Rôles intégrés Azure pour la sécurité
Cet article répertorie les rôles intégrés Azure dans la catégorie Sécurité.
Administrateur Automation de conformité des applications
Créez, lisez, téléchargez, modifiez et supprimez des objets de rapports et d’autres objets de ressources associés.
Actions | Description |
---|---|
Microsoft.AppComplianceAutomation/* | |
Microsoft.Storage/storageAccounts/blobServices/write | Retourne le résultat des propriétés du service blob de placement |
Microsoft.Storage/storageAccounts/fileservices/write | Place des propriétés du service de fichiers |
Microsoft.Storage/storageAccounts/listKeys/action | Retourne les clés d’accès au compte de stockage spécifié. |
Microsoft.Storage/storageAccounts/write | Crée un compte de stockage avec les paramètres spécifiés ou met à jour les propriétés ou les balises, ou ajoute un domaine personnalisé pour le compte de stockage spécifié. |
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Retourne une clé de délégation d’utilisateur pour le service BLOB. |
Microsoft.Storage/storageAccounts/read | Retourne la liste des comptes de stockage ou récupère les propriétés du compte de stockage spécifié. |
Microsoft.Storage/storageAccounts/blobServices/containers/read | Retourne la liste des conteneurs |
Microsoft.Storage/storageAccounts/blobServices/containers/write | Retourne le résultat du conteneur put blob |
Microsoft.Storage/storageAccounts/blobServices/read | Retourne les propriétés ou statistiques du service blob |
Microsoft.PolicyInsights/policyStates/queryResults/action | Demande des informations sur les états de stratégie. |
Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | Déclencher une nouvelle évaluation de conformité pour l'étendue sélectionnée |
Microsoft.Resources/resources/read | Obtenir la liste des ressources en fonction des filtres. |
Microsoft.Resources/subscriptions/read | Obtient la liste des abonnements. |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Resources/subscriptions/resourceGroups/resources/read | Obtient les ressources du groupe de ressources. |
Microsoft.Resources/subscriptions/resources/read | Obtient les ressources d’un abonnement. |
Microsoft.Resources/subscriptions/resourceGroups/delete | Supprime un groupe de ressources, ainsi que toutes ses ressources. |
Microsoft.Resources/subscriptions/resourceGroups/write | Crée ou met à jour un groupe de ressources. |
Microsoft.Resources/tags/read | Obtient toutes les balises sur une ressource. |
Microsoft.Resources/deployments/validate/action | Valide un déploiement. |
Microsoft.Security/automations/read | Obtient les automatisations pour la portée |
Microsoft.Resources/deployments/write | Crée ou met à jour un déploiement. |
Microsoft.Security/automations/delete | Supprime l’automatisation pour la portée |
Microsoft.Security/automations/write | Crée ou met à jour l’automatisation pour la portée |
Microsoft.Security/register/action | Enregistre l’abonnement pour Azure Security Center |
Microsoft.Security/unregister/action | Annule l’inscription de l’abonnement dans Azure Security Center |
*/read | Lire les ressources de tous les types, à l’exception des secrets. |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Lecteur Automation de conformité des applications
Lisez et téléchargez les objets de rapports et d’autres objets de ressources associés.
Actions | Description |
---|---|
*/read | Lire les ressources de tous les types, à l’exception des secrets. |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contributeur d’attestation
Peut lire, écrire ou supprimer l’instance du fournisseur d’attestations
Actions | Description |
---|---|
Microsoft.Attestation/attestationProviders/attestation/read | Obtient l’état du service d’attestation. |
Microsoft.Attestation/attestationProviders/attestation/write | Ajoute le service d’attestation. |
Microsoft.Attestation/attestationProviders/attestation/delete | Supprime le service d’attestation. |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Lecteur d’attestation
Peut lire les propriétés du fournisseur d’attestations
Actions | Description |
---|---|
Microsoft.Attestation/attestationProviders/attestation/read | Obtient l’état du service d’attestation. |
Microsoft.Attestation/attestationProviders/read | Obtient l’état du service d’attestation. |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrateur Key Vault
Permet d’effectuer toutes les opération du plan de données sur un coffre de clés et tous les objets qu’il contient, notamment les certificats, les clés et les secrets. Ne peut pas gérer les ressources du coffre de clés ni gérer les attributions de rôles. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
Microsoft.KeyVault/checkNameAvailability/read | Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé |
Microsoft.KeyVault/deletedVaults/read | Afficher les propriétés de coffres Key Vault supprimés de manière réversible |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/* | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utilisateur de certificat Key Vault
Lisez le contenu du certificat. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
aucune | |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/certificates/read | Répertorie les certificats d'un coffre de clés spécifié, ou permet d'obtenir des informations sur un certificat. |
Microsoft.KeyVault/vaults/secrets/getSecret/action | Obtient la valeur d’un secret. |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Permet de répertorier ou d'affiche les propriétés d'un secret, mais pas sa valeur. |
Microsoft.KeyVault/vaults/keys/read | Répertorie les clés dans le coffre spécifié, ou lit les propriétés et le matériel public d'une clé. Pour les clés asymétriques, cette opération expose la clé publique et permet d'exécuter des algorithmes de clé publique, comme le chiffrement et la vérification de la signature. Les clés privées et les clés symétriques ne sont jamais exposées. |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Agent des certificats Key Vault
Permet d’effectuer une action sur les certificats d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
Microsoft.KeyVault/checkNameAvailability/read | Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé |
Microsoft.KeyVault/deletedVaults/read | Afficher les propriétés de coffres Key Vault supprimés de manière réversible |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/certificatecas/* | |
Microsoft.KeyVault/vaults/certificates/* | |
Microsoft.KeyVault/vaults/certificatecontacts/write | Gère le contact du certificat |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contributeur Key Vault
Permet de gérer les coffres de clés, mais ne vous permet pas d’attribuer des rôles dans Azure RBAC ni d’accéder à des secrets, des clés ou des certificats.
Important
Lorsque vous utilisez le modèle d’autorisation de stratégie d’accès, un utilisateur avec le Contributor
ou Key Vault Contributor
tout autre rôle qui inclut Microsoft.KeyVault/vaults/write
des autorisations pour le plan de gestion du coffre de clés peut se permettre d’accéder au plan de données en définissant une stratégie d’accès Key Vault. Pour empêcher l’accès et la gestion non autorisés de vos coffres de clés, clés, secrets et certificats, il est essentiel de limiter l’accès au rôle Contributeur aux coffres de clés sous le modèle d’autorisation De stratégie d’accès. Pour atténuer ce risque, nous vous recommandons d’utiliser le modèle d’autorisation RBAC (Role-Based Access Control), qui limite la gestion des autorisations aux rôles « Propriétaire » et « Administrateur de l’accès utilisateur », ce qui permet une séparation claire entre les opérations de sécurité et les tâches administratives. Pour plus d’informations, consultez le Guide RBAC Key Vault et Qu’est-ce qu’Azure RBAC ?
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.KeyVault/* | |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
NotActions | |
Microsoft.KeyVault/locations/deletedVaults/purge/action | Vider un coffre Key Vault supprimé de manière réversible |
Microsoft.KeyVault/hsmPools/* | |
Microsoft.KeyVault/managedHsms/* | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Agent de chiffrement Key Vault
Permet d’effectuer une action sur les clés d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
Microsoft.KeyVault/checkNameAvailability/read | Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé |
Microsoft.KeyVault/deletedVaults/read | Afficher les propriétés de coffres Key Vault supprimés de manière réversible |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/keys/* | |
Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utilisateur du service de chiffrement de Key Vault
Permet de lire les métadonnées des clés et d’effectuer des opérations visant à envelopper/désenvelopper. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
Microsoft.EventGrid/eventSubscriptions/write | Créer ou mettre à jour un abonnement à un événement |
Microsoft.EventGrid/eventSubscriptions/read | Lit un abonnement à un événement |
Microsoft.EventGrid/eventSubscriptions/delete | Supprimer un abonnement à un événement |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/keys/read | Répertorie les clés dans le coffre spécifié, ou lit les propriétés et le matériel public d'une clé. Pour les clés asymétriques, cette opération expose la clé publique et permet d'exécuter des algorithmes de clé publique, comme le chiffrement et la vérification de la signature. Les clés privées et les clés symétriques ne sont jamais exposées. |
Microsoft.KeyVault/vaults/keys/wrap/action | Enveloppe une clé symétrique avec une clé Key Vault. Notez que si la clé Key Vault est asymétrique, cette opération peut être effectuée par des principaux avec accès en lecture. |
Microsoft.KeyVault/vaults/keys/unwrap/action | Désenveloppe une clé symétrique avec une clé Key Vault. |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utilisateur de libération du service de chiffrement de Key Vault
Clés de mise en production. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
aucune | |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/keys/release/action | Libère une clé utilisant la partie publique d’une clé KEK du jeton d’attestation. |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utilisateur de chiffrement Key Vault
Permet d’effectuer des opérations de chiffrement à l’aide de clés. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
aucune | |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/keys/read | Répertorie les clés dans le coffre spécifié, ou lit les propriétés et le matériel public d'une clé. Pour les clés asymétriques, cette opération expose la clé publique et permet d'exécuter des algorithmes de clé publique, comme le chiffrement et la vérification de la signature. Les clés privées et les clés symétriques ne sont jamais exposées. |
Microsoft.KeyVault/vaults/keys/update/action | Met à jour les attributs spécifiés associés à la clé donnée. |
Microsoft.KeyVault/vaults/keys/backup/action | Crée le fichier de sauvegarde d’une clé. Le fichier peut être utilisé pour restaurer la clé dans un coffre de clés Key Vault du même abonnement. Des restrictions peuvent s'appliquer. |
Microsoft.KeyVault/vaults/keys/encrypt/action | Chiffre le texte en clair avec une clé. Notez que si la clé est asymétrique, cette opération peut être effectuée par des principaux avec accès en lecture. |
Microsoft.KeyVault/vaults/keys/decrypt/action | Déchiffre le texte chiffré avec une clé. |
Microsoft.KeyVault/vaults/keys/wrap/action | Enveloppe une clé symétrique avec une clé Key Vault. Notez que si la clé Key Vault est asymétrique, cette opération peut être effectuée par des principaux avec accès en lecture. |
Microsoft.KeyVault/vaults/keys/unwrap/action | Désenveloppe une clé symétrique avec une clé Key Vault. |
Microsoft.KeyVault/vaults/keys/sign/action | Signe un condensé de message (hachage) avec une clé. |
Microsoft.KeyVault/vaults/keys/verify/action | Vérifie la signature d’un condensé de message (hachage) à l’aide d’une clé. Notez que si la clé est asymétrique, cette opération peut être effectuée par des principaux avec accès en lecture. |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrateur de l’accès aux données Key Vault
Gérez l’accès à Azure Key Vault en ajoutant ou en supprimant des attributions de rôle pour les rôles Administrateur Key Vault, Agent de certificats Key Vault, Agent de chiffrement Key Vault, Utilisateur de chiffrement du service de chiffrement Key Vault, Lecteur Key Vault, Agent des secrets Key Vault ou Utilisateur des secrets Key Vault. Comprend une condition ABAC pour limiter les attributions de rôle.
Actions | Description |
---|---|
Microsoft.Authorization/roleAssignments/write | Créez une affectation de rôle au niveau de la portée spécifiée. |
Microsoft.Authorization/roleAssignments/delete | Supprimez une affectation de rôle au niveau de la portée spécifiée. |
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Resources/subscriptions/read | Obtient la liste des abonnements. |
Microsoft.Management/managementGroups/read | Répertorie les groupes d’administration de l’utilisateur authentifié. |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
Microsoft.KeyVault/vaults/*/read | |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune | |
Condition | |
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Ajoutez ou supprimez des attributions de rôles pour les rôles suivants : Administrateur Key Vault Agent des certificats Key Vault Agent de chiffrement Key Vault Utilisateur du service de chiffrement de Key Vault Utilisateur de chiffrement Key Vault Lecteur Key Vault Agent des secrets Key Vault Utilisateur des secrets Key Vault |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Lecteur Key Vault
Permet de lire les métadonnées de coffres de clés et de leurs certificats, clés et secrets. Ne peut pas lire les valeurs sensibles, telles que les contenus secrets ou les documents clés. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
Microsoft.KeyVault/checkNameAvailability/read | Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé |
Microsoft.KeyVault/deletedVaults/read | Afficher les propriétés de coffres Key Vault supprimés de manière réversible |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Permet de répertorier ou d'affiche les propriétés d'un secret, mais pas sa valeur. |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Agent des secrets Key Vault
Permet d’effectuer une action sur les secrets d’un coffre de clés, à l’exception des autorisations de gestion. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
Microsoft.KeyVault/checkNameAvailability/read | Vérifier que le nom du coffre Key Vault est valide et qu’il n’est pas déjà utilisé |
Microsoft.KeyVault/deletedVaults/read | Afficher les propriétés de coffres Key Vault supprimés de manière réversible |
Microsoft.KeyVault/locations/*/read | |
Microsoft.KeyVault/vaults/*/read | |
Microsoft.KeyVault/operations/read | Répertorie les opérations disponibles sur le fournisseur de ressources Microsoft.KeyVault |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/secrets/* | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utilisateur des secrets Key Vault
Permet de lire le contenu du secret. Fonctionne uniquement pour les coffres de clés qui utilisent le modèle d’autorisation « Contrôle d’accès en fonction du rôle Azure ».
Actions | Description |
---|---|
aucune | |
NotActions | |
aucune | |
DataActions | |
Microsoft.KeyVault/vaults/secrets/getSecret/action | Obtient la valeur d’un secret. |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | Permet de répertorier ou d'affiche les propriétés d'un secret, mais pas sa valeur. |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contributeur HSM managé
Vous permet de gérer des pools HSM managés, mais pas d’y accéder.
Actions | Description |
---|---|
Microsoft.KeyVault/managedHSMs/* | |
Microsoft.KeyVault/deletedManagedHsms/read | Afficher les propriétés d’un module HSM managé supprimé |
Microsoft.KeyVault/locations/deletedManagedHsms/read | Afficher les propriétés d’un module HSM managé supprimé |
Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Purger un module HSM managé supprimé de manière réversible |
Microsoft.KeyVault/locations/managedHsmOperationResults/read | Vérifier le résultat d’une opération longue |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contributeur Microsoft Sentinel Automation
Contributeur Microsoft Sentinel Automation
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Logic/workflows/triggers/read | Lit le déclencheur. |
Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Obtient l’URL de rappel pour le déclencheur. |
Microsoft.Logic/workflows/runs/read | Lit l’exécution d’un workflow. |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Répertorie les déclencheurs de flux de travail Hostruntime d’applications web. |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obtient l’URI des déclencheurs de flux de travail Hostruntime d’applications web. |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Répertorie les exécutions de flux de travail Hostruntime d’applications web. |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contributeur Microsoft Sentinel
Contributeur Microsoft Sentinel
Actions | Description |
---|---|
Microsoft.SecurityInsights/* | |
Microsoft.OperationalInsights/workspaces/analytics/query/action | Effectue les recherches à l’aide d’un nouveau moteur. |
Microsoft.OperationalInsights/workspaces/*/read | Afficher les données Log Analytics |
Microsoft.OperationalInsights/workspaces/savedSearches/* | |
Microsoft.OperationsManagement/solutions/read | Obtenir une solution OMS existante |
Microsoft.OperationalInsights/workspaces/query/read | Exécuter des requêtes sur les données dans l’espace de travail |
Microsoft.OperationalInsights/workspaces/query/*/read | |
Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenir la source de données sous un espace de travail. |
Microsoft.OperationalInsights/querypacks/*/read | |
Microsoft.Insights/workbooks/* | |
Microsoft.Insights/myworkbooks/read | |
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
NotActions | |
Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Opérateur de playbook Microsoft Sentinel
Opérateur de playbook Microsoft Sentinel
Actions | Description |
---|---|
Microsoft.Logic/workflows/read | Lit le workflow. |
Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Obtient l’URL de rappel pour le déclencheur. |
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obtient l’URI des déclencheurs de flux de travail Hostruntime d’applications web. |
Microsoft.Web/sites/read | Récupère les propriétés d’une application web. |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Lecteur Microsoft Sentinel
Lecteur Microsoft Sentinel
Actions | Description |
---|---|
Microsoft.SecurityInsights/*/read | |
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Vérifier l’autorisation et la licence de l’utilisateur |
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Interroger les indicateurs Threat Intelligence |
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Interroger les indicateurs Threat Intelligence |
Microsoft.OperationalInsights/workspaces/analytics/query/action | Effectue les recherches à l’aide d’un nouveau moteur. |
Microsoft.OperationalInsights/workspaces/*/read | Afficher les données Log Analytics |
Microsoft.OperationalInsights/workspaces/LinkedServices/read | Obtient les services liés sous un espace de travail spécifié. |
Microsoft.OperationalInsights/workspaces/savedSearches/read | Obtient une requête de recherche enregistrée. |
Microsoft.OperationsManagement/solutions/read | Obtenir une solution OMS existante |
Microsoft.OperationalInsights/workspaces/query/read | Exécuter des requêtes sur les données dans l’espace de travail |
Microsoft.OperationalInsights/workspaces/query/*/read | |
Microsoft.OperationalInsights/querypacks/*/read | |
Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenir la source de données sous un espace de travail. |
Microsoft.Insights/workbooks/read | Lire un classeur |
Microsoft.Insights/myworkbooks/read | |
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Resources/templateSpecs/*/read | Obtenir ou répertorier les spécifications des modèles et les versions des spécifications de modèle |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
NotActions | |
Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Répondeur Microsoft Sentinel
Répondeur Microsoft Sentinel
Actions | Description |
---|---|
Microsoft.SecurityInsights/*/read | |
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Vérifier l’autorisation et la licence de l’utilisateur |
Microsoft.SecurityInsights/automationRules/* | |
Microsoft.SecurityInsights/cases/* | |
Microsoft.SecurityInsights/incidents/* | |
Microsoft.SecurityInsights/entities/runPlaybook/action | Exécuter le playbook sur l’entité |
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Ajouter des étiquettes à un indicateur Threat Intelligence |
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Interroger les indicateurs Threat Intelligence |
Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | Balises en masse du renseignement sur les menaces |
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Ajouter des étiquettes à un indicateur Threat Intelligence |
Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | Remplace les étiquettes d’un indicateur Threat Intelligence |
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Interroger les indicateurs Threat Intelligence |
Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | Annuler une action |
Microsoft.OperationalInsights/workspaces/analytics/query/action | Effectue les recherches à l’aide d’un nouveau moteur. |
Microsoft.OperationalInsights/workspaces/*/read | Afficher les données Log Analytics |
Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenir la source de données sous un espace de travail. |
Microsoft.OperationalInsights/workspaces/savedSearches/read | Obtient une requête de recherche enregistrée. |
Microsoft.OperationsManagement/solutions/read | Obtenir une solution OMS existante |
Microsoft.OperationalInsights/workspaces/query/read | Exécuter des requêtes sur les données dans l’espace de travail |
Microsoft.OperationalInsights/workspaces/query/*/read | |
Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenir la source de données sous un espace de travail. |
Microsoft.OperationalInsights/querypacks/*/read | |
Microsoft.Insights/workbooks/read | Lire un classeur |
Microsoft.Insights/myworkbooks/read | |
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
NotActions | |
Microsoft.SecurityInsights/cases/*/Delete | |
Microsoft.SecurityInsights/incidents/*/Delete | |
Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrateur de la sécurité
Affichez et mettez à jour les autorisations pour Microsoft Defender pour le cloud. Dispose des mêmes autorisations que le rôle Lecteur de sécurité et peut également modifier la stratégie de sécurité et ignorer les alertes et les recommandations.
Pour Microsoft Defender pour IoT, consultez Rôles d’utilisateur Azure pour la surveillance OT et IoT d’entreprise.
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Authorization/policyAssignments/* | Créer et gérer des attributions de stratégies |
Microsoft.Authorization/policyDefinitions/* | Créer et gérer des définitions de stratégies |
Microsoft.Authorization/policyExemptions/* | Créer et gérer des exemptions de stratégie |
Microsoft.Authorization/policySetDefinitions/* | Créer et gérer des ensembles de stratégies |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.Management/managementGroups/read | Répertorie les groupes d’administration de l’utilisateur authentifié. |
Microsoft.operationalInsights/workspaces/*/read | Afficher les données Log Analytics |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Security/* | Créer et gérer des stratégies et des composants de sécurité |
Microsoft.IoTSecurity/* | |
Microsoft.IoTFirmwareDefense/* | |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contributeur d'évaluation de la sécurité
Vous permet d’envoyer des évaluations à Microsoft Defender pour le cloud
Actions | Description |
---|---|
Microsoft.Security/assessments/write | Créer ou mettre à jour des évaluations de la sécurité de votre abonnement |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Gestionnaire de sécurité (hérité)
Il s’agit d’un rôle hérité. Utilisez plutôt l’administrateur de sécurité.
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.ClassicCompute/*/read | Lire les informations de configuration relatives aux machines virtuelles classiques |
Microsoft.ClassicCompute/virtualMachines/*/write | Écrire la configuration des machines virtuelles classiques |
Microsoft.ClassicNetwork/*/read | Lire les informations de configuration relatives au réseau classique |
Microsoft.Insights/alertRules/* | Créer et gérer une alerte de métrique classique |
Microsoft.ResourceHealth/availabilityStatuses/read | Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée. |
Microsoft.Resources/deployments/* | Créer et gérer un déploiement |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Security/* | Créer et gérer des stratégies et des composants de sécurité |
Microsoft.Support/* | Créer et mettre à jour un ticket de support |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Lecteur de sécurité
Voir les autorisations pour Microsoft Defender pour le cloud. Peut afficher les recommandations, les alertes, une stratégie de sécurité et les états de sécurité, mais ne peut pas apporter de modifications.
Pour Microsoft Defender pour IoT, consultez Rôles d’utilisateur Azure pour la surveillance OT et IoT d’entreprise.
Actions | Description |
---|---|
Microsoft.Authorization/*/read | Lire les rôles et les affectations de rôles |
Microsoft.Insights/alertRules/read | Lire une alerte de métrique classique |
Microsoft.operationalInsights/workspaces/*/read | Afficher les données Log Analytics |
Microsoft.Resources/deployments/*/read | |
Microsoft.Resources/subscriptions/resourceGroups/read | Obtient ou répertorie les groupes de ressources. |
Microsoft.Security/*/read | Lire des stratégies et des composants de sécurité |
Microsoft.IoTSecurity/*/read | |
Microsoft.Support/*/read | |
Microsoft.Security/iotDefenderSettings/packageDownloads/action | Obtient des informations sur les packages de Defender pour IoT téléchargeables |
Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | Télécharger le fichier d’activation du gestionnaire avec les données de quota d’abonnement |
Microsoft.Security/iotSensors/downloadResetPassword/action | Les téléchargements réinitialisent le fichier de mot de passe pour les capteurs IoT |
Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | Obtient des informations sur les packages de Defender pour IoT téléchargeables |
Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | Télécharger un fichier d’activation de gestionnaire |
Microsoft.Management/managementGroups/read | Répertorie les groupes d’administration de l’utilisateur authentifié. |
NotActions | |
aucune | |
DataActions | |
aucune | |
NotDataActions | |
aucune |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}