你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
服务连接器的权限要求
服务连接器使用代理令牌在 Azure 服务之间创建连接。 与特定 Azure 资源创建连接需要对该资源拥有相应的权限。
应用程序服务
操作 |
说明 |
Microsoft.Web/sites/config/write |
更新 Web 应用的配置设置 |
Microsoft.web/sites/config/delete |
删除 Web 应用配置。 |
Microsoft.Web/sites/config/list/action |
列出 Web 应用的安全敏感设置,例如发布凭据、应用设置和连接字符串 |
Microsoft.Web/sites/config/Read |
获取 Web 应用配置设置 |
Microsoft.Web/sites/write |
创建新的或更新现有的 Web 应用 |
Microsoft.Web/sites/read |
获取 Web 应用的属性 |
Webapp 槽
操作 |
说明 |
Microsoft.Web/sites/slots/Write |
创建新的或更新现有的 Web 应用槽 |
Microsoft.Web/sites/slots/Read |
获取 Web 应用部署槽的属性 |
Microsoft.Web/sites/slots/config/Read |
获取 Web 应用槽的配置设置 |
Microsoft.Web/sites/slots/config/Write |
更新 Web 应用槽的配置设置 |
microsoft.web/sites/slots/config/delete |
删除 Web 应用槽配置。 |
Microsoft.Web/sites/slots/config/list/Action |
列出 Web 应用槽的安全敏感设置,例如发布凭据、应用设置和连接字符串 |
Azure Spring 应用
操作 |
说明 |
Microsoft.AppPlatform/Spring/read |
获取 Azure Spring Apps 服务实例 |
Microsoft.AppPlatform/Spring/apps/read |
获取特定的 Azure Spring Apps 服务实例的应用程序 |
Microsoft.AppPlatform/Spring/apps/write |
创建或更新特定的 Azure Spring Apps 服务实例的应用程序 |
Microsoft.AppPlatform/Spring/apps/deployments/*/read |
获取特定应用程序的部署 |
Microsoft.AppPlatform/Spring/apps/deployments/*/write |
创建或更新特定应用程序的部署 |
Microsoft.AppPlatform/Spring/apps/deployments/*/delete |
删除特定应用程序的部署 |
Azure Container Apps
操作 |
说明 |
Microsoft.App/containerApps/read |
获取容器应用 |
Microsoft.App/containerApps/write |
创建或更新容器应用 |
Microsoft.App/containerApps/listsecrets/action |
列出容器应用的机密 |
Microsoft.App/managedEnvironments/read |
获取托管环境 |
Microsoft.App/locations/managedEnvironmentOperationStatuses/read |
获取托管环境长时间运行的操作状态 |
microsoft.app/locations/containerappoperationstatuses/read |
获取容器应用长时间运行的操作状态 |
microsoft.app/locations/containerappoperationresults/read |
获取容器应用长时间运行的操作结果 |
microsoft.app/locations/managedenvironmentoperationresults/read |
获取托管环境长时间运行的操作结果 |
Azure 容器应用中的 Dapr
操作 |
说明 |
Microsoft.App/managedEnvironments/daprComponents/read |
读取托管环境 Dapr 组件 |
Microsoft.App/managedEnvironments/daprComponents/write |
创建或更新托管环境 Dapr 组件 |
Microsoft.App/managedEnvironments/daprComponents/delete |
删除托管环境 Dapr 组件 |
用于 Redis 的 Azure 缓存
操作 |
说明 |
Microsoft.Cache/redis/read |
在管理门户中查看 Redis 缓存的设置和配置 |
Microsoft.Cache/redis/firewallRules/read |
获取 Redis 缓存的 IP 防火墙规则 |
Microsoft.Cache/redis/firewallRules/write |
编辑 Redis 缓存的 IP 防火墙规则 |
Microsoft.Cache/redis/firewallRules/delete |
删除 Redis 缓存的 IP 防火墙规则 |
Microsoft.Cache/redis/listKeys/action |
在管理门户中查看 Redis 缓存访问密钥的值 |
Azure Cache for Redis Enterprise
操作 |
说明 |
Microsoft.Cache/redisEnterprise/read |
在管理门户中查看 Redis Enterprise 缓存的设置和配置 |
Microsoft.Cache/redisEnterprise/databases/read |
在管理门户中查看 Redis Enterprise 缓存数据库的设置和配置 |
Microsoft.Cache/redisEnterprise/databases/listKeys/action |
在管理门户中查看 Redis Enterprise 数据库访问密钥的值 |
Azure Database for PostgreSQL
Azure Database for PostgreSQL
操作 |
说明 |
Microsoft.DBforPostgreSQL/servers/firewallRules/read |
返回服务器的防火墙规则列表,或获取指定防火墙规则的属性。 |
Microsoft.DBforPostgreSQL/servers/firewallRules/write |
使用指定参数创建防火墙规则,或更新现有规则。 |
Microsoft.DBforPostgreSQL/servers/firewallRules/delete |
删除现有防火墙规则。 |
Microsoft.DBForPostgreSQL/servers/read |
返回服务器列表,或获取指定服务器的属性。 |
Microsoft.DBForPostgreSQL/servers/databases/read |
返回 PostgreSQL 数据库列表,或获取指定数据库的属性。 |
Microsoft.DBforPostgreSQL/servers/write |
使用指定参数创建服务器,或更新指定服务器的属性或标记。 |
Azure Database for PostgreSQL(服务终结点)
操作 |
说明 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read |
返回虚拟网络规则列表,或获取指定虚拟网络规则的属性。 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write |
使用指定参数创建虚拟网络规则,或更新指定虚拟网络规则的属性或标记。 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete |
删除现有虚拟网络规则 |
Azure Database for PostgreSQL 灵活服务器
操作 |
说明 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read |
返回服务器的防火墙规则列表,或获取指定防火墙规则的属性。 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write |
使用指定参数创建防火墙规则,或更新现有规则。 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete |
删除现有防火墙规则。 |
Microsoft.DBForPostgreSQL/flexibleServers/read |
返回服务器列表,或获取指定服务器的属性。 |
Microsoft.DBForPostgreSQL/flexibleServers/databases/read |
返回 PostgreSQL 服务器数据库的列表,或获取指定服务器的数据库。 |
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read |
返回 PostgreSQL 服务器配置的列表,或获取指定服务器的配置。 |
Azure Database for MySQL
操作 |
说明 |
Microsoft.DBforMySQL/servers/firewallRules/read |
返回服务器的防火墙规则列表,或获取指定防火墙规则的属性。 |
Microsoft.DBforMySQL/servers/firewallRules/write |
使用指定参数创建防火墙规则,或更新现有规则。 |
Microsoft.DBforMySQL/servers/firewallRules/delete |
删除现有防火墙规则。 |
Microsoft.DBforMySQL/servers/read |
返回服务器列表,或获取指定服务器的属性。 |
Microsoft.DBforMySQL/servers/databases/read |
返回 MySQL 数据库列表,或获取指定数据库的属性。 |
Microsoft.DBforMySQL/servers/write |
使用指定参数创建服务器,或更新指定服务器的属性或标记。 |
Azure Database for MySQL(服务终结点)
操作 |
说明 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/read |
返回虚拟网络规则列表,或获取指定虚拟网络规则的属性。 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/write |
使用指定参数创建虚拟网络规则,或更新指定虚拟网络规则的属性或标记。 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete |
删除现有虚拟网络规则 |
Azure Database for MySQL - 灵活服务器
操作 |
说明 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/read |
返回服务器的防火墙规则列表,或获取指定防火墙规则的属性。 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/write |
使用指定参数创建防火墙规则,或更新现有规则。 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete |
删除现有防火墙规则。 |
Microsoft.DBforMySQL/flexibleServers/read |
返回服务器列表,或获取指定服务器的属性。 |
Microsoft.DBforMySQL/flexibleServers/databases/read |
返回服务器的数据库列表,或获取指定数据库的属性。 |
Microsoft.DBforMySQL/flexibleServers/configurations/read |
返回 MySQL 服务器配置的列表,或获取指定服务器的配置。 |
Azure 应用程序配置
操作 |
说明 |
Microsoft.AppConfiguration/configurationStores/ListKeys/action |
列出指定的配置存储区的 API 密钥。 |
Microsoft.AppConfiguration/configurationStores/read |
获取指定的配置存储区的属性,或列出指定资源组或订阅下的所有配置存储区。 |
Azure 事件中心
操作 |
说明 |
Microsoft.EventHub/namespaces/read |
获取命名空间资源说明列表 |
Microsoft.EventHub/namespaces/ipFilterRules/read |
获取 IP 筛选器资源 |
Microsoft.EventHub/namespaces/ipFilterRules/write |
创建 IP 筛选器资源 |
Microsoft.EventHub/namespaces/ipFilterRules/delete |
删除 IP 筛选器资源 |
Microsoft.EventHub/namespaces/networkrulesets/read |
获取 NetworkRuleSet 资源 |
Microsoft.EventHub/namespaces/networkrulesets/write |
创建 VNET 规则资源 |
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action |
获取命名空间的连接字符串 |
Azure 服务总线
操作 |
说明 |
Microsoft.ServiceBus/namespaces/read |
获取命名空间资源说明列表 |
Microsoft.ServiceBus/namespaces/ipFilterRules/read |
获取 IP 筛选器资源 |
Microsoft.ServiceBus/namespaces/ipFilterRules/write |
创建 IP 筛选器资源 |
Microsoft.ServiceBus/namespaces/ipFilterRules/delete |
删除 IP 筛选器资源 |
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action |
获取命名空间的连接字符串 |
Microsoft.ServiceBus/namespaces/networkrulesets/read |
获取 NetworkRuleSet 资源 |
Microsoft.ServiceBus/namespaces/networkrulesets/write |
创建 VNET 规则资源 |
Azure Blob 存储
操作 |
说明 |
Microsoft.Storage/storageAccounts/read |
返回存储帐户的列表,或获取指定存储帐户的属性。 |
Microsoft.Storage/storageAccounts/write |
使用指定的参数创建存储帐户、更新指定存储帐户的属性或标记,或者为其添加自定义域。 |
Microsoft.Storage/storageAccounts/listkeys/action |
返回指定存储帐户的访问密钥。 |
Azure SignalR 服务
操作 |
说明 |
Microsoft.SignalRService/SignalR/read |
在管理门户中或通过 API 查看 SignalR 的设置和配置 |
Microsoft.SignalRService/SignalR/write |
在管理门户中或通过 API 修改 SignalR 的设置和配置 |
Microsoft.SignalRService/locations/operationresults/signalr/read |
查询基于位置的异步操作的结果 |
Microsoft.SignalRService/locations/operationStatuses/signalr/read |
查询基于位置的异步操作的状态 |
Microsoft.SignalRService/SignalR/operationResults/read |
|
Microsoft.SignalRService/SignalR/operationStatuses/read |
|
Microsoft.SignalRService/SignalR/listkeys/action |
通过管理门户或 API 查看 SignalR 访问密钥的值 |
Azure Web PubSub 服务
操作 |
说明 |
Microsoft.SignalRService/WebPubSub/read |
在管理门户中或通过 API 查看 WebPubSub 的设置和配置 |
Microsoft.SignalRService/WebPubSub/write |
在管理门户中或通过 API 修改 WebPubSub 的设置和配置 |
Microsoft.SignalRService/locations/operationresults/webpubsub/read |
查询基于位置的异步操作的结果 |
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read |
查询基于位置的异步操作的状态 |
Microsoft.SignalRService/WebPubSub/operationResults/read |
|
Microsoft.SignalRService/WebPubSub/operationStatuses/read |
通过管理门户或 API 查看 WebPubSub 访问密钥的值 |
Microsoft.SignalRService/WebPubSub/listkeys/action |
通过管理门户或 API 查看 WebPubSub 访问密钥的值 |
Azure Cosmos DB
警告
Microsoft 建议使用最安全的可用身份验证流。 本过程中介绍的身份验证流程需要非常高的信任度,并携带其他流中不存在的风险。 请仅在无法使用其他更安全的流(例如托管标识)时才使用此流。
操作 |
说明 |
Microsoft.DocumentDB/databaseAccounts/read |
读取数据库帐户。 |
Microsoft.DocumentDB/databaseAccounts/write |
更新数据库帐户。 |
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action |
获取数据库帐户的连接字符串 |
Microsoft.DocumentDB/databaseAccounts/listKeys/action |
列出数据库帐户的密钥 |
Azure SQL 数据库
操作 |
说明 |
Microsoft.Sql/servers/firewallRules/read |
返回服务器防火墙规则的列表,或获取指定服务器防火墙规则的属性。 |
Microsoft.Sql/servers/firewallRules/write |
使用指定参数创建服务器防火墙规则、更新指定规则的属性、或使用新的服务器防火墙规则覆盖所有现有规则。 |
Microsoft.Sql/servers/firewallRules/delete |
删除现有服务器防火墙规则。 |
Microsoft.Sql/servers/databases/read |
返回数据库的列表,或获取指定数据库的属性。 |
Microsoft.Sql/servers/read |
返回服务器列表,或获取指定服务器的属性。 |
Microsoft.Sql/servers/virtualNetworkRules/read |
返回虚拟网络规则列表,或获取指定虚拟网络规则的属性。 |
Microsoft.Sql/servers/virtualNetworkRules/write |
使用指定参数创建虚拟网络规则,或更新指定虚拟网络规则的属性或标记。 |
Microsoft.Sql/servers/virtualNetworkRules/delete |
删除现有虚拟网络规则 |
Azure Key Vault
操作 |
说明 |
Microsoft.KeyVault/vaults/write |
创建新的密钥保管库,或更新现有密钥保管库的属性。 某些属性可能需要更多的权限。 |
Microsoft.KeyVault/vaults/read |
查看密钥保管库的属性 |
Microsoft.KeyVault/vaults/secrets/write |
创建新机密或更新现有机密的值。 |
Microsoft.KeyVault/vaults/accessPolicies/write |
通过合并或替换来更新现有访问策略,或向密钥保管库添加新的访问策略。 |
Azure Cosmos DB
操作 |
说明 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read |
读取 SQL 角色定义 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write |
创建或更新 SQL 角色定义 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete |
删除 SQL 角色分配 |
如果使用托管标识或服务主体作为身份验证类型创建了连接,则服务连接器可能需要向该托管标识或服务主体授予权限。 下表列出了在此场景中创建连接所要满足的权限要求。
操作 |
说明 |
Microsoft.Authorization/roleAssignments/read |
获取有关角色分配的信息。 |
Microsoft.Authorization/roleAssignments/write |
创建指定范围的角色分配。 |
Microsoft.Authorization/roleAssignments/delete |
删除指定范围的角色分配。 |
用户分配的托管标识连接
如果使用用户分配的托管标识作为身份验证类型创建了连接,则服务连接器可能需要向该用户分配的托管标识授予权限。 下表列出了在此场景中创建连接所要满足的权限要求。
操作 |
说明 |
Microsoft.ManagedIdentity/userAssignedIdentities/read |
获取现有用户分配标识 |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
RBAC 操作用于将现有用户分配标识分配给资源 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read |
获取或列出联合标识凭据 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write |
添加或更新联合标识凭据 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete |
删除联合标识凭据 |
如果使用专用终结点或服务终结点作为网络解决方案创建了连接,则服务连接器可能需要向你的标识授予权限。 下表列出了在此场景中创建连接所要满足的权限要求。
操作 |
说明 |
Microsoft.Network/publicIPAddresses/read |
获取公共 IP 地址定义。 |
Microsoft.Network/virtualNetworks/subnets/read |
获取虚拟网络子网定义 |
Microsoft.Network/virtualNetworks/subnets/write |
创建虚拟网络子网,或更新现有的虚拟网络子网 |
Microsoft.Network/privateEndpoints/read |
获取专用终结点资源。 |
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action |
将存储帐户或 SQL 数据库等资源加入到子网。 不可发出警报。 |
Microsoft.Network/networkSecurityGroups/join/action |
加入网络安全组。 不可发出警报。 |
Microsoft.Network/serviceEndpointPolicies/join/action |
加入服务终结点策略。 不可发出警报。 |
Microsoft.Network/natGateways/join/action |
加入 NAT 网关 |
Microsoft.Network/networkIntentPolicies/join/action |
加入网络意向策略。 不可发出警报。 |
Microsoft.Network/networkSecurityGroups/join/action |
加入网络安全组。 不可发出警报。 |
Microsoft.Network/routeTables/join/action |
加入路由表。 不可发出警报。 |