サービス コネクタの許可要件
- [アーティクル]
-
-
Service Connector は、On-behalf-of トークンを使用して Azure サービス間の接続を作成します。 特定の Azure リソースへの接続を作成するには、それに対応するアクセス許可が必要です。
App Service
アクション |
説明 |
Microsoft.Web/sites/config/write |
Web アプリの構成設定を更新します。 |
Microsoft.web/sites/config/delete |
Web アプリの構成を削除します。 |
Microsoft.Web/sites/config/list/action |
Web アプリのセキュリティに関する設定 (発行資格情報、アプリ設定、接続文字列など) を一覧表示します。 |
Microsoft.Web/sites/config/Read |
Web アプリの構成設定を取得します。 |
Microsoft.Web/sites/write |
新しい Web アプリを作成するか、既存の Web アプリを更新します。 |
Microsoft.Web/sites/read |
Web アプリのプロパティを取得します。 |
Webapp スロット
アクション |
説明 |
Microsoft.Web/sites/slots/Write |
新しい Web アプリ スロットを作成するか、既存の Web アプリ スロットを更新します。 |
Microsoft.Web/sites/slots/Read |
Web アプリのデプロイ スロットのプロパティを取得します。 |
Microsoft.Web/sites/slots/config/Read |
Web アプリ スロットの構成設定を取得します。 |
Microsoft.Web/sites/slots/config/Write |
Web アプリ スロットの構成設定を更新します。 |
microsoft.web/sites/slots/config/delete |
Web アプリとスロットの構成を削除します。 |
Microsoft.Web/sites/slots/config/list/Action |
Web アプリ スロットのセキュリティに関する設定 (発行資格情報、アプリ設定、接続文字列など) を一覧表示します。 |
Azure Spring App
アクション |
説明 |
Microsoft.AppPlatform/Spring/read |
Azure Spring Apps サービス インスタンスを取得します |
Microsoft.AppPlatform/Spring/apps/read |
特定の Azure Spring Apps サービス インスタンスのアプリケーションを取得します |
Microsoft.AppPlatform/Spring/apps/write |
特定の Azure Spring Apps サービス インスタンスのアプリケーションを作成または更新します |
Microsoft.AppPlatform/Spring/apps/deployments/*/read |
特定のアプリケーションのデプロイを取得します |
Microsoft.AppPlatform/Spring/apps/deployments/*/write |
特定のアプリケーションのデプロイを作成または更新します |
Microsoft.AppPlatform/Spring/apps/deployments/*/delete |
特定のアプリケーションのデプロイを削除します |
Azure Container Apps
アクション |
説明 |
Microsoft.App/containerApps/read |
コンテナー アプリを取得する |
Microsoft.App/containerApps/write |
コンテナー アプリを作成または更新する |
Microsoft.App/containerApps/listsecrets/action |
コンテナー アプリのシークレットを一覧表示する |
Microsoft.App/managedEnvironments/read |
マネージド環境を取得する |
Microsoft.App/locations/managedEnvironmentOperationStatuses/read |
マネージド環境の実行時間の長い操作状態を取得する |
microsoft.app/locations/containerappoperationstatuses/read |
コンテナー アプリの実行時間の長い操作状態を取得する |
microsoft.app/locations/containerappoperationresults/read |
コンテナー アプリの実行時間の長い操作結果を取得する |
microsoft.app/locations/managedenvironmentoperationresults/read |
マネージド環境の実行時間の長い操作結果を取得する |
Azure Container Apps の Dapr
アクション |
説明 |
Microsoft.App/managedEnvironments/daprComponents/read |
マネージド環境の Dapr コンポーネントを読む |
Microsoft.App/managedEnvironments/daprComponents/write |
マネージド環境の Dapr コンポーネントを作成または更新する |
Microsoft.App/managedEnvironments/daprComponents/delete |
マネージド環境の Dapr コンポーネントを削除する |
Azure Cache for Redis
アクション |
説明 |
Microsoft.Cache/redis/read |
管理ポータルで Redis Cache の設定と構成を表示します。 |
Microsoft.Cache/redis/firewallRules/read |
Redis Cache の IP ファイアウォール規則を取得します。 |
Microsoft.Cache/redis/firewallRules/write |
Redis Cache の IP ファイアウォール規則を編集します。 |
Microsoft.Cache/redis/firewallRules/delete |
Redis Cache の IP ファイアウォール規則を削除します。 |
Microsoft.Cache/redis/listKeys/action |
管理ポータルで Redis Cache のアクセス キーの値を表示します。 |
Azure Cache for Redis Enterprise
アクション |
説明 |
Microsoft.Cache/redisEnterprise/read |
管理ポータルで Redis Enterprise キャッシュの設定と構成を表示します |
Microsoft.Cache/redisEnterprise/databases/read |
管理ポータルで Redis Enterprise キャッシュ データベースの設定と構成を表示します |
Microsoft.Cache/redisEnterprise/databases/listKeys/action |
管理ポータルに Redis Enterprise データベースのアクセス キーの値を表示します |
Azure Database for PostgreSQL
Azure Database for PostgreSQL
アクション |
説明 |
Microsoft.DBforPostgreSQL/servers/firewallRules/read |
サーバーのファイアウォール規則の一覧を返すか、指定されたファイアウォール規則のプロパティを取得します。 |
Microsoft.DBforPostgreSQL/servers/firewallRules/write |
指定されたパラメーターでファイアウォール規則を作成するか、既存の規則を更新します。 |
Microsoft.DBforPostgreSQL/servers/firewallRules/delete |
既存のファイアウォール規則を削除します。 |
Microsoft.DBForPostgreSQL/servers/read |
サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。 |
Microsoft.DBForPostgreSQL/servers/databases/read |
PostgreSQL データベースの一覧を返すか、指定されたデータベースのプロパティを取得します。 |
Microsoft.DBforPostgreSQL/servers/write |
指定されたパラメーターでサーバーを作成するか、指定されたサーバーのプロパティまたはタグを更新します。 |
Azure Database for PostgreSQL (サービス エンドポイント)
アクション |
説明 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read |
仮想ネットワーク ルールの一覧を返すか、指定された仮想ネットワーク ルールのプロパティを取得します。 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write |
指定されたパラメーターで仮想ネットワーク規則を作成するか、指定された仮想ネットワーク規則のプロパティまたはタグを更新します。 |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete |
既存の仮想ネットワーク ルールを削除します。 |
Azure Database for PostgreSQL - フレキシブル サーバー
アクション |
説明 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read |
サーバーのファイアウォール規則の一覧を返すか、指定されたファイアウォール規則のプロパティを取得します。 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write |
指定されたパラメーターでファイアウォール規則を作成するか、既存の規則を更新します。 |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete |
既存のファイアウォール規則を削除します。 |
Microsoft.DBForPostgreSQL/flexibleServers/read |
サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。 |
Microsoft.DBForPostgreSQL/flexibleServers/databases/read |
PostgreSQL サーバー データベースの一覧を返すか、指定されたサーバーのデータベースを取得します。 |
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read |
PostgreSQL サーバーの構成の一覧を返すか、指定されたサーバーの構成を取得します。 |
Azure Database for MySQL
アクション |
説明 |
Microsoft.DBforMySQL/servers/firewallRules/read |
サーバーのファイアウォール規則の一覧を返すか、指定されたファイアウォール規則のプロパティを取得します。 |
Microsoft.DBforMySQL/servers/firewallRules/write |
指定されたパラメーターでファイアウォール規則を作成するか、既存の規則を更新します。 |
Microsoft.DBforMySQL/servers/firewallRules/delete |
既存のファイアウォール規則を削除します。 |
Microsoft.DBforMySQL/servers/read |
サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。 |
Microsoft.DBforMySQL/servers/databases/read |
MySQL データベースの一覧を返すか、指定されたデータベースのプロパティを取得します。 |
Microsoft.DBforMySQL/servers/write |
指定されたパラメーターでサーバーを作成するか、指定されたサーバーのプロパティまたはタグを更新します。 |
Azure Database for MySQL (サービス エンドポイント)
アクション |
説明 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/read |
仮想ネットワーク ルールの一覧を返すか、指定された仮想ネットワーク ルールのプロパティを取得します。 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/write |
指定されたパラメーターで仮想ネットワーク規則を作成するか、指定された仮想ネットワーク規則のプロパティまたはタグを更新します。 |
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete |
既存の仮想ネットワーク ルールを削除します。 |
Azure Database for MySQL - フレキシブル サーバー
アクション |
説明 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/read |
サーバーのファイアウォール規則の一覧を返すか、指定されたファイアウォール規則のプロパティを取得します。 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/write |
指定されたパラメーターでファイアウォール規則を作成するか、既存の規則を更新します。 |
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete |
既存のファイアウォール規則を削除します。 |
Microsoft.DBforMySQL/flexibleServers/read |
サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。 |
Microsoft.DBforMySQL/flexibleServers/databases/read |
サーバーのデータベースの一覧を返します。または、指定したデータベースのプロパティを取得します。 |
Microsoft.DBforMySQL/flexibleServers/configurations/read |
MySQL サーバーの構成の一覧を返すか、指定されたサーバーの構成を取得します。 |
Azure App Configuration
アクション |
説明 |
Microsoft.AppConfiguration/configurationStores/ListKeys/action |
指定された構成ストアの API キーを一覧表示します。 |
Microsoft.AppConfiguration/configurationStores/read |
指定された構成ストアのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションにあるすべての構成ストアを一覧表示します。 |
Azure Event Hubs
アクション |
説明 |
Microsoft.EventHub/namespaces/read |
名前空間リソースの説明の一覧を取得します。 |
Microsoft.EventHub/namespaces/ipFilterRules/read |
IP フィルター リソースを取得します |
Microsoft.EventHub/namespaces/ipFilterRules/write |
IP フィルター リソースを作成します |
Microsoft.EventHub/namespaces/ipFilterRules/delete |
IP フィルター リソースを削除します |
Microsoft.EventHub/namespaces/networkrulesets/read |
NetworkRuleSet リソースを取得します |
Microsoft.EventHub/namespaces/networkrulesets/write |
VNET ルール リソースを作成します |
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action |
名前空間への接続文字列を取得します。 |
Azure Service Bus
アクション |
説明 |
Microsoft.ServiceBus/namespaces/read |
名前空間リソースの説明の一覧を取得します。 |
Microsoft.ServiceBus/namespaces/ipFilterRules/read |
IP フィルター リソースを取得します |
Microsoft.ServiceBus/namespaces/ipFilterRules/write |
IP フィルター リソースを作成します |
Microsoft.ServiceBus/namespaces/ipFilterRules/delete |
IP フィルター リソースを削除します |
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action |
名前空間への接続文字列を取得します。 |
Microsoft.ServiceBus/namespaces/networkrulesets/read |
NetworkRuleSet リソースを取得します |
Microsoft.ServiceBus/namespaces/networkrulesets/write |
VNET ルール リソースを作成します |
Azure Blob Storage
アクション |
説明 |
Microsoft.Storage/storageAccounts/read |
ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
Microsoft.Storage/storageAccounts/write |
指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。 |
Microsoft.Storage/storageAccounts/listkeys/action |
指定されたストレージ アカウントのアクセス キーを返します。 |
Azure SignalR Service
アクション |
説明 |
Microsoft.SignalRService/SignalR/read |
管理ポータルで、または API を介して SignalR の設定と構成を表示します。 |
Microsoft.SignalRService/SignalR/write |
管理ポータルで、または API を介して SignalR の設定と構成を変更します。 |
Microsoft.SignalRService/locations/operationresults/signalr/read |
場所に基づく非同期操作の結果のクエリを実行します |
Microsoft.SignalRService/locations/operationStatuses/signalr/read |
場所に基づく非同期操作の状態のクエリを実行します |
Microsoft.SignalRService/SignalR/operationResults/read |
|
Microsoft.SignalRService/SignalR/operationStatuses/read |
|
Microsoft.SignalRService/SignalR/listkeys/action |
管理ポータルで、または API を使用して SignalR のアクセス キーの値を表示します。 |
Azure Web PubSub サービス
アクション |
説明 |
Microsoft.SignalRService/WebPubSub/read |
管理ポータルで、または API を使用して WebPubSub の設定と構成を表示します |
Microsoft.SignalRService/WebPubSub/write |
管理ポータルで、または API を使用して WebPubSub の設定と構成を変更します |
Microsoft.SignalRService/locations/operationresults/webpubsub/read |
場所に基づく非同期操作の結果のクエリを実行します |
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read |
場所に基づく非同期操作の状態のクエリを実行します |
Microsoft.SignalRService/WebPubSub/operationResults/read |
|
Microsoft.SignalRService/WebPubSub/operationStatuses/read |
管理ポータルで、または API を使用して WebPubSub のアクセス キーの値を表示します |
Microsoft.SignalRService/WebPubSub/listkeys/action |
管理ポータルで、または API を使用して WebPubSub のアクセス キーの値を表示します |
Azure Cosmos DB
アクション |
説明 |
Microsoft.DocumentDB/databaseAccounts/read |
データベース アカウントを読み取ります。 |
Microsoft.DocumentDB/databaseAccounts/write |
データベース アカウントを更新します。 |
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action |
データベース アカウントの接続文字列を取得します。 |
Microsoft.DocumentDB/databaseAccounts/listKeys/action |
データベース アカウントのキーを一覧表示します。 |
Azure SQL データベース
アクション |
説明 |
Microsoft.Sql/servers/firewallRules/read |
サーバー ファイアウォール規則の一覧を返すか、指定されたサーバー ファイアウォール規則のプロパティを取得します。 |
Microsoft.Sql/servers/firewallRules/write |
指定されたパラメーターでサーバー ファイアウォール規則を作成するか、指定された規則のプロパティを更新するか、新しいサーバー ファイアウォール規則ですべての既存規則を上書きします。 |
Microsoft.Sql/servers/firewallRules/delete |
既存のサーバー ファイアウォール規則を削除します。 |
Microsoft.Sql/servers/databases/read |
データベースの一覧を返すか、指定されたデータベースのプロパティを取得します。 |
Microsoft.Sql/servers/read |
サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。 |
Microsoft.Sql/servers/virtualNetworkRules/read |
仮想ネットワーク ルールの一覧を返すか、指定された仮想ネットワーク ルールのプロパティを取得します。 |
Microsoft.Sql/servers/virtualNetworkRules/write |
指定されたパラメーターで仮想ネットワーク規則を作成するか、指定された仮想ネットワーク規則のプロパティまたはタグを更新します。 |
Microsoft.Sql/servers/virtualNetworkRules/delete |
既存の仮想ネットワーク ルールを削除します。 |
Azure Key Vault
アクション |
説明 |
Microsoft.KeyVault/vaults/write |
新しい Key Vault を作成するか、既存の Key Vault のプロパティを更新します。 プロパティによっては、より多くのアクセス許可が必要な場合があります。 |
Microsoft.KeyVault/vaults/read |
Key Vault のプロパティを表示します。 |
Microsoft.KeyVault/vaults/secrets/write |
新しいシークレットを作成するか、既存のシークレットの値を更新します。 |
Microsoft.KeyVault/vaults/accessPolicies/write |
マージか置換によって既存のアクセス ポリシーを更新するか、Key Vault に新しいアクセス ポリシーを追加します。 |
Azure Cosmos DB
アクション |
説明 |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read |
SQL ロールの定義を読み取ります |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write |
SQL ロールの定義を作成または更新します |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete |
SQL ロールの割り当てを削除します |
接続が認証の種類として作成される場合、Service Connector はマネージド ID またはサービス プリンシパルにアクセス許可を付与する必要があります。 次の表には、このシナリオで接続を作成するために必要なアクセス許可が一覧表示されています。
アクション |
説明 |
Microsoft.Authorization/roleAssignments/read |
ロールの割り当てに関する情報を取得します。 |
Microsoft.Authorization/roleAssignments/write |
指定されたスコープのロールの割り当てを作成します。 |
Microsoft.Authorization/roleAssignments/delete |
指定したスコープにおけるロールの割り当てを削除します。 |
ユーザー割り当て済みマネージド ID の接続
接続が認証の種類として作成される場合、Service Connector はユーザー割り当て済みマネージド ID にアクセス許可を付与する必要があります。 次の表には、このシナリオで接続を作成するために必要なアクセス許可が一覧表示されています。
アクション |
説明 |
Microsoft.ManagedIdentity/userAssignedIdentities/read |
既存のユーザー割り当て ID を取得します。 |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
既存のユーザー割り当て ID をリソースに割り当てるための RBAC アクションです。 |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read |
フェデレーション ID 資格情報を取得または一覧表示する |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write |
フェデレーション ID 資格情報を追加または更新する |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete |
フェデレーション ID 資格情報を削除する |
ネットワーク ソリューションとしてプライベート エンドポイントまたはサービス エンドポイントで接続が作成された場合、Service Connector はお客様の ID にアクセス許可を付与する必要があります。 次の表には、このシナリオで接続を作成するために必要なアクセス許可が一覧表示されています。
アクション |
説明 |
Microsoft.Network/publicIPAddresses/read |
パブリック IP アドレス定義を取得します。 |
Microsoft.Network/virtualNetworks/subnets/read |
仮想ネットワーク サブネットの定義を取得します。 |
Microsoft.Network/virtualNetworks/subnets/write |
仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します。 |
Microsoft.Network/privateEndpoints/read |
プライベート エンドポイント リソースを取得します |
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action |
ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。 |
Microsoft.Network/networkSecurityGroups/join/action |
ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
Microsoft.Network/serviceEndpointPolicies/join/action |
サービス エンドポイント ポリシーを結合します。 警告不可能です。 |
Microsoft.Network/natGateways/join/action |
NAT Gateway を結合します |
Microsoft.Network/networkIntentPolicies/join/action |
ネットワーク インテント ポリシーに参加します。 警告不可能です。 |
Microsoft.Network/networkSecurityGroups/join/action |
ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
Microsoft.Network/routeTables/join/action |
ルート テーブルを結合します。 警告不可能です。 |