你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

由 Service Connector 分配的 Microsoft Entra 角色

服务连接器的目的是简化将各种 Azure 服务连接在一起的过程。 使用服务连接器创建连接时，服务连接器会配置这些 Azure 服务之间的身份验证。

为此，服务连接器使用 Azure 的基于角色的访问控制 (RBAC) 授权系统来提供对 Azure 资源的访问管理。

本文提供默认情况下由服务连接器分配的角色摘要，并说明如何选择其他角色。

内置角色

默认情况下，当用户选择下面列出的身份验证类型之一时，服务连接器会将托管标识分配给下表中列出的角色。

• 系统分配的托管标识
• 用户分配的托管标识
• 工作负载标识
• 服务主体

目标服务	内置角色	说明	ID
Azure Cosmos DB	DocumentDB 帐户参与者	可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。	5bd9cd88-fe45-4216-938b-f97437e15450
Azure Key Vault	Key Vault 机密用户	读取机密内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	4633458b-17de-408a-b874-0445c86b69e6
	密钥保管库证书用户	读取证书内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。	db79e9a7-68ee-4b58-9aeb-b90e7c24fcba
Azure Blob 存储	存储 Blob 数据参与者	读取、写入和删除 Azure 存储容器和 Blob。	ba92f5b4-2d11-453d-a403-e96b0029c9fe
Azure 存储队列	存储队列数据参与者	读取、写入和删除 Azure 存储队列和队列消息。	974c5e8b-45b9-4653-ba55-5f855dd0fb88
Azure 存储表	存储表数据参与者	对 Azure 存储表和实体进行读取、写入和删除访问。	0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3
Azure 事件中心	Azure 事件中心数据接收方	允许接收对 Azure 事件中心资源的访问权限。	a638d3c7-ab3a-418d-83e6-5f17a39d4fde
	Azure 事件中心数据发送方	允许以发送方式访问 Azure 事件中心资源。	2b629674-e913-4c01-ae53-ef4638d8f975
Azure 应用配置	应用程序配置数据读取者	允许对应用程序配置数据进行读取访问。	516239f1-63e1-4d78-a4de-a74fb236a071
Azure 服务总线	服务总线数据接收方	允许对 Azure 服务总线资源进行接收访问。	4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0
	服务总线数据发送方	允许对 Azure 服务总线资源进行发送访问。	69a216fc-b8fb-44d8-bc22-1f3c2cd27a39
Azure SignalR	SignalR 服务所有者	完全访问 Azure Signal 服务 REST API。	7e4f1700-ea5a-4f59-8f37-079cfe29dce3
Azure WebPubSub	SignalR/Web PubSub 参与者	创建、读取、更新和删除 SignalR 服务资源。	8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761
Azure OpenAI 服务	认知服务 OpenAI 参与者	完全访问权限，包括微调、部署和生成文本的功能。	a001fd3d-188f-4b5d-821b-7da978bf7442
Azure 认知服务	认知服务用户	允许读取和列出认知服务的密钥。	a97b65f3-24c7-4388-baec-2e87135dc908

有关这些角色的详细信息，请转到 Azure 内置角色

角色自定义

在服务连接器中创建新连接时，用户可以选择默认角色以外的其他角色。 这在 Azure 门户的“服务连接器”菜单中的“身份验证”选项卡的“高级>角色”下完成。

相关内容

• 服务连接器内部机制
• 服务连接器的权限要求