Behörighetskrav för Service Connector

  • Artikel

Service Connector skapar anslutningar mellan Azure-tjänster med hjälp av en on-behalf-of-token. För att skapa en anslutning till en specifik Azure-resurs krävs motsvarande behörigheter.

App Service

Åtgärd beskrivning
Microsoft.Web/sites/config/write Uppdatera konfigurationsinställningarna för webbappen
Microsoft.web/sites/config/delete Ta bort Web Apps-konfiguration.
Microsoft.Web/sites/config/list/action Visa en lista över säkerhetskänsliga inställningar för webbappar, till exempel publiceringsuppgifter, appinställningar och anslutningssträng
Microsoft.Web/sites/config/Read Hämta konfigurationsinställningar för Web App
Microsoft.Web/sites/write Skapa en ny webbapp eller uppdatera en befintlig
Microsoft.Web/sites/read Hämta egenskaperna för en webbapp

Webbappsfack

Åtgärd beskrivning
Microsoft.Web/sites/slots/Write Skapa ett nytt webbappsfack eller uppdatera ett befintligt
Microsoft.Web/sites/slots/Read Hämta egenskaperna för ett distributionsfack för webbappar
Microsoft.Web/sites/slots/config/Read Hämta konfigurationsinställningarna för Web App Slot
Microsoft.Web/sites/slots/config/Write Uppdatera konfigurationsinställningarna för Web App Slot
microsoft.web/sites/slots/config/delete Ta bort Web Apps-fackkonfiguration.
Microsoft.Web/sites/slots/config/list/Action Visa en lista över säkerhetskänsliga inställningar för webbappsfacket, till exempel publiceringsuppgifter, appinställningar och anslutningssträng

Azure Spring App

Åtgärd beskrivning
Microsoft.AppPlatform/Spring/read Hämta Azure Spring Apps-tjänstinstanser
Microsoft.AppPlatform/Spring/apps/read Hämta program för en specifik Azure Spring Apps-tjänstinstans
Microsoft.AppPlatform/Spring/apps/write Skapa eller uppdatera programmet för en specifik Azure Spring Apps-tjänstinstans
Microsoft.AppPlatform/Spring/apps/deployments/*/read Hämta distributionerna för ett visst program
Microsoft.AppPlatform/Spring/apps/deployments/*/write Skapa eller uppdatera distributionen för ett visst program
Microsoft.AppPlatform/Spring/apps/deployments/*/delete Ta bort distributionen för ett visst program

Azure Container Apps

Åtgärd beskrivning
Microsoft.App/containerApps/read Hämta en containerapp
Microsoft.App/containerApps/write Skapa eller uppdatera en containerapp
Microsoft.App/containerApps/listsecrets/action Lista hemligheter för en containerapp
Microsoft.App/managedEnvironments/read Hämta en hanterad miljö
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Hämta status för tidskrävande åtgärder i en hanterad miljö
microsoft.app/locations/containerappoperationstatuses/read Hämta en containerapps status för tidskrävande åtgärder
microsoft.app/locations/containerappoperationresults/read Hämta ett resultat av en containerapps tidskrävande åtgärd
microsoft.app/locations/managedenvironmentoperationresults/read Få ett resultat av långvariga åtgärder i en hanterad miljö

Dapr i Azure Container Apps

Åtgärd beskrivning
Microsoft.App/managedEnvironments/daprComponents/read Läsa Dapr-komponent för hanterad miljö
Microsoft.App/managedEnvironments/daprComponents/write Skapa eller uppdatera Dapr-komponent för hanterad miljö
Microsoft.App/managedEnvironments/daprComponents/delete Ta bort Dapr-komponent för hanterad miljö

Azure Cache for Redis

Åtgärd beskrivning
Microsoft.Cache/redis/read Visa Redis Caches inställningar och konfiguration i hanteringsportalen
Microsoft.Cache/redis/firewallRules/read Hämta IP-brandväggsreglerna för en Redis Cache
Microsoft.Cache/redis/firewallRules/write Redigera IP-brandväggsreglerna för en Redis Cache
Microsoft.Cache/redis/firewallRules/delete Ta bort IP-brandväggsregler för en Redis Cache
Microsoft.Cache/redis/listKeys/action Visa värdet för Åtkomstnycklar för Redis Cache i hanteringsportalen

Azure Cache for Redis Enterprise

Åtgärd beskrivning
Microsoft.Cache/redisEnterprise/read Visa Redis Enterprise-cachens inställningar och konfiguration i hanteringsportalen
Microsoft.Cache/redisEnterprise/databases/read Visa Redis Enterprise-cachedatabasens inställningar och konfiguration i hanteringsportalen
Microsoft.Cache/redisEnterprise/databases/listKeys/action Visa värdet för Redis Enterprise-databasåtkomstnycklar i hanteringsportalen

Azure Database for PostgreSQL

Azure Database for PostgreSQL

Åtgärd beskrivning
Microsoft.DBforPostgreSQL/servers/firewallRules/read Returnera listan över brandväggsregler för en server eller hämta egenskaperna för den angivna brandväggsregeln.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Skapar en brandväggsregel med de angivna parametrarna eller uppdaterar en befintlig regel.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Tar bort en befintlig brandväggsregel.
Microsoft.DBForPostgreSQL/servers/read Returnera listan över servrar eller hämta egenskaperna för den angivna servern.
Microsoft.DBForPostgreSQL/servers/databases/read Returnera listan över PostgreSQL-databaser eller hämta egenskaperna för den angivna databasen.
Microsoft.DBforPostgreSQL/servers/write Skapar en server med de angivna parametrarna eller uppdaterar egenskaperna eller taggarna för den angivna servern.

Azure Database for PostgreSQL (tjänstslutpunkt)

Åtgärd beskrivning
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Returnera listan över regler för virtuella nätverk eller hämta egenskaperna för den angivna regeln för virtuellt nätverk.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Skapar en regel för virtuellt nätverk med de angivna parametrarna eller uppdaterar egenskaperna eller taggarna för den angivna regeln för virtuellt nätverk.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Tar bort en befintlig regel för virtuellt nätverk

Azure Database for PostgreSQL – flexibel server

Åtgärd beskrivning
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Returnera listan över brandväggsregler för en server eller hämta egenskaperna för den angivna brandväggsregeln.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Skapar en brandväggsregel med de angivna parametrarna eller uppdaterar en befintlig regel.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Tar bort en befintlig brandväggsregel.
Microsoft.DBForPostgreSQL/flexibleServers/read Returnera listan över servrar eller hämta egenskaperna för den angivna servern.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Returnerar listan över PostgreSQL-serverdatabaser eller hämtar databasen för den angivna servern.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Returnerar listan över PostgreSQL-serverkonfigurationer eller hämtar konfigurationerna för den angivna servern.

Azure Database for MySQL

Åtgärd beskrivning
Microsoft.DBforMySQL/servers/firewallRules/read Returnera listan över brandväggsregler för en server eller hämta egenskaperna för den angivna brandväggsregeln.
Microsoft.DBforMySQL/servers/firewallRules/write Skapar en brandväggsregel med de angivna parametrarna eller uppdaterar en befintlig regel.
Microsoft.DBforMySQL/servers/firewallRules/delete Tar bort en befintlig brandväggsregel.
Microsoft.DBforMySQL/servers/read Returnera listan över servrar eller hämta egenskaperna för den angivna servern.
Microsoft.DBforMySQL/servers/databases/read Returnera listan över MySQL-databaser eller hämta egenskaperna för den angivna databasen.
Microsoft.DBforMySQL/servers/write Skapar en server med de angivna parametrarna eller uppdaterar egenskaperna eller taggarna för den angivna servern.

Azure Database for MySQL (tjänstslutpunkt)

Åtgärd beskrivning
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Returnera listan över regler för virtuella nätverk eller hämta egenskaperna för den angivna regeln för virtuellt nätverk.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Skapar en regel för virtuellt nätverk med de angivna parametrarna eller uppdaterar egenskaperna eller taggarna för den angivna regeln för virtuellt nätverk.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Tar bort en befintlig regel för virtuellt nätverk

Azure Database for MySQL – flexibel server

Åtgärd beskrivning
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Returnerar listan över brandväggsregler för en server eller hämtar egenskaperna för den angivna brandväggsregeln.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Skapar en brandväggsregel med de angivna parametrarna eller uppdaterar en befintlig regel.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Tar bort en befintlig brandväggsregel.
Microsoft.DBforMySQL/flexibleServers/read Returnerar listan över servrar eller hämtar egenskaperna för den angivna servern.
Microsoft.DBforMySQL/flexibleServers/databases/read Returnerar listan över databaser för en server eller hämtar egenskaperna för den angivna databasen.
Microsoft.DBforMySQL/flexibleServers/configurations/read Returnerar listan över MySQL-serverkonfigurationer eller hämtar konfigurationerna för den angivna servern.

Azure App Configuration

Åtgärd beskrivning
Microsoft.AppConfiguration/configurationStores/ListKeys/action Visar en lista över API-nycklarna för det angivna konfigurationsarkivet.
Microsoft.AppConfiguration/configurationStores/read Hämtar egenskaperna för det angivna konfigurationsarkivet eller visar alla konfigurationslager under den angivna resursgruppen eller prenumerationen.

Azure Event Hubs

Åtgärd beskrivning
Microsoft.EventHub/namespaces/read Hämta listan över namnområdesresursbeskrivning
Microsoft.EventHub/namespaces/ipFilterRules/read Hämta IP-filterresurs
Microsoft.EventHub/namespaces/ipFilterRules/write Skapa IP-filterresurs
Microsoft.EventHub/namespaces/ipFilterRules/delete Ta bort IP-filterresurs
Microsoft.EventHub/namespaces/networkrulesets/read Hämtar NetworkRuleSet-resurs
Microsoft.EventHub/namespaces/networkrulesets/write Skapa VNET-regelresurs
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action Hämta anslutningssträngen till namnområdet

Azure Service Bus

Åtgärd beskrivning
Microsoft.ServiceBus/namespaces/read Hämta listan över namnområdesresursbeskrivning
Microsoft.ServiceBus/namespaces/ipFilterRules/read Hämta IP-filterresurs
Microsoft.ServiceBus/namespaces/ipFilterRules/write Skapa IP-filterresurs
Microsoft.ServiceBus/namespaces/ipFilterRules/delete Ta bort IP-filterresurs
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action Hämta anslutningssträngen till namnområdet
Microsoft.ServiceBus/namespaces/networkrulesets/read Hämtar NetworkRuleSet-resurs
Microsoft.ServiceBus/namespaces/networkrulesets/write Skapa VNET-regelresurs

Azure Blob Storage

Åtgärd beskrivning
Microsoft.Storage/storageAccounts/read Returnerar listan över lagringskonton eller hämtar egenskaperna för det angivna lagringskontot.
Microsoft.Storage/storageAccounts/write Skapar ett lagringskonto med de angivna parametrarna eller uppdaterar egenskaperna eller taggarna eller lägger till en anpassad domän för det angivna lagringskontot.
Microsoft.Storage/storageAccounts/listkeys/action Returnerar åtkomstnycklarna för det angivna lagringskontot.

Azure SignalR Service

Åtgärd beskrivning
Microsoft.SignalRService/SignalR/read Visa SignalR:s inställningar och konfigurationer i hanteringsportalen eller via API
Microsoft.SignalRService/SignalR/write Ändra SignalR:s inställningar och konfigurationer i hanteringsportalen eller via API
Microsoft.SignalRService/locations/operationresults/signalr/read Fråga efter resultatet av en platsbaserad asynkron åtgärd
Microsoft.SignalRService/locations/operationStatuses/signalr/read Fråga efter status för en platsbaserad asynkron åtgärd
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action Visa värdet för SignalR-åtkomstnycklar i hanteringsportalen eller via API

Azure Web PubSub-tjänst

Åtgärd beskrivning
Microsoft.SignalRService/WebPubSub/read Visa WebPubSubs inställningar och konfigurationer i hanteringsportalen eller via API
Microsoft.SignalRService/WebPubSub/write Ändra WebPubSubs inställningar och konfigurationer i hanteringsportalen eller via API
Microsoft.SignalRService/locations/operationresults/webpubsub/read Fråga efter resultatet av en platsbaserad asynkron åtgärd
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Fråga efter status för en platsbaserad asynkron åtgärd
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read Visa värdet för WebPubSub-åtkomstnycklar i hanteringsportalen eller via API
Microsoft.SignalRService/WebPubSub/listkeys/action Visa värdet för WebPubSub-åtkomstnycklar i hanteringsportalen eller via API

Azure Cosmos DB

Varning

Microsoft rekommenderar att du använder det säkraste tillgängliga autentiseringsflödet. Det autentiseringsflöde som beskrivs i den här proceduren kräver mycket stort förtroende för programmet och medför risker som inte finns i andra flöden. Du bör bara använda det här flödet när andra säkrare flöden, till exempel hanterade identiteter, inte är livskraftiga.

Åtgärd beskrivning
Microsoft.DocumentDB/databaseAccounts/read Läser ett databaskonto.
Microsoft.DocumentDB/databaseAccounts/write Uppdatera ett databaskonto.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action Hämta anslutningssträng för ett databaskonto
Microsoft.DocumentDB/databaseAccounts/listKeys/action Lista nycklar för ett databaskonto

Azure SQL Database

Åtgärd beskrivning
Microsoft.Sql/servers/firewallRules/read Returnera listan över brandväggsregler för servern eller hämta egenskaperna för den angivna brandväggsregeln för servern.
Microsoft.Sql/servers/firewallRules/write Skapar en brandväggsregel för servern med de angivna parametrarna, uppdaterar egenskaperna för den angivna regeln eller skriver över alla befintliga regler med nya brandväggsregler för servern.
Microsoft.Sql/servers/firewallRules/delete Tar bort en befintlig brandväggsregel för servern.
Microsoft.Sql/servers/databases/read Returnera listan över databaser eller hämta egenskaperna för den angivna databasen.
Microsoft.Sql/servers/read Returnera listan över servrar eller hämta egenskaperna för den angivna servern.
Microsoft.Sql/servers/virtualNetworkRules/read Returnera listan över regler för virtuella nätverk eller hämta egenskaperna för den angivna regeln för virtuellt nätverk.
Microsoft.Sql/servers/virtualNetworkRules/write Skapar en regel för virtuellt nätverk med de angivna parametrarna eller uppdaterar egenskaperna eller taggarna för den angivna regeln för virtuellt nätverk.
Microsoft.Sql/servers/virtualNetworkRules/delete Tar bort en befintlig regel för virtuellt nätverk

Azure Key Vault

Åtgärd beskrivning
Microsoft.KeyVault/vaults/write Skapar ett nytt nyckelvalv eller uppdaterar egenskaperna för ett befintligt nyckelvalv. Vissa egenskaper kan kräva fler behörigheter.
Microsoft.KeyVault/vaults/read Visa egenskaperna för ett nyckelvalv
Microsoft.KeyVault/vaults/secrets/write Skapar en ny hemlighet eller uppdaterar värdet för en befintlig hemlighet.
Microsoft.KeyVault/vaults/accessPolicies/write Uppdaterar en befintlig åtkomstprincip genom att slå samman eller ersätta eller lägga till en ny åtkomstprincip i nyckelvalvet.

Azure Cosmos DB

Åtgärd beskrivning
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Läsa en SQL-rolldefinition
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Skapa eller uppdatera en SQL-rolldefinition
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Ta bort en SQL-rolltilldelning

Service Connector kan behöva bevilja behörigheter till hanterad identitet eller tjänstens huvudnamn om en anslutning skapas med dem som autentiseringstyper. I följande tabell visas behörighetskraven för att skapa en anslutning i det här scenariot.

Åtgärd beskrivning
Microsoft.Authorization/roleAssignments/read Hämta information om en rolltilldelning.
Microsoft.Authorization/roleAssignments/write Skapa en rolltilldelning i det angivna omfånget.
Microsoft.Authorization/roleAssignments/delete Ta bort en rolltilldelning i det angivna omfånget.

Anslutning till användartilldelade hanterade identiteter

Service Connector kan behöva bevilja behörigheter till användartilldelad hanterad identitet om en anslutning skapas med den som autentiseringstyp. I följande tabell visas behörighetskraven för att skapa en anslutning i det här scenariot.

Åtgärd beskrivning
Microsoft.ManagedIdentity/userAssignedIdentities/read Hämtar en befintlig användartilldelad identitet
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action RBAC-åtgärd för att tilldela en befintlig användartilldelad identitet till en resurs
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Hämta eller lista autentiseringsuppgifter för federerad identitet
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Lägga till eller uppdatera en federerad identitetsautentiseringsuppgift
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Ta bort en federerad identitetsautentiseringsuppgift

Service Connector kan behöva bevilja behörigheter till din identitet om en anslutning skapas med en privat slutpunkt eller tjänstslutpunkt som nätverkslösning. I följande tabell visas behörighetskraven för att skapa en anslutning i det här scenariot.

Åtgärd beskrivning
Microsoft.Network/publicIPAddresses/read Hämtar en offentlig IP-adressdefinition.
Microsoft.Network/virtualNetworks/subnets/read Hämtar en undernätsdefinition för virtuellt nätverk
Microsoft.Network/virtualNetworks/subnets/write Skapar ett virtuellt nätverksundernät eller uppdaterar ett befintligt virtuellt nätverksundernät
Microsoft.Network/privateEndpoints/read Hämtar en privat slutpunktsresurs.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Kopplar resurser som lagringskonto eller SQL-databas till ett undernät. Inte aviseringsbar.
Microsoft.Network/networkSecurityGroups/join/action Ansluter till en nätverkssäkerhetsgrupp. Inte aviseringsbar.
Microsoft.Network/serviceEndpointPolicies/join/action Ansluter till en tjänstslutpunktsprincip. Inte aviseringsbar.
Microsoft.Network/natGateways/join/action Ansluter till en NAT-gateway
Microsoft.Network/networkIntentPolicies/join/action Ansluter till en princip för nätverks avsikt. Inte aviseringsbar.
Microsoft.Network/networkSecurityGroups/join/action Ansluter till en nätverkssäkerhetsgrupp. Inte aviseringsbar.
Microsoft.Network/routeTables/join/action Ansluter till en routningstabell. Inte aviseringsbar.

Hög tillgänglighet