Встроенные роли Azure для безопасности

В этой статье перечислены встроенные роли Azure в категории "Безопасность".

Администратор службы автоматизации соответствия приложений

Создание, чтение, скачивание, изменение и удаление объектов отчетов и связанных с ними объектов ресурсов.

Подробнее

Действия Description
Microsoft.AppComplianceAutomation/*
Microsoft.Storage/storageAccounts/blobServices/write Возвращение результата настройки свойств службы BLOB-объектов.
Microsoft.Storage/storageAccounts/fileservices/write Запись свойств службы файлов
Microsoft.Storage/storageAccounts/listKeys/action Возвращает ключи доступа для указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/write Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен.
Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action Возвращает ключ делегирования пользователя для службы BLOB-объектов
Microsoft.Storage/storageAccounts/read Возвращает список учетных записей хранения или свойства указанной учетной записи хранения.
Microsoft.Storage/storageAccounts/blobServices/containers/read Возвращает список контейнеров.
Microsoft.Storage/storageAccounts/blobServices/containers/write Возвращает результат размещения контейнера больших двоичных объектов.
Microsoft.Storage/storageAccounts/blobServices/read Возвращение свойств или статистики службы BLOB-объектов.
Microsoft.PolicyInsights/policyStates/queryResults/action Запрашивает сведения о состояниях политики.
Microsoft.PolicyInsights/policyStates/triggerEvaluation/action Активирует новую оценку соответствия для выбранной области.
Microsoft.Resources/resources/read Возвращает список ресурсов на основе фильтров.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Resources/subscriptions/resourceGroups/resources/read Возвращает ресурсы группы ресурсов.
Microsoft.Resources/subscriptions/resources/read Возвращает ресурсы подписки.
Microsoft.Resources/subscriptions/resourceGroups/delete Удаляет группу ресурсов со всеми ресурсами.
Microsoft.Resources/subscriptions/resourceGroups/write Создает или обновляет группу ресурсов.
Microsoft.Resources/tags/read Получает все теги ресурса.
Microsoft.Resources/deployments/validate/action Проверяет развертывание.
Microsoft.Security/automations/read Получение автоматизаций для области
Microsoft.Resources/deployments/write Создает или обновляет развертывание.
Microsoft.Security/automations/delete Удаляет автоматизацию для области
Microsoft.Security/automations/write Создает или обновляет автоматизацию для области
Microsoft.Security/register/action Регистрация подписки в центре безопасности Azure.
Microsoft.Security/unregister/action Отменяет регистрацию подписки в центре безопасности Azure
*/чтение Чтение ресурсов всех типов, кроме секретов.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Create, read, download, modify and delete reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
  "permissions": [
    {
      "actions": [
        "Microsoft.AppComplianceAutomation/*",
        "Microsoft.Storage/storageAccounts/blobServices/write",
        "Microsoft.Storage/storageAccounts/fileservices/write",
        "Microsoft.Storage/storageAccounts/listKeys/action",
        "Microsoft.Storage/storageAccounts/write",
        "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
        "Microsoft.Storage/storageAccounts/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/read",
        "Microsoft.Storage/storageAccounts/blobServices/containers/write",
        "Microsoft.Storage/storageAccounts/blobServices/read",
        "Microsoft.PolicyInsights/policyStates/queryResults/action",
        "Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
        "Microsoft.Resources/resources/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/resourceGroups/resources/read",
        "Microsoft.Resources/subscriptions/resources/read",
        "Microsoft.Resources/subscriptions/resourceGroups/delete",
        "Microsoft.Resources/subscriptions/resourceGroups/write",
        "Microsoft.Resources/tags/read",
        "Microsoft.Resources/deployments/validate/action",
        "Microsoft.Security/automations/read",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Security/automations/delete",
        "Microsoft.Security/automations/write",
        "Microsoft.Security/register/action",
        "Microsoft.Security/unregister/action",
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Средство чтения автоматизации соответствия приложений

Чтение, скачивание объектов отчетов и связанных с ними объектов ресурсов.

Подробнее

Действия Описание
*/чтение Чтение ресурсов всех типов, кроме секретов.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read, download the reports objects and related other resource objects.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
  "permissions": [
    {
      "actions": [
        "*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "App Compliance Automation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник аттестации

Может читать, записывать или удалять экземпляр поставщика аттестации.

Подробнее

Действия Description
Microsoft.Attestation/attestationProviders/attestation/read Возвращает состояние службы аттестации.
Microsoft.Attestation/attestationProviders/attestation/write Добавляет службу аттестации.
Microsoft.Attestation/attestationProviders/attestation/delete Удаляет службу аттестации.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read write or delete the attestation provider instance",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/attestation/write",
        "Microsoft.Attestation/attestationProviders/attestation/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель аттестации

Может считывать свойства поставщика аттестации.

Подробнее

Действия Description
Microsoft.Attestation/attestationProviders/attestation/read Возвращает состояние службы аттестации.
Microsoft.Attestation/attestationProviders/read Возвращает состояние службы аттестации.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read the attestation provider properties",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Attestation/attestationProviders/attestation/read",
        "Microsoft.Attestation/attestationProviders/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Attestation Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор хранилища ключей

Выполняет все операции с плоскостью данных в хранилище ключей и всех его объектах, включая сертификаты, ключи и секреты. Не может управлять ресурсами хранилища ключей или назначениями ролей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/*
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь сертификата Key Vault

Чтение содержимого сертификата. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Description
none
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/certificates/read Вывод списка сертификатов в указанном хранилище ключей или получение сведений о сертификате.
Microsoft.KeyVault/vaults/secrets/getSecret/action Получает значение секрета.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Выводит в списке или отображает свойства секрета, но не его значение.
Microsoft.KeyVault/vaults/keys/read Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificates/read",
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action",
        "Microsoft.KeyVault/vaults/keys/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificate User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Специалист по сертификатам хранилища ключей

Выполняет любые действия с сертификатами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/certificatecas/*
Microsoft.KeyVault/vaults/certificates/*
Microsoft.KeyVault/vaults/certificatecontacts/write Управление контактом сертификата
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
  "name": "a4417e6f-fecd-4de8-b567-7b0420556985",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/certificatecas/*",
        "Microsoft.KeyVault/vaults/certificates/*",
        "Microsoft.KeyVault/vaults/certificatecontacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Certificates Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник Key Vault

Предоставляет разрешения на управление хранилищами ключей, но не позволяет назначать роли в Azure RBAC или получать доступ к секретам, ключам или сертификатам.

Подробнее

Внимание

При использовании модели разрешений политики доступа пользователь с ContributorKey Vault Contributorлюбой другой ролью, включающей Microsoft.KeyVault/vaults/write разрешения для плоскости управления хранилища ключей, может предоставить себе доступ к плоскости данных, задав политику доступа Key Vault. Чтобы предотвратить несанкционированный доступ и управление хранилищами ключей, ключами, секретами и сертификатами, необходимо ограничить доступ роли участника к хранилищам ключей в модели разрешений политики доступа. Чтобы устранить этот риск, рекомендуется использовать модель разрешений на основе ролей контроль доступа (RBAC), которая ограничивает управление разрешениями ролями "Владелец" и "Администратор доступа пользователей", что позволяет четко разделить операции безопасности и административные обязанности. Дополнительные сведения см. в руководстве по RBAC Key Vault и что такое Azure RBAC?

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.KeyVault/*
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.KeyVault/locations/deletedVaults/purge/action Очищает обратимо удаленное хранилище Key Vault.
Microsoft.KeyVault/hsmPools/*
Microsoft.KeyVault/managedHsms/*
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage key vaults, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
  "name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.KeyVault/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.KeyVault/locations/deletedVaults/purge/action",
        "Microsoft.KeyVault/hsmPools/*",
        "Microsoft.KeyVault/managedHsms/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Специалист по шифрованию хранилища ключей

Выполняет любые действия с ключами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/keys/*
Microsoft.KeyVault/vaults/keyrotationpolicies/*
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/*",
        "Microsoft.KeyVault/vaults/keyrotationpolicies/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь службы шифрования хранилища ключей

Считывает метаданные ключей и выполняет операции упаковки и распаковки. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Description
Microsoft.EventGrid/eventSubscriptions/write Создание или обновление eventSubscription
Microsoft.EventGrid/eventSubscriptions/read Чтение eventSubscription
Microsoft.EventGrid/eventSubscriptions/delete Удаление eventSubscription.
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/keys/read Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются.
Microsoft.KeyVault/vaults/keys/wrap/action Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что, если используется асимметричный ключ Key Vault, эту операцию могут выполнять субъекты с доступом на чтение.
Microsoft.KeyVault/vaults/keys/unwrap/action Распаковывает симметричный ключ с помощью ключа Key Vault.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
  "permissions": [
    {
      "actions": [
        "Microsoft.EventGrid/eventSubscriptions/write",
        "Microsoft.EventGrid/eventSubscriptions/read",
        "Microsoft.EventGrid/eventSubscriptions/delete"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Encryption User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь выпуска службы шифрования Key Vault

Ключи выпуска. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Description
none
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/keys/release/action Выпускает ключ, используя открытую часть KEK из токена аттестации.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/release/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto Service Release User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь шифрования хранилища ключей

Выполняет криптографические операции с помощью ключей. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Description
none
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/keys/read Вывод списка ключей в указанном хранилище или чтение свойств и общедоступных данных ключа. Для асимметричных ключей эта операция предоставляет открытый ключ и предусматривает возможность выполнения алгоритмов открытого ключа, таких как шифрование и проверка подписи. Закрытые и симметричные ключи не предоставляются.
Microsoft.KeyVault/vaults/keys/update/action Обновление указанных атрибутов, связанных с определенным ключом.
Microsoft.KeyVault/vaults/keys/backup/action Создает файл резервной копии ключа. Этот файл может использоваться для восстановления ключа в Key Vault для той же подписки. Могут применяться определенные ограничения.
Microsoft.KeyVault/vaults/keys/encrypt/action Шифрует открытый текст с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение.
Microsoft.KeyVault/vaults/keys/decrypt/action Расшифровывает зашифрованные данные с помощью ключа.
Microsoft.KeyVault/vaults/keys/wrap/action Упаковывает симметричный ключ с помощью ключа Key Vault. Обратите внимание, что, если используется асимметричный ключ Key Vault, эту операцию могут выполнять субъекты с доступом на чтение.
Microsoft.KeyVault/vaults/keys/unwrap/action Распаковывает симметричный ключ с помощью ключа Key Vault.
Microsoft.KeyVault/vaults/keys/sign/action Подписывает хэш с помощью ключа.
Microsoft.KeyVault/vaults/keys/verify/action Проверяет сигнатуру хэша с помощью ключа. Обратите внимание, что, если используется асимметричный ключ, эту операцию могут выполнять субъекты с доступом на чтение.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
  "name": "12338af0-0e69-4776-bea7-57ae8d297424",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/keys/read",
        "Microsoft.KeyVault/vaults/keys/update/action",
        "Microsoft.KeyVault/vaults/keys/backup/action",
        "Microsoft.KeyVault/vaults/keys/encrypt/action",
        "Microsoft.KeyVault/vaults/keys/decrypt/action",
        "Microsoft.KeyVault/vaults/keys/wrap/action",
        "Microsoft.KeyVault/vaults/keys/unwrap/action",
        "Microsoft.KeyVault/vaults/keys/sign/action",
        "Microsoft.KeyVault/vaults/keys/verify/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Crypto User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Администратор доступа к данным Key Vault

Управление доступом к Azure Key Vault путем добавления или удаления назначений ролей администратора Key Vault, сотрудника по сертификатам Key Vault, офицера шифрования key Vault, пользователя шифрования шифрования key Vault, пользователя шифрования key Vault, средства чтения ключей, сотрудника секретов Key Vault или роли пользователя секретов Key Vault. Включает условие ABAC для ограничения назначений ролей.

Действия Description
Microsoft.Authorization/roleAssignments/write Создает назначение роли в указанной области.
Microsoft.Authorization/roleAssignments/delete Здесь описывается удаление назначения роли в указанной области.
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Resources/subscriptions/read Возвращает список подписок.
Microsoft.Management/managementGroups/read Вывод списка групп управления для пользователя, прошедшего проверку подлинности.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/vaults/*/read
NotActions
none
Действия с данными
none
NotDataActions
none
Условие
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) Добавьте или удалите назначения ролей для следующих ролей:
Администратор хранилища ключей
Специалист по сертификатам хранилища ключей
Специалист по шифрованию хранилища ключей
Пользователь службы шифрования хранилища ключей
Пользователь шифрования хранилища ключей
Читатель Key Vault
Специалист по секретам хранилища ключей
Пользователь секретов хранилища ключей
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/vaults/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
    }
  ],
  "roleName": "Key Vault Data Access Administrator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель Key Vault

Считывает метаданные хранилищ ключей и их сертификатов, ключей и секретов. Не может считывать конфиденциальные значения, такие как содержимое секрета или материал ключа. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/vaults/secrets/readMetadata/action Выводит в списке или отображает свойства секрета, но не его значение.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
  "name": "21090545-7ca7-4776-b22c-e363652d74d2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Специалист по секретам хранилища ключей

Выполняет любые действия с секретами в хранилище ключей, за исключением предоставления разрешений на управление. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
Microsoft.KeyVault/checkNameAvailability/read Проверяет, является ли имя Key Vault допустимым и неиспользуемым.
Microsoft.KeyVault/deletedVaults/read Отображает свойства обратимо удаленных хранилищ Key Vault.
Microsoft.KeyVault/locations/*/read
Microsoft.KeyVault/vaults/*/read
Microsoft.KeyVault/operations/read Получение списка операций, доступных в поставщике ресурсов Microsoft.KeyVault.
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/secrets/*
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.KeyVault/checkNameAvailability/read",
        "Microsoft.KeyVault/deletedVaults/read",
        "Microsoft.KeyVault/locations/*/read",
        "Microsoft.KeyVault/vaults/*/read",
        "Microsoft.KeyVault/operations/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets Officer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Пользователь секретов хранилища ключей

Считывает содержимое секретов. Применяется только для хранилищ ключей, использующих модель разрешений "Управление доступом на основе ролей Azure".

Подробнее

Действия Description
none
NotActions
none
Действия с данными
Microsoft.KeyVault/vaults/secrets/getSecret/action Получает значение секрета.
Microsoft.KeyVault/vaults/secrets/readMetadata/action Выводит в списке или отображает свойства секрета, но не его значение.
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
  "name": "4633458b-17de-408a-b874-0445c86b69e6",
  "permissions": [
    {
      "actions": [],
      "notActions": [],
      "dataActions": [
        "Microsoft.KeyVault/vaults/secrets/getSecret/action",
        "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Key Vault Secrets User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник управляемого устройства HSM

Позволяет управлять управляемыми модулями HSM, но не доступом к ним.

Подробнее

Действия Description
Microsoft.KeyVault/managedHSMs/*
Microsoft.KeyVault/deletedManagedHsms/read Просмотр свойств удаленного управляемого устройства HSM
Microsoft.KeyVault/locations/deletedManagedHsms/read Просмотр свойств удаленного управляемого устройства HSM
Microsoft.KeyVault/locations/deletedManagedHsms/purge/action Очистка обратимо удаленного управляемого устройства HSM
Microsoft.KeyVault/locations/managedHsmOperationResults/read Проверяет результат длительной операции.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage managed HSM pools, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
  "name": "18500a29-7fe2-46b2-a342-b16a415e101d",
  "permissions": [
    {
      "actions": [
        "Microsoft.KeyVault/managedHSMs/*",
        "Microsoft.KeyVault/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/read",
        "Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
        "Microsoft.KeyVault/locations/managedHsmOperationResults/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Managed HSM contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник службы автоматизации Microsoft Sentinel

Участник службы автоматизации Microsoft Sentinel

Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Logic/workflows/triggers/read Считывает триггер.
Microsoft.Logic/workflows/triggers/listCallbackUrl/action Возвращает URL-адрес обратного вызова для триггера.
Microsoft.Logic/workflows/runs/read Считывает данные о выполнении рабочего процесса.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read Вывод списка триггеров рабочего процесса hostruntime веб-приложения.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Получение URI триггера рабочего процесса hostruntime веб-приложения.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read Вывод списка запусков веб-приложения рабочих процессов Hostruntime.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Automation Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Logic/workflows/triggers/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Logic/workflows/runs/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Automation Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник Microsoft Sentinel

Участник Microsoft Sentinel

Подробнее

Действия Description
Microsoft.SecurityInsights/*
Microsoft.OperationalInsights/workspaces/analytics/query/action Поиск с помощью нового механизма.
Microsoft.OperationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.OperationalInsights/workspaces/savedSearches/*
Microsoft.OperationsManagement/solutions/read Получение существующего решения OMS
Microsoft.OperationalInsights/workspaces/query/read Выполнение запросов к данным в рабочей области
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Получение источника данных в рабочей области.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/*
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Contributor",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
  "name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/*",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/*",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Оператор сборника схем Microsoft Sentinel

Оператор сборника схем Microsoft Sentinel

Подробнее

Действия Description
Microsoft.Logic/workflows/read Считывает рабочий процесс.
Microsoft.Logic/workflows/triggers/listCallbackUrl/action Возвращает URL-адрес обратного вызова для триггера.
Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action Получение URI триггера рабочего процесса hostruntime веб-приложения.
Microsoft.Web/sites/read Возвращает свойства веб-приложения.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Playbook Operator",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
  "name": "51d6186e-6489-4900-b93f-92e23144cca5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Logic/workflows/read",
        "Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
        "Microsoft.Web/sites/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Playbook Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель Microsoft Sentinel

Читатель Microsoft Sentinel

Подробнее

Действия Description
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Проверка авторизации и лицензии пользователя
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Запрос индикаторов аналитики угроз.
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Запрос индикаторов аналитики угроз.
Microsoft.OperationalInsights/workspaces/analytics/query/action Поиск с помощью нового механизма.
Microsoft.OperationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.OperationalInsights/workspaces/LinkedServices/read Получение связанных служб в заданной рабочей области.
Microsoft.OperationalInsights/workspaces/savedSearches/read Возвращает сохраненный поисковый запрос.
Microsoft.OperationsManagement/solutions/read Получение существующего решения OMS
Microsoft.OperationalInsights/workspaces/query/read Выполнение запросов к данным в рабочей области
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Получение источника данных в рабочей области.
Microsoft.Insights/workbooks/read Чтение книги
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Resources/templateSpecs/*/read Получение или перечисление спецификаций шаблонов и версий спецификаций шаблонов
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/LinkedServices/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/templateSpecs/*/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Респондент Microsoft Sentinel

Респондент Microsoft Sentinel

Подробнее

Действия Description
Microsoft.SecurityInsights/*/read
Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action Проверка авторизации и лицензии пользователя
Microsoft.SecurityInsights/automationRules/*
Microsoft.SecurityInsights/cases/*
Microsoft.SecurityInsights/incidents/*
Microsoft.SecurityInsights/entities/runPlaybook/action Запуск сборника схем в сущности
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Добавление тегов к индикатору аналитики угроз.
Microsoft.SecurityInsights/threatIntelligence/indicators/query/action Запрос индикаторов аналитики угроз.
Microsoft.SecurityInsights/threatIntelligence/bulkTag/action Аналитика угроз, связанных с групповыми тегами.
Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action Добавление тегов к индикатору аналитики угроз.
Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action Замена тегов индикатора анализа угроз.
Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action Запрос индикаторов аналитики угроз.
Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action Отменяет действие
Microsoft.OperationalInsights/workspaces/analytics/query/action Поиск с помощью нового механизма.
Microsoft.OperationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.OperationalInsights/workspaces/dataSources/read Получение источника данных в рабочей области.
Microsoft.OperationalInsights/workspaces/savedSearches/read Возвращает сохраненный поисковый запрос.
Microsoft.OperationsManagement/solutions/read Получение существующего решения OMS
Microsoft.OperationalInsights/workspaces/query/read Выполнение запросов к данным в рабочей области
Microsoft.OperationalInsights/workspaces/query/*/read
Microsoft.OperationalInsights/workspaces/dataSources/read Получение источника данных в рабочей области.
Microsoft.OperationalInsights/querypacks/*/read
Microsoft.Insights/workbooks/read Чтение книги
Microsoft.Insights/myworkbooks/read
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
Microsoft.SecurityInsights/cases/*/Delete
Microsoft.SecurityInsights/incidents/*/Delete
Microsoft.SecurityInsights/ConfidentialWatchlists/*
Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft Sentinel Responder",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
  "permissions": [
    {
      "actions": [
        "Microsoft.SecurityInsights/*/read",
        "Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
        "Microsoft.SecurityInsights/automationRules/*",
        "Microsoft.SecurityInsights/cases/*",
        "Microsoft.SecurityInsights/incidents/*",
        "Microsoft.SecurityInsights/entities/runPlaybook/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
        "Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
        "Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
        "Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
        "Microsoft.OperationalInsights/workspaces/analytics/query/action",
        "Microsoft.OperationalInsights/workspaces/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/workspaces/savedSearches/read",
        "Microsoft.OperationsManagement/solutions/read",
        "Microsoft.OperationalInsights/workspaces/query/read",
        "Microsoft.OperationalInsights/workspaces/query/*/read",
        "Microsoft.OperationalInsights/workspaces/dataSources/read",
        "Microsoft.OperationalInsights/querypacks/*/read",
        "Microsoft.Insights/workbooks/read",
        "Microsoft.Insights/myworkbooks/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [
        "Microsoft.SecurityInsights/cases/*/Delete",
        "Microsoft.SecurityInsights/incidents/*/Delete",
        "Microsoft.SecurityInsights/ConfidentialWatchlists/*",
        "Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Microsoft Sentinel Responder",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

администратор безопасности;

Просмотр и обновление разрешений для Microsoft Defender для облака. Имеет те же права, что и читатель сведений о безопасности, но также может изменять политику безопасности, отклонять рекомендации и оповещения.

Сведения о microsoft Defender для Интернета вещей см. в разделе "Роли пользователей Azure" для мониторинга OT и Enterprise IoT.

Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Authorization/policyAssignments/* Создание назначений политик и управление ими
Microsoft.Authorization/policyDefinitions/* Создание определений политик и управление ими
Microsoft.Authorization/policyExemptions/* Создание исключений политик и управление ими.
Microsoft.Authorization/policySetDefinitions/* Создание наборов политик и управление ими
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.Management/managementGroups/read Вывод списка групп управления для пользователя, прошедшего проверку подлинности.
Microsoft.operationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Security/* Создание компонентов и политик безопасности и управление ими
Microsoft.IoTSecurity/*
Microsoft.IoTFirmwareDefense/*
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Admin Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Authorization/policyAssignments/*",
        "Microsoft.Authorization/policyDefinitions/*",
        "Microsoft.Authorization/policyExemptions/*",
        "Microsoft.Authorization/policySetDefinitions/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.IoTSecurity/*",
        "Microsoft.IoTFirmwareDefense/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Участник оценки безопасности

Позволяет отправлять оценки в Microsoft Defender для облака

Действия Description
Microsoft.Security/assessments/write Создание или обновление оценок безопасности в подписке
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you push assessments to Security Center",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
  "permissions": [
    {
      "actions": [
        "Microsoft.Security/assessments/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Assessment Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Диспетчер безопасности (устаревший)

Это устаревшая роль. Используйте вместо нее роль администратора безопасности.

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.ClassicCompute/*/read Чтение сведений о конфигурации классических виртуальных машин
Microsoft.ClassicCompute/virtualMachines/*/write Запись сведений о конфигурации классических виртуальных машин
Microsoft.ClassicNetwork/*/read Чтение сведений о конфигурации для классической сети
Microsoft.Insights/alertRules/* Создание классического оповещения метрики и управление им
Microsoft.ResourceHealth/availabilityStatuses/read Возвращает состояния доступности для всех ресурсов в указанной области.
Microsoft.Resources/deployments/* Создание развертывания и управление им
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Security/* Создание компонентов и политик безопасности и управление ими
Microsoft.Support/* Создание и обновление запроса в службу поддержки
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "This is a legacy role. Please use Security Administrator instead",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ClassicCompute/*/read",
        "Microsoft.ClassicCompute/virtualMachines/*/write",
        "Microsoft.ClassicNetwork/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Manager (Legacy)",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Читатель сведений о безопасности

Просмотр разрешений для Microsoft Defender для облака. Может просматривать рекомендации, оповещения, политику и состояние безопасности, но не может вносить изменения.

Сведения о microsoft Defender для Интернета вещей см. в разделе "Роли пользователей Azure" для мониторинга OT и Enterprise IoT.

Подробнее

Действия Описание
Microsoft.Authorization/*/read Чтение ролей и назначений ролей
Microsoft.Insights/alertRules/read Чтение классического оповещения метрики.
Microsoft.operationalInsights/workspaces/*/read Просмотр данных Log Analytics
Microsoft.Resources/deployments/*/read
Microsoft.Resources/subscriptions/resourceGroups/read Возвращает группы ресурсов или выводит их список.
Microsoft.Security/*/read Чтение компонентов и политик безопасности
Microsoft.IoTSecurity/*/read
Microsoft.Support/*/read
Microsoft.Security/iotDefenderSettings/packageDownloads/action Получает сведения о загружаемых пакетах Defender для Интернета вещей.
Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action Скачивает файл активации диспетчера с данными квоты подписки.
Microsoft.Security/iotSensors/downloadResetPassword/action Скачивает файл сброса пароля для датчиков Интернета вещей.
Microsoft.IoTSecurity/defenderSettings/packageDownloads/action Получает сведения о загружаемых пакетах Defender для Интернета вещей.
Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action Скачивает файл активации диспетчера
Microsoft.Management/managementGroups/read Вывод списка групп управления для пользователя, прошедшего проверку подлинности.
NotActions
none
Действия с данными
none
NotDataActions
none
{
  "assignableScopes": [
    "/"
  ],
  "description": "Security Reader Role",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/read",
        "Microsoft.operationalInsights/workspaces/*/read",
        "Microsoft.Resources/deployments/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Security/*/read",
        "Microsoft.IoTSecurity/*/read",
        "Microsoft.Support/*/read",
        "Microsoft.Security/iotDefenderSettings/packageDownloads/action",
        "Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
        "Microsoft.Security/iotSensors/downloadResetPassword/action",
        "Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
        "Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
        "Microsoft.Management/managementGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Security Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Следующие шаги