Requisito di autorizzazione per service Connessione or

  • Articolo

Il servizio Connessione or crea connessioni tra i servizi di Azure usando un token on-behalf-of. La creazione di una connessione a una risorsa di Azure specifica richiede le autorizzazioni corrispondenti.

Servizio app

Azione Descrizione
Microsoft.Web/sites/config/write Aggiorna le impostazioni di configurazione dell'app Web
Microsoft.web/sites/config/delete Elimina la configurazione delle app Web.
Microsoft.Web/sites/config/list/action Elenca le impostazioni dell'app Web sensibili alla sicurezza, ad esempio le credenziali di pubblicazione, le impostazioni dell'app e le stringhe di connessione
Microsoft.Web/sites/config/Read Ottiene le impostazioni di configurazione delle app Web
Microsoft.Web/sites/write Crea una nuova app Web o ne aggiorna una esistente
Microsoft.Web/sites/read Ottiene le proprietà di un'app Web

Slot dell'app Web

Azione Descrizione
Microsoft.Web/sites/slots/Write Crea un nuovo slot di app Web o ne aggiorna uno esistente
Microsoft.Web/sites/slots/Read Ottiene le proprietà di uno slot di distribuzione di app Web
Microsoft.Web/sites/slots/config/Read Ottiene le impostazioni di configurazione degli slot per le app Web
Microsoft.Web/sites/slots/config/Write Aggiorna le impostazioni di configurazione degli slot per le app Web
microsoft.web/sites/slots/config/delete Elimina la configurazione degli slot per le app Web.
Microsoft.Web/sites/slots/config/list/Action Elenca le impostazioni importanti per la sicurezza degli slot per le app Web, quali le credenziali di pubblicazione, le impostazioni delle app e le stringhe di connessione

Azure Spring App

Azione Descrizione
Microsoft.AppPlatform/Spring/read Ottenere le istanze del servizio Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read Ottenere le applicazioni per un'istanza del servizio Azure Spring Apps specifica
Microsoft.AppPlatform/Spring/apps/write Creare o aggiornare l'applicazione per un'istanza del servizio Azure Spring Apps specifica
Microsoft.AppPlatform/Spring/apps/deployments/*/read Ottenere le distribuzioni per un'applicazione specifica
Microsoft.AppPlatform/Spring/apps/deployments/*/write Creare o aggiornare la distribuzione per un'applicazione specifica
Microsoft.AppPlatform/Spring/apps/deployments/*/delete Eliminare la distribuzione per un'applicazione specifica

App contenitore di Azure

Azione Descrizione
Microsoft.App/containerApps/read Ottenere un'app contenitore
Microsoft.App/containerApps/write Creare o aggiornare un'app contenitore
Microsoft.App/containerApps/listsecrets/action Elencare i segreti di un'app contenitore
Microsoft.App/managedEnvironments/read Ottenere un ambiente gestito
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Ottenere lo stato dell'operazione a esecuzione prolungata di un ambiente gestito
microsoft.app/locations/containerappoperationstatuses/read Ottenere lo stato dell'operazione a esecuzione prolungata di un'app contenitore
microsoft.app/locations/containerappoperationresults/read Ottenere un risultato dell'operazione a esecuzione prolungata di un'app contenitore
microsoft.app/locations/managedenvironmentoperationresults/read Ottenere un risultato dell'operazione a esecuzione prolungata in un ambiente gestito

Dapr in App Azure Container

Azione Descrizione
Microsoft.App/managedEnvironments/daprComponents/read Leggere componente Dapr dell'ambiente gestito
Microsoft.App/managedEnvironments/daprComponents/write Creare o aggiornare il componente dapr dell'ambiente gestito
Microsoft.App/managedEnvironments/daprComponents/delete Eliminare il componente Dapr dell'ambiente gestito

Cache Redis di Azure

Azione Descrizione
Microsoft.Cache/redis/read Visualizza la configurazione e le impostazioni della Cache Redis nel portale di gestione
Microsoft.Cache/redis/firewallRules/read Ottiene le regole del firewall IP di una cache Redis
Microsoft.Cache/redis/firewallRules/write Modifica le regole del firewall IP di una cache Redis
Microsoft.Cache/redis/firewallRules/delete Elimina le regole del firewall IP di una cache Redis
Microsoft.Cache/redis/listKeys/action Visualizza il valore delle chiavi di accesso della Cache Redis nel portale di gestione

cache di Azure per Redis Enterprise

Azione Descrizione
Microsoft.Cache/redisEnterprise/read Visualizzare le impostazioni e la configurazione della cache Redis Enterprise nel portale di gestione
Microsoft.Cache/redisEnterprise/databases/read Visualizzare le impostazioni e la configurazione del database cache Redis Enterprise nel portale di gestione
Microsoft.Cache/redisEnterprise/databases/listKeys/action Visualizzare il valore delle chiavi di accesso al database Redis Enterprise nel portale di gestione

Database di Azure per PostgreSQL

Database di Azure per PostgreSQL

Azione Descrizione
Microsoft.DBforPostgreSQL/servers/firewallRules/read Restituisce l'elenco delle regole del firewall per un server o ottiene le proprietà per la regola del firewall specificata.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Crea una regola del firewall con i parametri specificati o aggiorna una regola esistente.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Elimina una regola firewall esistente.
Microsoft.DBForPostgreSQL/servers/read Restituisce l'elenco di server o ottiene le proprietà per il server specificato
Microsoft.DBForPostgreSQL/servers/databases/read Restituisce l'elenco di Postgre database SQL s o ottiene le proprietà per il database specificato.
Microsoft.DBforPostgreSQL/servers/write Crea un server con i parametri specificati o aggiorna le proprietà o i tag per il server specificato.

Database di Azure per PostgreSQL (endpoint servizio)

Azione Descrizione
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Restituisce l'elenco di regole di rete virtuale o ottiene le proprietà per la regola di rete virtuale specificata.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Crea una regola di rete virtuale con i parametri specificati o aggiorna le proprietà o i tag per la regola di rete virtuale specificata.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Elimina una regola di rete virtuale esistente

Server flessibile di Database di Azure per PostgreSQL

Azione Descrizione
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Restituisce l'elenco delle regole del firewall per un server o ottiene le proprietà per la regola del firewall specificata.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Crea una regola del firewall con i parametri specificati o aggiorna una regola esistente.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Elimina una regola firewall esistente.
Microsoft.DBForPostgreSQL/flexibleServers/read Restituisce l'elenco di server o ottiene le proprietà per il server specificato
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Restituisce l'elenco dei database del server PostgreSQL o ottiene il database per il server specificato.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Restituisce l'elenco delle configurazioni del server PostgreSQL o ottiene le configurazioni per il server specificato.

Database di Azure per MySQL

Azione Descrizione
Microsoft.DBforMySQL/servers/firewallRules/read Restituisce l'elenco delle regole del firewall per un server o ottiene le proprietà per la regola del firewall specificata.
Microsoft.DBforMySQL/servers/firewallRules/write Crea una regola del firewall con i parametri specificati o aggiorna una regola esistente.
Microsoft.DBforMySQL/servers/firewallRules/delete Elimina una regola firewall esistente.
Microsoft.DBforMySQL/servers/read Restituisce l'elenco di server o ottiene le proprietà per il server specificato
Microsoft.DBforMySQL/servers/databases/read Restituisce l'elenco di My database SQL s o ottiene le proprietà per il database specificato.
Microsoft.DBforMySQL/servers/write Crea un server con i parametri specificati o aggiorna le proprietà o i tag per il server specificato.

Database di Azure per MySQL (endpoint servizio)

Azione Descrizione
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Restituisce l'elenco di regole di rete virtuale o ottiene le proprietà per la regola di rete virtuale specificata.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Crea una regola di rete virtuale con i parametri specificati o aggiorna le proprietà o i tag per la regola di rete virtuale specificata.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Elimina una regola di rete virtuale esistente

Database di Azure per MySQL - Server flessibile

Azione Descrizione
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Restituisce l'elenco delle regole del firewall per un server o ottiene le proprietà per la regola del firewall specificata.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Crea una regola del firewall con i parametri specificati o aggiorna una regola esistente.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Elimina una regola firewall esistente.
Microsoft.DBforMySQL/flexibleServers/read Restituisce l'elenco dei server o ottiene le proprietà per il server specificato.
Microsoft.DBforMySQL/flexibleServers/databases/read Restituisce l'elenco di database per un server o ottiene le proprietà per il database specificato.
Microsoft.DBforMySQL/flexibleServers/configurations/read Restituisce l'elenco delle configurazioni del server MySQL o ottiene le configurazioni per il server specificato.

Configurazione app di Azure

Azione Descrizione
Microsoft.AppConfiguration/configurationStores/ListKeys/action Elenca le chiavi API per l'archivio di configurazione specificato.
Microsoft.AppConfiguration/configurationStores/read Ottiene le proprietà dell'archivio di configurazione specificato o elenca tutti gli archivi di configurazione nel gruppo di risorse o nella sottoscrizione specificati.

Hub eventi di Azure

Azione Descrizione
Microsoft.EventHub/namespaces/read Ottiene l'elenco delle descrizioni delle risorse spazio dei nomi
Microsoft.EventHub/namespaces/ipFilterRules/read Recupera la risorsa filtro IP
Microsoft.EventHub/namespaces/ipFilterRules/write Crea la risorsa filtro IP
Microsoft.EventHub/namespaces/ipFilterRules/delete Elimina la risorsa filtro IP
Microsoft.EventHub/namespaces/networkrulesets/read Ottiene la risorsa NetworkRuleSet
Microsoft.EventHub/namespaces/networkrulesets/write Crea risorsa regola di rete virtuale
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action Ottiene la stringa di connessione per lo spazio dei nomi

Bus di servizio di Azure

Azione Descrizione
Microsoft.ServiceBus/namespaces/read Ottiene l'elenco delle descrizioni delle risorse spazio dei nomi
Microsoft.ServiceBus/namespaces/ipFilterRules/read Recupera la risorsa filtro IP
Microsoft.ServiceBus/namespaces/ipFilterRules/write Crea la risorsa filtro IP
Microsoft.ServiceBus/namespaces/ipFilterRules/delete Elimina la risorsa filtro IP
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action Ottiene la stringa di connessione per lo spazio dei nomi
Microsoft.ServiceBus/namespaces/networkrulesets/read Ottiene la risorsa NetworkRuleSet
Microsoft.ServiceBus/namespaces/networkrulesets/write Crea risorsa regola di rete virtuale

Archiviazione BLOB di Azure

Azione Descrizione
Microsoft.Storage/storageAccounts/read Restituisce l'elenco di account di archiviazione o ottiene le proprietà per l’account di archiviazione specificato.
Microsoft.Storage/storageAccounts/write Crea un account di archiviazione con i parametri specificati o aggiorna le proprietà o i tag o aggiunge un dominio personalizzato per l’account di archiviazione specificato.
Microsoft.Storage/storageAccounts/listkeys/action Restituisce le chiavi di accesso per l'account di archiviazione specificato.

Servizio Azure SignalR

Azione Descrizione
Microsoft.SignalRService/SignalR/read Visualizza le impostazioni e le configurazioni di SignalR nel portale di gestione o tramite API
Microsoft.SignalRService/SignalR/write Modifica le impostazioni e le configurazioni di SignalR nel portale di gestione o tramite API
Microsoft.SignalRService/locations/operationresults/signalr/read Eseguire una query sul risultato di un'operazione asincrona basata sulla posizione
Microsoft.SignalRService/locations/operationStatuses/signalr/read Eseguire una query sullo stato di un'operazione asincrona basata sulla posizione
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action Visualizza il valore delle chiavi di accesso di SignalR nel portale di gestione o tramite API

Servizio Web PubSub di Azure

Azione Descrizione
Microsoft.SignalRService/WebPubSub/read Visualizzare le impostazioni e le configurazioni di WebPubSub nel portale di gestione o tramite l'API
Microsoft.SignalRService/WebPubSub/write Modificare le impostazioni e le configurazioni di WebPubSub nel portale di gestione o tramite l'API
Microsoft.SignalRService/locations/operationresults/webpubsub/read Eseguire una query sul risultato di un'operazione asincrona basata sulla posizione
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Eseguire una query sullo stato di un'operazione asincrona basata sulla posizione
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read Visualizzare il valore delle chiavi di accesso WebPubSub nel portale di gestione o tramite l'API
Microsoft.SignalRService/WebPubSub/listkeys/action Visualizzare il valore delle chiavi di accesso WebPubSub nel portale di gestione o tramite l'API

Azure Cosmos DB

Azione Descrizione
Microsoft.DocumentDB/databaseAccounts/read Esegue la lettura di un account di database.
Microsoft.DocumentDB/databaseAccounts/write Aggiorna un account di database.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action Ottiene le stringhe di connessione per un account di database
Microsoft.DocumentDB/databaseAccounts/listKeys/action Elenca le chiavi di un account di database

database SQL di Azure

Azione Descrizione
Microsoft.Sql/servers/firewallRules/read Restituisce l'elenco delle regole firewall del server o ottiene le proprietà per la regola del firewall del server specificata.
Microsoft.Sql/servers/firewallRules/write Crea una regola firewall del server con i parametri specificati, aggiorna le proprietà per la regola specificata o sovrascrive tutte le regole esistenti con nuove regole firewall del server.
Microsoft.Sql/servers/firewallRules/delete Elimina una regola firewall del server esistente.
Microsoft.Sql/servers/databases/read Restituisce l'elenco dei database o ottiene le proprietà per il database specificato
Microsoft.Sql/servers/read Restituisce l'elenco di server o ottiene le proprietà per il server specificato
Microsoft.Sql/servers/virtualNetworkRules/read Restituisce l'elenco di regole di rete virtuale o ottiene le proprietà per la regola di rete virtuale specificata.
Microsoft.Sql/servers/virtualNetworkRules/write Crea una regola di rete virtuale con i parametri specificati o aggiorna le proprietà o i tag per la regola di rete virtuale specificata.
Microsoft.Sql/servers/virtualNetworkRules/delete Elimina una regola di rete virtuale esistente

Insieme di credenziali chiave di Azure

Azione Descrizione
Microsoft.KeyVault/vaults/write Crea un nuovo insieme di credenziali delle chiavi o aggiorna le proprietà di un insieme di credenziali delle chiavi esistente. Alcune proprietà possono richiedere più autorizzazioni.
Microsoft.KeyVault/vaults/read Visualizza le proprietà di un insieme di credenziali delle chiavi
Microsoft.KeyVault/vaults/secrets/write Crea un nuovo segreto o aggiorna il valore di un segreto esistente.
Microsoft.KeyVault/vaults/accessPolicies/write Aggiornamenti un criterio di accesso esistente unendo o sostituendo o aggiunge un nuovo criterio di accesso all'insieme di credenziali delle chiavi.

Azure Cosmos DB

Azione Descrizione
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Leggere una definizione di ruolo SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Creare o aggiornare una definizione di ruolo SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Eliminare un'assegnazione di ruolo SQL

Il servizio Connessione or potrebbe dover concedere le autorizzazioni all'identità gestita o all'entità servizio se viene creata una connessione con quelle come tipi di autenticazione. Nella tabella seguente sono elencati i requisiti di autorizzazione per la creazione di una connessione in questo scenario.

Azione Descrizione
Microsoft.Authorization/roleAssignments/read Ottiene informazioni su un'assegnazione di ruolo.
Microsoft.Authorization/roleAssignments/write Crea un'assegnazione di ruolo per l'ambito specificato.
Microsoft.Authorization/roleAssignments/delete È possibile eliminare un'assegnazione di ruolo nell'ambito specificato.

Connessione di identità gestite assegnate dall'utente

Il servizio Connessione or potrebbe dover concedere le autorizzazioni all'identità gestita assegnata dall'utente se viene creata una connessione come tipo di autenticazione. Nella tabella seguente sono elencati i requisiti di autorizzazione per la creazione di una connessione in questo scenario.

Azione Descrizione
Microsoft.ManagedIdentity/userAssignedIdentities/read Ottiene l'identità assegnata a un utente esistente
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Azione di controllo degli accessi in base al ruolo per l'assegnazione dell'identità assegnata di un utente esistente a una risorsa
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Ottenere o elencare le credenziali dell'identità federata
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Aggiungere o aggiornare una credenziale di identità federata
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Eliminare una credenziale di identità federata

Il servizio Connessione or potrebbe dover concedere autorizzazioni all'identità se viene creata una connessione con endpoint privato o endpoint di servizio come soluzione di rete. Nella tabella seguente sono elencati i requisiti di autorizzazione per la creazione di una connessione in questo scenario.

Azione Descrizione
Microsoft.Network/publicIPAddresses/read Ottiene una definizione di indirizzo IP pubblico.
Microsoft.Network/virtualNetworks/subnets/read Ottiene una definizione di subnet della rete virtuale
Microsoft.Network/virtualNetworks/subnets/write Crea una subnet della rete virtuale o ne aggiorna una esistente
Microsoft.Network/privateEndpoints/read Ottiene una risorsa endpoint privato.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Aggiunge una risorsa come un account di archiviazione o un database SQL a una subnet. Senza avvisi.
Microsoft.Network/networkSecurityGroups/join/action Aggiunge un gruppo di sicurezza di rete. Senza avvisi.
Microsoft.Network/serviceEndpointPolicies/join/action Aggiunge un criterio endpoint di servizio. Senza avvisi.
Microsoft.Network/natGateways/join/action Aggiunge un gateway NAT
Microsoft.Network/networkIntentPolicies/join/action Aggiunge un criterio di finalità di rete. Senza avvisi.
Microsoft.Network/networkSecurityGroups/join/action Aggiunge un gruppo di sicurezza di rete. Senza avvisi.
Microsoft.Network/routeTables/join/action Unisce una tabella di route. Senza avvisi.

Disponibilità elevata