Güvenlik için Azure yerleşik rolleri
Bu makalede Güvenlik kategorisindeki Azure yerleşik rolleri listelenmiştir.
Uygulama Uyumluluk Otomasyonu Yöneticisi
Rapor nesnelerini ve ilgili diğer kaynak nesnelerini oluşturun, okuyun, indirin, değiştirin ve silin.
| Eylemler | Açıklama |
|---|---|
| Microsoft.AppComplianceAutomation/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | Put blob hizmeti özelliklerinin sonucunu verir |
| Microsoft.Storage/storageAccounts/fileservices/write | Dosya hizmeti özelliklerini yerleştirme |
| Microsoft.Storage/storageAccounts/listKeys/action | Belirtilen depolama hesabının erişim anahtarlarını döndürür. |
| Microsoft.Storage/storageAccounts/write | Belirtilen parametrelerle bir depolama hesabı oluşturur veya özellikleri veya etiketleri güncelleştirir ya da belirtilen depolama hesabı için özel etki alanı ekler. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Blob hizmeti için kullanıcı temsilcisi anahtarı döndürür |
| Microsoft.Storage/storageAccounts/read | Depolama hesaplarının listesini döndürür veya belirtilen depolama hesabının özelliklerini alır. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Kapsayıcıların listesini döndürür |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Put blob kapsayıcısının sonucunu verir |
| Microsoft.Storage/storageAccounts/blobServices/read | Blob hizmeti özelliklerini veya istatistiklerini döndürür |
| Microsoft.PolicyInsights/policyStates/queryResults/action | İlke durumları hakkındaki sorgu bilgileri. |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | Seçili kapsam için yeni bir uyumluluk değerlendirmesi tetikler. |
| Microsoft.Resources/resources/read | Filtreleri temel alan kaynak listesini alın. |
| Microsoft.Resources/subscriptions/read | Abonelik listesini alır. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | Kaynak grubunun kaynaklarını alır. |
| Microsoft.Resources/subscriptions/resources/read | Aboneliğin kaynaklarını alır. |
| Microsoft.Resources/subscriptions/resourceGroups/delete | Bir kaynak grubunu ve tüm kaynaklarını siler. |
| Microsoft.Resources/subscriptions/resourceGroups/write | Bir kaynak grubu oluşturur veya güncelleştirir. |
| Microsoft.Resources/tags/read | Bir kaynak üzerindeki tüm etiketleri alır. |
| Microsoft.Resources/deployments/validate/action | Dağıtımı doğrular. |
| Microsoft.Security/automations/read | Kapsamın otomasyonlarını alır |
| Microsoft.Resources/deployments/write | Dağıtım oluşturur veya güncelleştirir. |
| Microsoft.Security/automations/delete | Kapsamın otomasyonunu siler |
| Microsoft.Security/automations/write | Kapsam için otomasyonu oluşturur veya güncelleştirir |
| Microsoft.Security/register/action | Aboneliği Azure Güvenlik Merkezi için kaydeder |
| Microsoft.Security/kaydını kaldırma/eylem | aboneliğin kaydını Azure Güvenlik Merkezi |
| */read | Gizli diziler hariç her türden kaynağı okuyun. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uygulama Uyumluluğu Otomasyonu Okuyucusu
Rapor nesnelerini ve ilgili diğer kaynak nesnelerini okuyun, indirin.
| Eylemler | Açıklama |
|---|---|
| */read | Gizli diziler hariç her türden kaynağı okuyun. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kanıtlama Katkıda Bulunanı
Kanıtlama sağlayıcısı örneğini okuyabilir veya silebilir
| Eylemler | Açıklama |
|---|---|
| Microsoft.Attestation/attestationProviders/kanıtlama/okuma | Kanıtlama hizmeti durumunu alır. |
| Microsoft.Attestation/attestationProviders/kanıtlama/yazma | Kanıtlama hizmeti ekler. |
| Microsoft.Attestation/attestationProviders/attestation/delete | Kanıtlama hizmetini kaldırır. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kanıtlama Okuyucusu
Kanıtlama sağlayıcısı özelliklerini okuyabilir
| Eylemler | Açıklama |
|---|---|
| Microsoft.Attestation/attestationProviders/kanıtlama/okuma | Kanıtlama hizmeti durumunu alır. |
| Microsoft.Attestation/attestationProviders/read | Kanıtlama hizmeti durumunu alır. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Yöneticisi
Bir anahtar kasasında ve sertifikalar, anahtarlar ve gizli diziler de dahil olmak üzere içindeki tüm nesnelerde tüm veri düzlemi işlemlerini gerçekleştirin. Anahtar kasası kaynakları yönetilemez veya rol atamaları yönetilemez. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| Microsoft.KeyVault/checkNameAvailability/read | Anahtar kasası adının geçerli olduğunu ve kullanımda olmadığını denetler |
| Microsoft.KeyVault/deletedVaults/read | Geçici olarak silinen anahtar kasalarının özelliklerini görüntüleme |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault kaynak sağlayıcısında kullanılabilen işlemleri listeler |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Sertifika Kullanıcısı
Sertifika içeriğini okuyun. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificates/read | Belirtilen anahtar kasasında sertifikaları listeleyin veya sertifika hakkında bilgi alın. |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Gizli dizi değerini alır. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Bir gizli dizinin özelliklerini listeleyin veya görüntüleyin, ancak değerini görüntülemeyin. |
| Microsoft.KeyVault/vaults/keys/read | Belirtilen kasadaki anahtarları listeleyin veya bir anahtarın özelliklerini ve genel malzemelerini okuyun. Asimetrik anahtarlar için bu işlem ortak anahtarı kullanıma sunar ve şifreleme ve imzayı doğrulama gibi ortak anahtar algoritmaları gerçekleştirme özelliğini içerir. Özel anahtarlar ve simetrik anahtarlar hiçbir zaman kullanıma sunulmaz. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Sertifika Yetkilisi
İzinleri yönetme dışında anahtar kasasının sertifikalarında herhangi bir eylem gerçekleştirin. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| Microsoft.KeyVault/checkNameAvailability/read | Anahtar kasası adının geçerli olduğunu ve kullanımda olmadığını denetler |
| Microsoft.KeyVault/deletedVaults/read | Geçici olarak silinen anahtar kasalarının özelliklerini görüntüleme |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault kaynak sağlayıcısında kullanılabilen işlemleri listeler |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificatecas/* | |
| Microsoft.KeyVault/vaults/certificates/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | Sertifika Kişisi'ni yönetme |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Katkıda Bulunanı
Anahtar kasalarını yönetin, ancak Azure RBAC'de rol atamanıza izin vermez ve gizli dizilere, anahtarlara veya sertifikalara erişmenize izin vermez.
Önemli
Erişim İlkesi izin modelini kullanırken, , Key Vault Contributorveya anahtar kasası yönetim düzlemi için izinler içeren Microsoft.KeyVault/vaults/write başka bir role sahip Contributorbir kullanıcı, bir Key Vault erişim ilkesi ayarlayarak kendilerine veri düzlemi erişimi verebilir. Anahtar kasalarınızın, anahtarlarınızın, gizli dizilerinizin ve sertifikalarınızın yetkisiz erişimini ve yönetimini önlemek için, Erişim İlkesi izin modeli altında anahtar kasalarına Katkıda Bulunan rolü erişimini sınırlamak önemlidir. Bu riski azaltmak için, izin yönetimini 'Sahip' ve 'Kullanıcı Erişimi Yöneticisi' rolleri ile kısıtlayarak güvenlik işlemleri ile yönetim görevleri arasında net bir ayrım sağlayan Rol Tabanlı Erişim Denetimi (RBAC) izin modelini kullanmanızı öneririz. Daha fazla bilgi için bkz. Key Vault RBAC Kılavuzu ve Azure RBAC nedir?
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.KeyVault/* | |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | Geçici olarak silinen anahtar kasalarını temizleme |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Şifreleme Yetkilisi
İzinleri yönetme dışında anahtar kasasının anahtarları üzerinde herhangi bir eylem gerçekleştirin. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| Microsoft.KeyVault/checkNameAvailability/read | Anahtar kasası adının geçerli olduğunu ve kullanımda olmadığını denetler |
| Microsoft.KeyVault/deletedVaults/read | Geçici olarak silinen anahtar kasalarının özelliklerini görüntüleme |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault kaynak sağlayıcısında kullanılabilen işlemleri listeler |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı
Anahtarların meta verilerini okuyun ve sarmalama/kaldırma işlemleri gerçekleştirin. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | EventSubscription oluşturma veya güncelleştirme |
| Microsoft.EventGrid/eventSubscriptions/read | EventSubscription okuma |
| Microsoft.EventGrid/eventSubscriptions/delete | EventSubscription silme |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | Belirtilen kasadaki anahtarları listeleyin veya bir anahtarın özelliklerini ve genel malzemelerini okuyun. Asimetrik anahtarlar için bu işlem ortak anahtarı kullanıma sunar ve şifreleme ve imzayı doğrulama gibi ortak anahtar algoritmaları gerçekleştirme özelliğini içerir. Özel anahtarlar ve simetrik anahtarlar hiçbir zaman kullanıma sunulmaz. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Bir simetrik anahtarı Key Vault anahtarıyla sarmalar. Key Vault anahtarı asimetrikse, bu işlemin okuma erişimi olan sorumlular tarafından gerçekleştirilebileceğini unutmayın. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Key Vault anahtarıyla simetrik anahtarın işaretini kaldırın. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Şifreleme Hizmeti Yayın Kullanıcısı
Sürüm anahtarları. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/release/action | KANıTLAMA belirtecinden KEK'nin ortak bölümünü kullanarak bir anahtarı serbest bırakın. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Şifreleme Kullanıcısı
Anahtarları kullanarak şifreleme işlemleri gerçekleştirin. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/read | Belirtilen kasadaki anahtarları listeleyin veya bir anahtarın özelliklerini ve genel malzemelerini okuyun. Asimetrik anahtarlar için bu işlem ortak anahtarı kullanıma sunar ve şifreleme ve imzayı doğrulama gibi ortak anahtar algoritmaları gerçekleştirme özelliğini içerir. Özel anahtarlar ve simetrik anahtarlar hiçbir zaman kullanıma sunulmaz. |
| Microsoft.KeyVault/vaults/keys/update/action | Verilen anahtarla ilişkili belirtilen öznitelikleri güncelleştirir. |
| Microsoft.KeyVault/vaults/keys/backup/action | Bir anahtarın yedekleme dosyasını oluşturur. Dosya, anahtarı aynı abonelikteki bir Key Vault'ta geri yüklemek için kullanılabilir. Kısıtlamalar uygulanabilir. |
| Microsoft.KeyVault/vaults/keys/encrypt/action | Düz metni bir anahtarla şifreler. Anahtar asimetrikse, bu işlemin okuma erişimi olan sorumlular tarafından gerçekleştirilebileceğini unutmayın. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | Şifre metninin şifresini bir anahtarla çözer. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Bir simetrik anahtarı Key Vault anahtarıyla sarmalar. Key Vault anahtarı asimetrikse, bu işlemin okuma erişimi olan sorumlular tarafından gerçekleştirilebileceğini unutmayın. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Key Vault anahtarıyla simetrik anahtarın işaretini kaldırın. |
| Microsoft.KeyVault/vaults/keys/sign/action | İleti özetlerini (karma) bir anahtarla imzalar. |
| Microsoft.KeyVault/vaults/keys/verify/action | bir ileti özetinin (karma) imzasını bir anahtarla doğrular. Anahtar asimetrikse, bu işlemin okuma erişimi olan sorumlular tarafından gerçekleştirilebileceğini unutmayın. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Veri Erişim Yöneticisi
Key Vault Yöneticisi, Key Vault Sertifika Yetkilisi, Anahtar Kasası Şifreleme Yetkilisi, Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı, Key Vault Şifreleme Kullanıcısı, Key Vault Okuyucusu, Key Vault Gizli DiziLeri Yetkilisi veya Key Vault Gizli Dizileri Kullanıcı rolleri için rol atamaları ekleyerek veya kaldırarak Azure Key Vault erişimini yönetin. Rol atamalarını kısıtlamak için bir ABAC koşulu içerir.
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Belirtilen kapsamda bir rol ataması oluşturun. |
| Microsoft.Authorization/roleAssignments/delete | Belirtilen kapsamdaki bir rol atamasını silin. |
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Resources/subscriptions/read | Abonelik listesini alır. |
| Microsoft.Management/managementGroups/read | Kimliği doğrulanmış kullanıcının yönetim gruplarını listeleyin. |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Condition | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Aşağıdaki roller için rol atamaları ekleyin veya kaldırın: Key Vault Yöneticisi Key Vault Sertifika Yetkilisi Key Vault Şifreleme Yetkilisi Key Vault Şifreleme Hizmeti Şifreleme Kullanıcısı Key Vault Şifreleme Kullanıcısı Key Vault Okuyucusu Key Vault Gizli DiziLeri Yetkilisi Key Vault Gizli Dizi Kullanıcısı |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Okuyucusu
Anahtar kasalarının ve sertifikalarının, anahtarlarının ve gizli dizilerinin meta verilerini okuyun. Gizli dizi içeriği veya anahtar malzeme gibi hassas değerler okunamıyor. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| Microsoft.KeyVault/checkNameAvailability/read | Anahtar kasası adının geçerli olduğunu ve kullanımda olmadığını denetler |
| Microsoft.KeyVault/deletedVaults/read | Geçici olarak silinen anahtar kasalarının özelliklerini görüntüleme |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault kaynak sağlayıcısında kullanılabilen işlemleri listeler |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Bir gizli dizinin özelliklerini listeleyin veya görüntüleyin, ancak değerini görüntülemeyin. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Gizli DiziLeri Yetkilisi
İzinleri yönetme dışında anahtar kasasının gizli dizileri üzerinde herhangi bir eylem gerçekleştirin. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| Microsoft.KeyVault/checkNameAvailability/read | Anahtar kasası adının geçerli olduğunu ve kullanımda olmadığını denetler |
| Microsoft.KeyVault/deletedVaults/read | Geçici olarak silinen anahtar kasalarının özelliklerini görüntüleme |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Microsoft.KeyVault kaynak sağlayıcısında kullanılabilen işlemleri listeler |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Gizli Dizi Kullanıcısı
Gizli dizi içeriğini okuma. Yalnızca 'Azure rol tabanlı erişim denetimi' izin modelini kullanan anahtar kasalarında çalışır.
| Eylemler | Açıklama |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Gizli dizi değerini alır. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Bir gizli dizinin özelliklerini listeleyin veya görüntüleyin, ancak değerini görüntülemeyin. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Yönetilen HSM katkıda bulunanı
Yönetilen HSM havuzlarını yönetmenize olanak tanır, ancak bunlara erişmenize izin vermez.
| Eylemler | Açıklama |
|---|---|
| Microsoft.KeyVault/managedHSMs/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | Silinen yönetilen hsm'nin özelliklerini görüntüleme |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | Silinen yönetilen hsm'nin özelliklerini görüntüleme |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Geçici olarak silinen yönetilen hsm'i temizleme |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | Uzun çalıştırma işleminin sonucunu denetleme |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Otomasyonu Katkıda Bulunanı
Microsoft Sentinel Otomasyonu Katkıda Bulunanı
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Logic/workflows/triggers/read | Tetikleyiciyi okur. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Tetikleyici için geri çağırma URL'sini alır. |
| Microsoft.Logic/workflows/runs/read | İş akışı çalıştırmasını okur. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Web Apps Hostruntime İş Akışı Tetikleyicilerini listeleyin. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Web Apps Hostruntime İş Akışı Tetikleyicisi Uri'lerini alın. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Web Apps Hostruntime İş Akışı Çalıştırmalarını Listeleyin. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Katkıda Bulunanı
Microsoft Sentinel Katkıda Bulunanı
| Eylemler | Açıklama |
|---|---|
| Microsoft.SecurityInsights/* | |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Yeni altyapı kullanarak arama. |
| Microsoft.OperationalInsights/workspaces/*/read | Log Analytics verilerini görüntüleme |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | |
| Microsoft.OperationsManagement/solutions/read | Mevcut OMS çözümünü alma |
| Microsoft.OperationalInsights/workspaces/query/read | Çalışma alanında veriler üzerinde sorgu çalıştırma |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Çalışma alanı altında veri kaynağı alma. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/* | |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Playbook Operatörü
Microsoft Sentinel Playbook Operatörü
| Eylemler | Açıklama |
|---|---|
| Microsoft.Logic/workflows/read | İş akışını okur. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Tetikleyici için geri çağırma URL'sini alır. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Web Apps Hostruntime İş Akışı Tetikleyicisi Uri'lerini alın. |
| Microsoft.Web/sites/read | Web Uygulamasının özelliklerini alma |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Okuyucusu
Microsoft Sentinel Okuyucusu
| Eylemler | Açıklama |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Kullanıcı yetkilendirme ve lisansını denetleme |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Sorgu Tehdit Bilgileri Göstergeleri |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Sorgu Tehdit Bilgileri Göstergeleri |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Yeni altyapı kullanarak arama. |
| Microsoft.OperationalInsights/workspaces/*/read | Log Analytics verilerini görüntüleme |
| Microsoft.OperationalInsights/workspaces/LinkedServices/read | Belirli bir çalışma alanı altında bağlı hizmetler alın. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Kaydedilmiş bir arama sorgusu alır. |
| Microsoft.OperationsManagement/solutions/read | Mevcut OMS çözümünü alma |
| Microsoft.OperationalInsights/workspaces/query/read | Çalışma alanında veriler üzerinde sorgu çalıştırma |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Çalışma alanı altında veri kaynağı alma. |
| Microsoft.Insights/workbooks/read | Çalışma kitabını okuma |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Resources/templateSpecs/*/read | Şablon belirtimlerini ve şablon belirtim sürümlerini alma veya listeleme |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Yanıtlayıcısı
Microsoft Sentinel Yanıtlayıcısı
| Eylemler | Açıklama |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Kullanıcı yetkilendirme ve lisansını denetleme |
| Microsoft.SecurityInsights/automationRules/* | |
| Microsoft.SecurityInsights/cases/* | |
| Microsoft.SecurityInsights/incidents/* | |
| Microsoft.SecurityInsights/entities/runPlaybook/action | Varlık üzerinde playbook çalıştırma |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Tehdit Bilgileri Göstergesine etiket ekleme |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Sorgu Tehdit Bilgileri Göstergeleri |
| Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | Toplu Etiketler Tehdit Bilgileri |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Tehdit Bilgileri Göstergesine etiket ekleme |
| Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | Tehdit Bilgileri Göstergesi etiketlerini değiştirme |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Sorgu Tehdit Bilgileri Göstergeleri |
| Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | Eylemi geri alır |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Yeni altyapı kullanarak arama. |
| Microsoft.OperationalInsights/workspaces/*/read | Log Analytics verilerini görüntüleme |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Çalışma alanı altında veri kaynağı alma. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Kaydedilmiş bir arama sorgusu alır. |
| Microsoft.OperationsManagement/solutions/read | Mevcut OMS çözümünü alma |
| Microsoft.OperationalInsights/workspaces/query/read | Çalışma alanında veriler üzerinde sorgu çalıştırma |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Çalışma alanı altında veri kaynağı alma. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/workbooks/read | Çalışma kitabını okuma |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| NotActions | |
| Microsoft.SecurityInsights/cases/*/Delete | |
| Microsoft.SecurityInsights/incidents/*/Delete | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Güvenlik Yöneticisi
Bulut için Microsoft Defender izinlerini görüntüleyin ve güncelleştirin. Güvenlik Okuyucusu rolüyle aynı izinler ve güvenlik ilkesini güncelleştirebilir, uyarıları ve önerileri kapatabilir.
IoT için Microsoft Defender için bkz . OT ve Enterprise IoT izleme için Azure kullanıcı rolleri.
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Authorization/policyAssignments/* | İlke atamaları oluşturma ve yönetme |
| Microsoft.Authorization/policyDefinitions/* | İlke tanımlarını oluşturma ve yönetme |
| Microsoft.Authorization/policyExemptions/* | İlke muafiyetlerini oluşturma ve yönetme |
| Microsoft.Authorization/policySetDefinitions/* | İlke kümeleri oluşturma ve yönetme |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.Management/managementGroups/read | Kimliği doğrulanmış kullanıcının yönetim gruplarını listeleyin. |
| Microsoft.operationalInsights/workspaces/*/read | Log Analytics verilerini görüntüleme |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Security/* | Güvenlik bileşenleri ve ilkeleri oluşturma ve yönetme |
| Microsoft.IoTSecurity/* | |
| Microsoft.IoTFirmwareDefense/* | |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Güvenlik Değerlendirmesi Katkıda Bulunanı
Değerlendirmeleri Bulut için Microsoft Defender göndermenizi sağlar
| Eylemler | Açıklama |
|---|---|
| Microsoft.Security/assessments/write | Aboneliğinizde güvenlik değerlendirmeleri oluşturma veya güncelleştirme |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Güvenlik Yöneticisi (Eski)
Bu eski bir roldür. Bunun yerine lütfen Güvenlik Yöneticisi'ni kullanın.
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.ClassicCompute/*/read | Yapılandırma bilgilerini okuma klasik sanal makineleri |
| Microsoft.ClassicCompute/virtualMachines/*/write | Klasik sanal makineler için yazma yapılandırması |
| Microsoft.ClassicNetwork/*/read | Klasik ağ hakkında yapılandırma bilgilerini okuma |
| Microsoft.Insights/alertRules/* | Klasik ölçüm uyarısı oluşturma ve yönetme |
| Microsoft.ResourceHealth/availabilityStatuses/read | Belirtilen kapsamdaki tüm kaynaklar için kullanılabilirlik durumlarını alır |
| Microsoft.Resources/deployments/* | Dağıtım oluşturma ve yönetme |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Security/* | Güvenlik bileşenleri ve ilkeleri oluşturma ve yönetme |
| Microsoft.Support/* | Destek bileti oluşturma ve güncelleştirme |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Güvenlik Okuyucusu
Bulut için Microsoft Defender izinlerini görüntüleyin. Önerileri, uyarıları, güvenlik ilkesini ve güvenlik durumlarını görüntüleyebilir, ancak değişiklik yapamaz.
IoT için Microsoft Defender için bkz . OT ve Enterprise IoT izleme için Azure kullanıcı rolleri.
| Eylemler | Açıklama |
|---|---|
| Microsoft.Authorization/*/read | Rolleri ve rol atamalarını okuma |
| Microsoft.Insights/alertRules/read | Klasik ölçüm uyarısını okuma |
| Microsoft.operationalInsights/workspaces/*/read | Log Analytics verilerini görüntüleme |
| Microsoft.Resources/deployments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Kaynak gruplarını alır veya listeler. |
| Microsoft.Security/*/read | Güvenlik bileşenlerini ve ilkelerini okuma |
| Microsoft.IoTSecurity/*/read | |
| Microsoft.Support/*/read | |
| Microsoft.Security/iotDefenderSettings/packageDownloads/action | İndirilebilir IoT Defender paket bilgilerini alır |
| Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | Abonelik kotası verileriyle yönetici etkinleştirme dosyasını indirme |
| Microsoft.Security/iotSensors/downloadResetPassword/action | İndirmeler IoT Algılayıcıları için parola dosyasını sıfırla |
| Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | İndirilebilir IoT Defender paket bilgilerini alır |
| Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | Yönetici etkinleştirme dosyasını indirme |
| Microsoft.Management/managementGroups/read | Kimliği doğrulanmış kullanıcının yönetim gruplarını listeleyin. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}