序作业集合参与者 | 允许管理计划程序作业集合,但不允许访问这些集合。 | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
服务中心操作员 | “服务中心操作员”允许你执行与服务中心连接器相关的所有读取、写入和删除操作。 | 82200a5b-e217-47a5-b665-6d8765ee745b |
标识
内置角色 | 说明 | ID |
---|---|---|
域服务参与者 | 可以管理 Azure AD 域服务和相关网络配置 | eeaeda52-9324-47f6-8069-5d5bade478b2 |
域服务读取者 | 可以查看 Azure AD 域服务和相关网络配置 | 361898ef-9ed1-48c2-849c-a832951106bb |
托管的标识参与者 | 创建、读取、更新和删除用户分配的标识 | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
托管的标识操作员 | 读取和分配用户分配的标识 | f1a07417-d97a-45cb-824c-7a7467783830 |
安全性
内置角色 | 说明 | ID |
---|---|---|
应用合规性自动化管理员 | 创建、读取、下载、修改和删除报表对象及其他相关的资源对象。 | 0f37683f-2463-46b6-9ce7-9b788b988ba2 |
应用合规性自动化读取者 | 读取和下载报表对象及其他相关的资源对象。 | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
证明参与者 | 可读写或删除证明提供者实例 | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
证明读取者 | 可以读取证明提供程序属性 | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
Key Vault 管理员 | 对密钥保管库以及其中的所有对象(包括证书、密钥和机密)执行所有数据平面操作。 无法管理密钥保管库资源或管理角色分配。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
密钥保管库证书用户 | 读取证书内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
Key Vault 证书管理人员 | 对密钥保管库的证书执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | a4417e6f-fecd-4de8-b567-7b0420556985 |
密钥保管库参与者 | 管理密钥保管库,但不允许在 Azure RBAC 中分配角色,也不允许访问机密、密钥或证书。 | f25e0fa2-a7c8-4377-a976-54943a77a395 |
Key Vault 加密管理人员 | 对密钥保管库的密钥执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
密钥保管库加密服务加密用户 | 读取密钥的元数据并执行包装/展开操作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
密钥保管库加密服务发布用户 | 发布密钥。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 08bbd89e-9f13-488c-ac41-acfcb10c90ab |
Key Vault 加密用户 | 使用密钥执行加密操作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 12338af0-0e69-4776-bea7-57ae8d297424 |
密钥保管库数据访问管理员 | 通过添加或删除 Key Vault 管理员、Key Vault 证书主管、Key Vault 加密管理人员、Key Vault 加密服务加密用户、Key Vault 加密用户、Key Vault 加密用户、Key Vault 读取者、Key Vault 机密主管或 Key Vault 机密用户角色来管理对 Azure Key Vault 的访问。 包括用于约束角色分配的 ABAC 条件。 | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Key Vault 读取者 | 读取密钥保管库及其证书、密钥和机密的元数据。 无法读取机密内容或密钥材料等敏感值。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 21090545-7ca7-4776-b22c-e363652d74d2 |
Key Vault 机密管理人员 | 对密钥保管库的机密执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
Key Vault 机密用户 | 读取机密内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 4633458b-17de-408a-b874-0445c86b69e6 |
托管 HSM 参与者 | 允许你管理托管 HSM 池,但不允许访问这些池。 | 18500a29-7fe2-46b2-a342-b16a415e101d |
Microsoft Sentinel 自动化参与者 | Microsoft Sentinel 自动化参与者 | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
Microsoft Sentinel 参与者 | Microsoft Sentinel 参与者 | ab8e14d6-4a74-4a29-9ba8-549422addade |
Microsoft Sentinel Playbook 操作员 | Microsoft Sentinel Playbook 操作员 | 51d6186e-6489-4900-b93f-92e23144cca5 |
Microsoft Sentinel 读取者 | Microsoft Sentinel 读取者 | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
Microsoft Sentinel 响应者 | Microsoft Sentinel 响应者 | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
安全管理员 | 查看和更新 Microsoft Defender for Cloud 的权限。 与安全读取者角色具有相同的权限,还可以更新安全策略并关闭警报和建议。 对于 Microsoft Defender for IoT,请参阅用于 OT 和企业 IoT 监视的 Azure 用户角色。 |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
安全评估参与者 | 可将评估推送到 Microsoft Defender for Cloud | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
安全管理器(旧版) | 这是旧角色。 请改用安全管理员。 | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
安全读取者 | 查看 Microsoft Defender for Cloud 的权限。 可以查看但不能更改建议、警报、安全策略和安全状态。 对于 Microsoft Defender for IoT,请参阅用于 OT 和企业 IoT 监视的 Azure 用户角色。 |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
DevOps
内置角色 | 说明 | ID |
---|---|---|
部署环境读取器 | 提供对环境资源的读取访问权限。 | eb960402-bf75-4cc3-8d68-35b34f960f72 |
部署环境用户 | 提供管理环境资源的访问权限。 | 18e40d4e-8d2e-438d-97e1-9528336e149c |
DevCenter Dev Box 用户 | 提供创建和管理开发框的访问权限。 | 45d50f46-0b78-4001-a660-4198cbe8cd05 |
DevCenter 项目管理员 | 提供管理项目资源的访问权限。 | 331c37c6-af14-46d9-b9f4-e1909e1b95a0 |
DevTest 实验室用户 | 允许连接、启动、重启和关闭 Azure 开发测试实验室中的虚拟机。 | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
实验室助理 | 允许查看现有实验室、在实验室 VM 上执行操作,以及向实验室发送邀请。 | ce40b423-cede-4313-a93f-9b28290b72e1 |
实验室参与者 | 适用于实验室级别,允许管理实验室。 适用于资源组,允许创建和管理实验室。 | 5daaa2af-1fe8-407c-9122-bba179798270 |
实验室创建者 | 允许在 Azure 实验室帐户下新建实验室。 | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
实验室操作员 | 允许有限地管理现有实验室。 | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
实验室服务参与者 | 允许完全控制资源组中的所有实验室服务方案。 | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
实验室服务读取者 | 允许查看所有实验室计划和实验室资源,但不允许更改。 | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
负载测试参与者 | 查看、创建、更新、删除和执行负载测试。 查看并列出负载测试资源,但不能进行任何更改。 | 749a398d-560b-491b-bb21-08924219302e |
负载测试所有者 | 对负载测试资源和负载测试执行所有操作 | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
负载测试读取者 | 查看并列出所有负载测试和负载测试资源,但不能进行任何更改 | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
监视
内置角色 | 说明 | ID |
---|---|---|
Application Insights 组件参与者 | 可管理 Application Insights 组件 | ae349356-3a1b-4a5e-921d-050484c6347e |
Application Insights 快照调试器 | 授予用户查看和下载使用 Application Insights Snapshot Debugger 收集的调试快照的权限。 请注意,所有者或参与者角色不包括这些权限。 在向用户授予 Application Insights Snapshot Debugger 角色时,必须将该角色直接授予用户。 将角色添加到自定义角色时,无法识别该角色。 | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
Grafana 管理员 | 管理服务器范围内的设置,并管理对组织、用户和许可证等资源的访问。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
Grafana 编辑者 | 创建、编辑、删除或查看仪表板;创建、编辑或删除文件夹;以及编辑或查看播放列表。 | a79a5197-3a5c-4973-a920-486035ffd60f |
Grafana 受限查看者 | 查看主页视图。 | 41e04612-9dac-4699-a02b-c82ff2cc3fb5 |
Grafana 查看者 | 查看仪表板、播放列表和查询数据源。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
监视参与者 | 可以读取所有监视数据和编辑监视设置。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
监视指标发布者 | 允许针对 Azure 资源发布指标 | 3913510d-42f4-4e42-8a64-420c390055eb |
监视读取者 | 可以读取所有监视数据(指标、日志等)。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
工作簿参与者 | 可以保存共享的工作簿。 | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
工作簿读者 | 可以读取工作簿。 | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
管理和治理
内置角色 | 说明 | ID |
---|---|---|
顾问建议参与者(评估和评审) | 查看评估建议,接受评审建议,管理建议生命周期(将建议标记为已完成、推迟或取消、进行中或未开始)。 | 6b534d80-e337-47c4-864f-140f5c7f593d |
顾问评审参与者 | 查看针对工作负荷的评审并会审与之关联的建议。 | 8aac15f0-d885-4138-8afa-bfb5872f7d13 |
顾问评审读者 | 查看针对工作负荷的评审以及与之关联的建议。 | c64499e0-74c3-47ad-921c-13865957895c |
自动化参与者 | 使用 Azure 自动化管理 Azure 自动化资源和其他资源。 | f353d9bd-d4a6-484e-a77a-8050b599b867 |
自动化作业操作员 | 使用自动化 Runbook 创建和管理作业。 | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
自动化操作员 | 自动化操作员能够启动、停止、暂停和恢复作业 | d3881f73-407a-4167-8283-e981cbba0404 |
自动化 Runbook 操作员 | 读取 Runbook 属性 - 以能够创建 runbook 的作业。 | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
Azure SAP 解决方案中心管理员 | 此角色提供对 Azure SAP 解决方案中心所有功能的读写访问权限。 | 7b0c7e81-271f-4c71-90bf-e30bdfdbc2f7 |
Azure SAP 解决方案中心读取者 | 此角色提供对 Azure SAP 解决方案中心所有功能的读取访问权限。 | 05352d14-a920-4328-a0de-4cbe7430e26b |
Azure SAP 解决方案中心服务角色 | Azure SAP 解决方案中心服务角色 - 此角色用于为分配给托管标识的用户提供权限。 Azure SAP 解决方案中心将使用此标识来部署和管理 SAP 系统。 | aabbc5dd-1af0-458b-a942-81af88f9c138 |
Azure Connected Machine 加入 | 可以加入 Azure Connected Machine。 | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
Azure Connected Machine 资源管理员 | 可以读取、写入、删除和重新加入 Azure Connected Machine。 | cd570a14-e51a-42ad-bac8-bafd67325302 |
Azure Connected Machine 资源管理员 | AzureStackHCI RP 的自定义角色,负责管理资源组中的混合计算机和混合连接终结点 | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
Azure 客户密码箱的订阅审批者 | 在订阅所在的租户上启用 azure 的客户密码 Microsoft箱时,可以批准Microsoft支持请求来访问订阅中包含的特定资源或订阅本身。 | 4dae6930-7baf-46f5-909e-0383bc931c46 |
计费读者 | 允许对帐单数据进行读取访问 | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
蓝图参与者 | 可以管理蓝图定义,但不能对其进行分配。 | 41077137-e803-4205-871c-5a86e6a753b4 |
蓝图操作员 | 可以指定现有已发布的蓝图,但不能创建新的蓝图。 请注意:仅当使用用户分配的托管标识完成分配时,此分配才有效。 | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
碳优化读者 | 允许对 Azure 碳优化数据进行读取访问 | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
成本管理参与者 | 可以查看成本和管理成本配置(例如预算、导出) | 434105ed-43f6-45c7-a02f-909b2ba83430 |
成本管理读者 | 可以查看成本数据和配置(例如预算、导出) | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
层次结构设置管理员 | 允许用户编辑和删除层次结构设置 | 350f8d15-c687-4448-8ae1-157740a3936d |
托管应用程序参与者角色 | 允许创建托管应用程序资源。 | 641177b8-a67a-45b9-a033-47bc880bb21e |
托管应用程序操作员角色 | 可让你在托管应用程序资源上读取和执行操作 | c7393b34-138c-406f-901b-d8cf2b17e6ae |
托管应用程序读者 | 允许读取托管应用中的资源并请求 JIT 访问。 | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
托管服务注册分配删除角色 | 托管服务注册分配删除角色允许管理租户用户删除分配给其租户的注册分配。 | 91c1777a-f3dc-4fae-b103-61d183457e46 |
管理组参与者 | 管理组参与者角色 | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
管理组读取者 | 管理组读取者角色 | ac63b705-f282-497d-ac71-919bf39d939d |
New elic APM 帐户参与者 | 允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。 | 5d28c62d-5b37-4476-8438-e587778df237 |
策略见解数据编写者(预览) | 允许对资源策略进行读取访问,并允许对资源组件策略事件进行写入访问。 | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
配额请求操作员 | 读取和创建配额请求,获取配额请求状态并创建支持票证。 | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
预留买方 | 允许你购买预留 | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
预留读者 | 允许用户读取租户中的所有预留 | 582fc458-8989-419f-a480-75249bc5db7e |
资源策略参与者 | 有权创建/修改资源策略、创建支持票证和读取资源/层次结构的用户。 | 36243c78-bf99-498c-9df9-86d9f8d28608 |
节省计划购买者 | 允许购买节省计划 | 3d24a3a0-c154-4f6f-a5ed-adc8e01ddb74 |
计划修补参与者 | 提供访问权限以管理具有维护范围 InGuestPatch 和相应配置分配的维护配置 | cd08ab90-6b14-449c-ad9a-8f8e549482c6 |
Site Recovery 参与者 | 允许管理除保管库创建和角色分配外的 Site Recovery 服务 | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
Site Recovery 操作员 | 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作 | 494ae006-db33-4328-bf46-533a6560a3ca |
Site Recovery 读取者 | 允许查看 Site Recovery 状态,但不允许执行其他管理操作 | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
支持请求参与者 | 允许创建和管理支持请求 | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
标记参与者 | 允许你管理实体上的标记,而无需提供对实体本身的访问权限。 | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
模板规格参与者 | 允许在分配的范围内对模板规格操作进行完全访问。 | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
模板规格读取者 | 允许在分配的范围内对模板规格进行读取访问。 | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
混合 + 多云
内置角色 | 说明 | ID |
---|---|---|
Azure 资源网桥部署角色 | Azure 资源网桥部署角色 | 7b1f81f9-4196-4058-8aae-762e593270df |
Azure Stack HCI 管理员 | 授予对群集及其资源的完全访问权限,包括注册 Azure Stack HCI 并将其他人分配为 Azure Arc HCI VM 参与者和/或 Azure Arc HCI VM 读者的权限 | bda0d508-adf1-4af0-9c28-88919fc3ae06 |
Azure Stack HCI 设备管理角色 | Microsoft.AzureStackHCI 设备管理角色 | 865ae368-6a45-4bd1-8fbf-0d5151f56fc1 |
Azure Stack HCI VM 参与者 | 授予执行所有 VM 操作的权限 | 874d1c73-6003-4e60-a13a-cb31ea190a85 |
Azure Stack HCI VM 读者 | 授予查看 VM 的权限 | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
Azure Stack 注册所有者 | 允许管理 Azure Stack 注册。 | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |
混合服务器资源管理员 | 可以读取、写入、删除混合服务器,并将其重新接入混合资源提供者。 | 48b40c6e-82e0-4eb3-90d5-19e40f49b624 |