你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

服务连接器的权限要求

服务连接器使用代理令牌在 Azure 服务之间创建连接。 与特定 Azure 资源创建连接需要对该资源拥有相应的权限。

应用程序服务

操作 说明
Microsoft.Web/sites/config/write 更新 Web 应用的配置设置
Microsoft.web/sites/config/delete 删除 Web 应用配置。
Microsoft.Web/sites/config/list/action 列出 Web 应用的安全敏感设置,例如发布凭据、应用设置和连接字符串
Microsoft.Web/sites/config/Read 获取 Web 应用配置设置
Microsoft.Web/sites/write 创建新的或更新现有的 Web 应用
Microsoft.Web/sites/read 获取 Web 应用的属性

Webapp 槽

操作 说明
Microsoft.Web/sites/slots/Write 创建新的或更新现有的 Web 应用槽
Microsoft.Web/sites/slots/Read 获取 Web 应用部署槽的属性
Microsoft.Web/sites/slots/config/Read 获取 Web 应用槽的配置设置
Microsoft.Web/sites/slots/config/Write 更新 Web 应用槽的配置设置
microsoft.web/sites/slots/config/delete 删除 Web 应用槽配置。
Microsoft.Web/sites/slots/config/list/Action 列出 Web 应用槽的安全敏感设置,例如发布凭据、应用设置和连接字符串

Azure Spring 应用

操作 说明
Microsoft.AppPlatform/Spring/read 获取 Azure Spring Apps 服务实例
Microsoft.AppPlatform/Spring/apps/read 获取特定的 Azure Spring Apps 服务实例的应用程序
Microsoft.AppPlatform/Spring/apps/write 创建或更新特定的 Azure Spring Apps 服务实例的应用程序
Microsoft.AppPlatform/Spring/apps/deployments/*/read 获取特定应用程序的部署
Microsoft.AppPlatform/Spring/apps/deployments/*/write 创建或更新特定应用程序的部署
Microsoft.AppPlatform/Spring/apps/deployments/*/delete 删除特定应用程序的部署

Azure Container Apps

操作 说明
Microsoft.App/containerApps/read 获取容器应用
Microsoft.App/containerApps/write 创建或更新容器应用
Microsoft.App/containerApps/listsecrets/action 列出容器应用的机密
Microsoft.App/managedEnvironments/read 获取托管环境
Microsoft.App/locations/managedEnvironmentOperationStatuses/read 获取托管环境长时间运行的操作状态
microsoft.app/locations/containerappoperationstatuses/read 获取容器应用长时间运行的操作状态
microsoft.app/locations/containerappoperationresults/read 获取容器应用长时间运行的操作结果
microsoft.app/locations/managedenvironmentoperationresults/read 获取托管环境长时间运行的操作结果

Azure 容器应用中的 Dapr

操作 说明
Microsoft.App/managedEnvironments/daprComponents/read 读取托管环境 Dapr 组件
Microsoft.App/managedEnvironments/daprComponents/write 创建或更新托管环境 Dapr 组件
Microsoft.App/managedEnvironments/daprComponents/delete 删除托管环境 Dapr 组件

用于 Redis 的 Azure 缓存

操作 说明
Microsoft.Cache/redis/read 在管理门户中查看 Redis 缓存的设置和配置
Microsoft.Cache/redis/firewallRules/read 获取 Redis 缓存的 IP 防火墙规则
Microsoft.Cache/redis/firewallRules/write 编辑 Redis 缓存的 IP 防火墙规则
Microsoft.Cache/redis/firewallRules/delete 删除 Redis 缓存的 IP 防火墙规则
Microsoft.Cache/redis/listKeys/action 在管理门户中查看 Redis 缓存访问密钥的值

Azure Cache for Redis Enterprise

操作 说明
Microsoft.Cache/redisEnterprise/read 在管理门户中查看 Redis Enterprise 缓存的设置和配置
Microsoft.Cache/redisEnterprise/databases/read 在管理门户中查看 Redis Enterprise 缓存数据库的设置和配置
Microsoft.Cache/redisEnterprise/databases/listKeys/action 在管理门户中查看 Redis Enterprise 数据库访问密钥的值

Azure Database for PostgreSQL

Azure Database for PostgreSQL

操作 说明
Microsoft.DBforPostgreSQL/servers/firewallRules/read 返回服务器的防火墙规则列表,或获取指定防火墙规则的属性。
Microsoft.DBforPostgreSQL/servers/firewallRules/write 使用指定参数创建防火墙规则,或更新现有规则。
Microsoft.DBforPostgreSQL/servers/firewallRules/delete 删除现有防火墙规则。
Microsoft.DBForPostgreSQL/servers/read 返回服务器列表,或获取指定服务器的属性。
Microsoft.DBForPostgreSQL/servers/databases/read 返回 PostgreSQL 数据库列表,或获取指定数据库的属性。
Microsoft.DBforPostgreSQL/servers/write 使用指定参数创建服务器,或更新指定服务器的属性或标记。

Azure Database for PostgreSQL(服务终结点)

操作 说明
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read 返回虚拟网络规则列表,或获取指定虚拟网络规则的属性。
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write 使用指定参数创建虚拟网络规则,或更新指定虚拟网络规则的属性或标记。
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete 删除现有虚拟网络规则

Azure Database for PostgreSQL 灵活服务器

操作 说明
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read 返回服务器的防火墙规则列表,或获取指定防火墙规则的属性。
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write 使用指定参数创建防火墙规则,或更新现有规则。
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete 删除现有防火墙规则。
Microsoft.DBForPostgreSQL/flexibleServers/read 返回服务器列表,或获取指定服务器的属性。
Microsoft.DBForPostgreSQL/flexibleServers/databases/read 返回 PostgreSQL 服务器数据库的列表,或获取指定服务器的数据库。
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read 返回 PostgreSQL 服务器配置的列表,或获取指定服务器的配置。

Azure Database for MySQL

操作 说明
Microsoft.DBforMySQL/servers/firewallRules/read 返回服务器的防火墙规则列表,或获取指定防火墙规则的属性。
Microsoft.DBforMySQL/servers/firewallRules/write 使用指定参数创建防火墙规则,或更新现有规则。
Microsoft.DBforMySQL/servers/firewallRules/delete 删除现有防火墙规则。
Microsoft.DBforMySQL/servers/read 返回服务器列表,或获取指定服务器的属性。
Microsoft.DBforMySQL/servers/databases/read 返回 MySQL 数据库列表,或获取指定数据库的属性。
Microsoft.DBforMySQL/servers/write 使用指定参数创建服务器,或更新指定服务器的属性或标记。

Azure Database for MySQL(服务终结点)

操作 说明
Microsoft.DBforMySQL/servers/virtualNetworkRules/read 返回虚拟网络规则列表,或获取指定虚拟网络规则的属性。
Microsoft.DBforMySQL/servers/virtualNetworkRules/write 使用指定参数创建虚拟网络规则,或更新指定虚拟网络规则的属性或标记。
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete 删除现有虚拟网络规则

Azure Database for MySQL - 灵活服务器

操作 说明
Microsoft.DBforMySQL/flexibleServers/firewallRules/read 返回服务器的防火墙规则列表,或获取指定防火墙规则的属性。
Microsoft.DBforMySQL/flexibleServers/firewallRules/write 使用指定参数创建防火墙规则,或更新现有规则。
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete 删除现有防火墙规则。
Microsoft.DBforMySQL/flexibleServers/read 返回服务器列表,或获取指定服务器的属性。
Microsoft.DBforMySQL/flexibleServers/databases/read 返回服务器的数据库列表,或获取指定数据库的属性。
Microsoft.DBforMySQL/flexibleServers/configurations/read 返回 MySQL 服务器配置的列表,或获取指定服务器的配置。

Azure 应用程序配置

操作 说明
Microsoft.AppConfiguration/configurationStores/ListKeys/action 列出指定的配置存储区的 API 密钥。
Microsoft.AppConfiguration/configurationStores/read 获取指定的配置存储区的属性,或列出指定资源组或订阅下的所有配置存储区。

Azure 事件中心

操作 说明
Microsoft.EventHub/namespaces/read 获取命名空间资源说明列表
Microsoft.EventHub/namespaces/ipFilterRules/read 获取 IP 筛选器资源
Microsoft.EventHub/namespaces/ipFilterRules/write 创建 IP 筛选器资源
Microsoft.EventHub/namespaces/ipFilterRules/delete 删除 IP 筛选器资源
Microsoft.EventHub/namespaces/networkrulesets/read 获取 NetworkRuleSet 资源
Microsoft.EventHub/namespaces/networkrulesets/write 创建 VNET 规则资源
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action 获取命名空间的连接字符串

Azure 服务总线

操作 说明
Microsoft.ServiceBus/namespaces/read 获取命名空间资源说明列表
Microsoft.ServiceBus/namespaces/ipFilterRules/read 获取 IP 筛选器资源
Microsoft.ServiceBus/namespaces/ipFilterRules/write 创建 IP 筛选器资源
Microsoft.ServiceBus/namespaces/ipFilterRules/delete 删除 IP 筛选器资源
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action 获取命名空间的连接字符串
Microsoft.ServiceBus/namespaces/networkrulesets/read 获取 NetworkRuleSet 资源
Microsoft.ServiceBus/namespaces/networkrulesets/write 创建 VNET 规则资源

Azure Blob 存储

操作 说明
Microsoft.Storage/storageAccounts/read 返回存储帐户的列表,或获取指定存储帐户的属性。
Microsoft.Storage/storageAccounts/write 使用指定的参数创建存储帐户、更新指定存储帐户的属性或标记,或者为其添加自定义域。
Microsoft.Storage/storageAccounts/listkeys/action 返回指定存储帐户的访问密钥。

Azure SignalR 服务

操作 说明
Microsoft.SignalRService/SignalR/read 在管理门户中或通过 API 查看 SignalR 的设置和配置
Microsoft.SignalRService/SignalR/write 在管理门户中或通过 API 修改 SignalR 的设置和配置
Microsoft.SignalRService/locations/operationresults/signalr/read 查询基于位置的异步操作的结果
Microsoft.SignalRService/locations/operationStatuses/signalr/read 查询基于位置的异步操作的状态
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action 通过管理门户或 API 查看 SignalR 访问密钥的值

Azure Web PubSub 服务

操作 说明
Microsoft.SignalRService/WebPubSub/read 在管理门户中或通过 API 查看 WebPubSub 的设置和配置
Microsoft.SignalRService/WebPubSub/write 在管理门户中或通过 API 修改 WebPubSub 的设置和配置
Microsoft.SignalRService/locations/operationresults/webpubsub/read 查询基于位置的异步操作的结果
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read 查询基于位置的异步操作的状态
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read 通过管理门户或 API 查看 WebPubSub 访问密钥的值
Microsoft.SignalRService/WebPubSub/listkeys/action 通过管理门户或 API 查看 WebPubSub 访问密钥的值

Azure Cosmos DB

警告

Microsoft 建议使用最安全的可用身份验证流。 本过程中介绍的身份验证流程需要非常高的信任度,并携带其他流中不存在的风险。 请仅在无法使用其他更安全的流(例如托管标识)时才使用此流。

操作 说明
Microsoft.DocumentDB/databaseAccounts/read 读取数据库帐户。
Microsoft.DocumentDB/databaseAccounts/write 更新数据库帐户。
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action 获取数据库帐户的连接字符串
Microsoft.DocumentDB/databaseAccounts/listKeys/action 列出数据库帐户的密钥

Azure SQL 数据库

操作 说明
Microsoft.Sql/servers/firewallRules/read 返回服务器防火墙规则的列表,或获取指定服务器防火墙规则的属性。
Microsoft.Sql/servers/firewallRules/write 使用指定参数创建服务器防火墙规则、更新指定规则的属性、或使用新的服务器防火墙规则覆盖所有现有规则。
Microsoft.Sql/servers/firewallRules/delete 删除现有服务器防火墙规则。
Microsoft.Sql/servers/databases/read 返回数据库的列表,或获取指定数据库的属性。
Microsoft.Sql/servers/read 返回服务器列表,或获取指定服务器的属性。
Microsoft.Sql/servers/virtualNetworkRules/read 返回虚拟网络规则列表,或获取指定虚拟网络规则的属性。
Microsoft.Sql/servers/virtualNetworkRules/write 使用指定参数创建虚拟网络规则,或更新指定虚拟网络规则的属性或标记。
Microsoft.Sql/servers/virtualNetworkRules/delete 删除现有虚拟网络规则

Azure Key Vault

操作 说明
Microsoft.KeyVault/vaults/write 创建新的密钥保管库,或更新现有密钥保管库的属性。 某些属性可能需要更多的权限。
Microsoft.KeyVault/vaults/read 查看密钥保管库的属性
Microsoft.KeyVault/vaults/secrets/write 创建新机密或更新现有机密的值。
Microsoft.KeyVault/vaults/accessPolicies/write 通过合并或替换来更新现有访问策略,或向密钥保管库添加新的访问策略。

Azure Cosmos DB

操作 说明
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read 读取 SQL 角色定义
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write 创建或更新 SQL 角色定义
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete 删除 SQL 角色分配

如果使用托管标识或服务主体作为身份验证类型创建了连接,则服务连接器可能需要向该托管标识或服务主体授予权限。 下表列出了在此场景中创建连接所要满足的权限要求。

操作 说明
Microsoft.Authorization/roleAssignments/read 获取有关角色分配的信息。
Microsoft.Authorization/roleAssignments/write 创建指定范围的角色分配。
Microsoft.Authorization/roleAssignments/delete 删除指定范围的角色分配。

用户分配的托管标识连接

如果使用用户分配的托管标识作为身份验证类型创建了连接,则服务连接器可能需要向该用户分配的托管标识授予权限。 下表列出了在此场景中创建连接所要满足的权限要求。

操作 说明
Microsoft.ManagedIdentity/userAssignedIdentities/read 获取现有用户分配标识
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action RBAC 操作用于将现有用户分配标识分配给资源
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read 获取或列出联合标识凭据
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write 添加或更新联合标识凭据
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete 删除联合标识凭据

如果使用专用终结点或服务终结点作为网络解决方案创建了连接,则服务连接器可能需要向你的标识授予权限。 下表列出了在此场景中创建连接所要满足的权限要求。

操作 说明
Microsoft.Network/publicIPAddresses/read 获取公共 IP 地址定义。
Microsoft.Network/virtualNetworks/subnets/read 获取虚拟网络子网定义
Microsoft.Network/virtualNetworks/subnets/write 创建虚拟网络子网,或更新现有的虚拟网络子网
Microsoft.Network/privateEndpoints/read 获取专用终结点资源。
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action 将存储帐户或 SQL 数据库等资源加入到子网。 不可发出警报。
Microsoft.Network/networkSecurityGroups/join/action 加入网络安全组。 不可发出警报。
Microsoft.Network/serviceEndpointPolicies/join/action 加入服务终结点策略。 不可发出警报。
Microsoft.Network/natGateways/join/action 加入 NAT 网关
Microsoft.Network/networkIntentPolicies/join/action 加入网络意向策略。 不可发出警报。
Microsoft.Network/networkSecurityGroups/join/action 加入网络安全组。 不可发出警报。
Microsoft.Network/routeTables/join/action 加入路由表。 不可发出警报。

高可用性