Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista os Azure funções internas na categoria Segurança.
Administrador de automação de conformidade de aplicativos
Permite o gerenciamento da ferramenta de Automação de Conformidade do Aplicativo para Microsoft 365
Note
Essa função inclui a ação */read para o plano de controle. Os usuários atribuídos a essa função podem ler informações controlar plano para todos os recursos Azure.
| Actions | Description |
|---|---|
| Microsoft. AppComplianceAutomation/* | |
| Microsoft. Armazenamento/storageAccounts/blobServices/write | Retornar o resultado da inserção de propriedades do serviço blob |
| Microsoft. Armazenamento/storageAccounts/fileservices/write | Colocar as propriedades do serviço de arquivo |
| Microsoft. Armazenamento/storageAccounts/listKeys/action | Retornar as chaves de acesso da conta de armazenamento especificada. |
| Microsoft. Armazenamento/storageAccounts/write | Criar uma conta de armazenamento com os parâmetros especificados, atualizar as propriedades ou marcas ou adicionar um domínio personalizado à conta de armazenamento especificada. |
| Microsoft. Armazenamento/storageAccounts/blobServices/generateUserDelegationKey/action | Retorna uma chave de delegação de usuário para o serviço Blob |
| Microsoft. Armazenamento/storageAccounts/read | Retornar a lista de contas de armazenamento ou obter as propriedades da conta de armazenamento especificada. |
| Microsoft. Armazenamento/storageAccounts/blobServices/containers/read | Retorna a lista de contêineres |
| Microsoft. Armazenamento/storageAccounts/blobServices/containers/write | Retorna o resultado do contêiner de put blob |
| Microsoft. Armazenamento/storageAccounts/blobServices/read | Retornar propriedades ou estatísticas do serviço blob |
| Microsoft. PolicyInsights/policyStates/queryResults/action | Consulta informações sobre estados de política. |
| Microsoft. PolicyInsights/policyStates/triggerEvaluation/action | Dispara uma nova avaliação de conformidade para o escopo selecionado. |
| Microsoft. Recursos/resources/read | Obter a lista de recursos com base em filtros. |
| Microsoft. Recursos/subscriptions/read | Obter a lista de assinaturas. |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Recursos/subscriptions/resourceGroups/resources/read | Obter os recursos do grupo de recursos. |
| Microsoft. Recursos/subscriptions/resources/read | Obter os recursos de uma assinatura. |
| Microsoft. Recursos/subscriptions/resourceGroups/delete | Excluir um grupo de recursos e todos os seus recursos. |
| Microsoft. Recursos/subscriptions/resourceGroups/write | Criar ou atualizar um grupo de recursos. |
| Microsoft. Recursos/tags/leitura | Obtém todas as marcas em um recurso. |
| Microsoft. Recursos/deployments/validate/action | Valida uma implantação. |
| Microsoft. Segurança/automações/leitura | Obtém as automações para o escopo |
| Microsoft. Recursos/deployments/write | Criar ou atualizar uma implantação. |
| Microsoft. Segurança/automações/exclusão | Exclui a automação para o escopo |
| Microsoft. Segurança/automações/gravação | Cria ou atualiza a automação para o escopo |
| Microsoft. Segurança/register/action | Registra a assinatura do Central de Segurança do Azure |
| Microsoft. Segurança/cancelar o registro/ação | Cancela o registro da assinatura do Central de Segurança do Azure |
| */read | Leia as informações do plano de controle para todos os recursos de Azure. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows managing App Compliance Automation tool for Microsoft 365",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de automação de conformidade de aplicativos
Permite o acesso somente leitura à ferramenta de Automação de Conformidade do Aplicativo para Microsoft 365
Note
Essa função inclui a ação */read para o plano de controle. Os usuários atribuídos a essa função podem ler informações controlar plano para todos os recursos Azure.
| Actions | Description |
|---|---|
| */read | Leia as informações do plano de controle para todos os recursos de Azure. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to App Compliance Automation tool for Microsoft 365",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do Atestado
Pode ler, gravar ou excluir a instância do provedor de atestado.
| Actions | Description |
|---|---|
| Microsoft. Atestado/attestationProviders/atestado/leitura | Obtém o status do serviço de atestado. |
| Microsoft. Atestado/attestationProviders/atestado/gravação | Adiciona serviço de atestado. |
| Microsoft. Atestado/attestationProviders/atestado/delete | Remove o serviço de atestado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor do Atestado
Pode ler as propriedades do provedor de atestado.
| Actions | Description |
|---|---|
| Microsoft. Atestado/attestationProviders/atestado/leitura | Obtém o status do serviço de atestado. |
| Microsoft. Atestado/attestationProviders/read | Obtém o status do serviço de atestado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador do Key Vault
Executa todas as operações do plano de dados em um cofre de chaves e em todos os objetos nele, incluindo certificados, chaves e segredos. Não pode gerenciar os recursos do cofre de chaves nem gerenciar atribuições de função. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft. KeyVault/locations/*/read | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis no Microsoft. Provedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Usuário de Certificado
Lê o conteúdo do certificado. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/certificates/read | Liste certificados em um cofre de chaves especificado ou obtenha informações sobre um certificado. |
| Microsoft. KeyVault/vaults/secrets/getSecret/action | Obtém o valor de um segredo. |
| Microsoft. KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não o seu valor. |
| Microsoft. KeyVault/vaults/keys/read | Listar chaves no cofre especificado ou ler propriedades e materiais públicos de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. Chaves privadas e chaves simétricas nunca são expostas. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Certificates Officer
Execute qualquer ação nos certificados de um cofre de chaves, exceto gerenciar permissões. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft. KeyVault/locations/*/read | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis no Microsoft. Provedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/certificatecas/* | |
| Microsoft. KeyVault/vaults/certificates/* | |
| Microsoft. KeyVault/vaults/certificatecontacts/write | Gerenciar o Contato do Certificado |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do Key Vault
Gerencie cofres de chaves, mas não permite atribuir funções em Azure RBAC e não permite que você acesse segredos, chaves ou certificados.
Warning
Para melhorar a segurança, use o modelo de permissão Role-Based Controle de Acesso (RBAC em vez de políticas de acesso ao gerenciar Azure Key Vault. O RBAC restringe o gerenciamento de permissões apenas às funções 'Proprietário' e 'Administrador de Acesso do Usuário', garantindo uma separação clara entre tarefas administrativas e de segurança. Para obter mais informações, consulte O que é Azure RBAC? e o Key Vault RBAC Guide.
Com o modelo de permissão da Política de Acesso, os usuários com as permissões Contributor, Key Vault Contributor ou qualquer função que inclua permissões Microsoft.KeyVault/vaults/write podem conceder a si mesmos acesso ao plano de dados configurando uma política de acesso Key Vault. Isso pode resultar em acesso e gerenciamento não autorizados de seus cofres de chaves, chaves, segredos e certificados. Para reduzir esse risco, limite o acesso à função Colaborador a cofres de chaves ao usar o modelo Política de Acesso.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. KeyVault/* | |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| Microsoft. KeyVault/locations/deletedVaults/purge/action | Limpar um cofre de chaves com exclusão reversível |
| Microsoft. KeyVault/hsmPools/* | |
| Microsoft. KeyVault/managedHsms/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto Officer
Execute qualquer ação nas chaves do cofre de chaves, exceto gerenciar permissões. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft. KeyVault/locations/*/read | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis no Microsoft. Provedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/keys/* | |
| Microsoft. KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault usuário de criptografia de serviço de criptografia
Leia metadados de chaves e execute operações de encapsulamento/descapsulamento. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| Microsoft. EventGrid/eventSubscriptions/write | Criar ou atualizar um eventSubscription |
| Microsoft. EventGrid/eventSubscriptions/read | Ler um eventSubscription |
| Microsoft. EventGrid/eventSubscriptions/delete | Excluir uma eventSubscription |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/keys/read | Listar chaves no cofre especificado ou ler propriedades e materiais públicos de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. Chaves privadas e chaves simétricas nunca são expostas. |
| Microsoft. KeyVault/vaults/keys/wrap/action | Encapsula uma chave simétrica com uma chave Key Vault. Observe que, se a chave Key Vault for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura. |
| Microsoft. KeyVault/vaults/keys/unwrap/action | Desembrulha uma chave simétrica com uma chave Key Vault. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault usuário de versão do Serviço de Criptografia
Libera as chaves. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/keys/release/action | Libera uma chave usando a parte pública de KEK do token de atestado. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault usuário de criptografia
Executa operações criptográficas com chaves. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/keys/read | Listar chaves no cofre especificado ou ler propriedades e materiais públicos de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. Chaves privadas e chaves simétricas nunca são expostas. |
| Microsoft. KeyVault/vaults/keys/update/action | Atualiza os atributos especificados associados à chave determinada. |
| Microsoft. KeyVault/vaults/keys/backup/action | Cria o arquivo de backup de uma chave. O arquivo pode ser usado para restaurar a chave em um Key Vault da mesma assinatura. Pode haver restrições. |
| Microsoft. KeyVault/vaults/keys/encrypt/action | Criptografa texto sem formatação com uma chave. Observe que, se a chave for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura. |
| Microsoft. KeyVault/vaults/keys/decrypt/action | Descriptografa o texto cifrado com uma chave. |
| Microsoft. KeyVault/vaults/keys/wrap/action | Encapsula uma chave simétrica com uma chave Key Vault. Observe que, se a chave Key Vault for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura. |
| Microsoft. KeyVault/vaults/keys/unwrap/action | Desembrulha uma chave simétrica com uma chave Key Vault. |
| Microsoft. KeyVault/vaults/keys/sign/action | Assina um resumo da mensagem (hash) com uma chave. |
| Microsoft. KeyVault/vaults/keys/verify/action | Verifica a assinatura de um resumo de mensagem (hash) com uma chave. Observe que, se a chave for assimétrica, essa operação poderá ser executada por entidades de segurança com acesso de leitura. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Acesso a Dados do Key Vault
Gerenciar o acesso ao Azure Key Vault adicionando ou removendo atribuições de função para o Administrador Key Vault, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Leitor, Key Vault Oficial de Segredos ou funções de Usuário de Segredos Key Vault. Inclui uma condição do ABAC para restringir atribuições de função.
| Actions | Description |
|---|---|
| Microsoft. Autorização/roleAssignments/write | Criar uma atribuição de função no escopo especificado. |
| Microsoft. Autorização/roleAssignments/delete | Exclua uma atribuição de função no escopo especificado. |
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Recursos/subscriptions/read | Obter a lista de assinaturas. |
| Microsoft. Gerenciamento/managementGroups/read | Listar grupos de gerenciamento para o usuário autenticado. |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| Microsoft. KeyVault/vaults/*/read | |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Condition | |
| ((! (ActionMatches{'Microsoft. Authorization/roleAssignments/write'})) OR (@Request[Microsoft. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) E ((!( ActionMatches{'Microsoft. Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Adiciona ou remove atribuições de função para as seguintes funções: Administrador do Key Vault Key Vault Certificates Officer Key Vault Crypto Officer Key Vault usuário de criptografia de serviço de criptografia Key Vault usuário de criptografia Leitor de Key Vault Oficial de Segredos do Key Vault Usuário de segredos do Key Vault |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de Key Vault
Lê metadados dos cofres de chaves e seus certificados, chaves e segredos. Não pode ler valores confidenciais, como conteúdo secreto ou material de chave. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft. KeyVault/locations/*/read | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis no Microsoft. Provedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não o seu valor. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Oficial de Segredos do Key Vault
Executa qualquer ação nos segredos de um cofre de chaves, exceto gerenciar permissões. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verificar se um nome de chave do cofre é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Exibir as propriedades de cofres de chaves com exclusão reversível |
| Microsoft. KeyVault/locations/*/read | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis no Microsoft. Provedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/secrets/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário de segredos do Key Vault
Lê o conteúdo secreto. Funciona apenas para cofres de chaves que usam o modelo de permissão "Azure controle de acesso baseado em função".
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/secrets/getSecret/action | Obtém o valor de um segredo. |
| Microsoft. KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não o seu valor. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador de bloqueios
Pode gerenciar operações de bloqueios.
| Actions | Description |
|---|---|
| Microsoft. Autorização/locks/read | Obter bloqueios no escopo especificado. |
| Microsoft. Autorização/bloqueios/gravação | Adicionar bloqueios no escopo especificado. |
| Microsoft. Autorização/locks/delete | Excluir bloqueios no escopo especificado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can Manage Locks Operations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/28bf596f-4eb7-45ce-b5bc-6cf482fec137",
"name": "28bf596f-4eb7-45ce-b5bc-6cf482fec137",
"permissions": [
{
"actions": [
"Microsoft.Authorization/locks/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Locks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do HSM Gerenciado
Permite gerenciar os pools do HSM gerenciado, mas não o acesso a eles.
| Actions | Description |
|---|---|
| Microsoft. KeyVault/managedHSMs/* | |
| Microsoft. KeyVault/deletedManagedHsms/read | Exibir as propriedades de um HSM gerenciado excluído |
| Microsoft. KeyVault/locations/deletedManagedHsms/read | Exibir as propriedades de um HSM gerenciado excluído |
| Microsoft. KeyVault/locations/deletedManagedHsms/purge/action | Limpar um HSM gerenciado excluído de modo reversível |
| Microsoft. KeyVault/locations/managedHsmOperationResults/read | Verificar o resultado de uma operação de longo prazo |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador de Automação do Microsoft Sentinel
Colaborador de Automação do Microsoft Sentinel
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Lógica/fluxos de trabalho/gatilhos/leitura | Ler o gatilho. |
| Microsoft. Lógica/fluxos de trabalho/gatilhos/listCallbackUrl/action | Obter a URL de retorno de chamada do gatilho. |
| Microsoft. Lógica/fluxos de trabalho/execuções/leitura | Ler a execução do fluxo de trabalho. |
| Microsoft. Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Listar Aplicativos Web gatilhos de fluxo de trabalho hostruntime. |
| Microsoft. Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obter Aplicativos Web Uri do gatilho de fluxo de trabalho hostruntime. |
| Microsoft. Web/sites/hostruntime/webhooks/api/workflows/runs/read | Listar Aplicativos Web execuções de fluxo de trabalho hostruntime. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do Microsoft Sentinel
Colaborador do Microsoft Sentinel
| Actions | Description |
|---|---|
| Microsoft. SecurityInsights/* | |
| Microsoft. OperationalInsights/workspaces/analytics/query/action | Pesquisar usando o novo mecanismo. |
| Microsoft. OperationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft. OperationalInsights/workspaces/savedSearches/* | |
| Microsoft. OperationsManagement/solutions/read | Obter a solução OMS existente |
| Microsoft. OperationalInsights/workspaces/query/read | Executar consultas dos dados no workspace |
| Microsoft. OperationalInsights/workspaces/query/*/read | |
| Microsoft. OperationalInsights/workspaces/dataSources/read | Obter fonte de dados em um espaço de trabalho. |
| Microsoft. OperationalInsights/querypacks/*/read | |
| Microsoft. Insights/workbooks/* | |
| Microsoft. Insights/myworkbooks/read | |
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| Microsoft. SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft. OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operador de guia estratégico Microsoft Sentinel
Operador de guia estratégico Microsoft Sentinel
| Actions | Description |
|---|---|
| Microsoft. Lógica/fluxos de trabalho/leitura | Ler o fluxo de trabalho. |
| Microsoft. Lógica/fluxos de trabalho/gatilhos/listCallbackUrl/action | Obter a URL de retorno de chamada do gatilho. |
| Microsoft. Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obter Aplicativos Web Uri do gatilho de fluxo de trabalho hostruntime. |
| Microsoft. Web/sites/leitura | Obter as propriedades de um aplicativo Web |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de Microsoft Sentinel
Leitor de Microsoft Sentinel
| Actions | Description |
|---|---|
| Microsoft. SecurityInsights/*/read | |
| Microsoft. SecurityInsights/dataConnectorsCheckRequirements/action | Verificar a autorização e a licença do usuário |
| Microsoft. SecurityInsights/threatIntelligence/indicators/query/action | Consultar indicadores de inteligência contra ameaças |
| Microsoft. SecurityInsights/threatIntelligence/queryIndicators/action | Consultar indicadores de inteligência contra ameaças |
| Microsoft. OperationalInsights/workspaces/analytics/query/action | Pesquisar usando o novo mecanismo. |
| Microsoft. OperationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft. OperationalInsights/workspaces/LinkedServices/read | Obter serviços vinculados em um determinado workspace. |
| Microsoft. OperationalInsights/workspaces/savedSearches/read | Obtém uma consulta de pesquisa salva. |
| Microsoft. OperationsManagement/solutions/read | Obter a solução OMS existente |
| Microsoft. OperationalInsights/workspaces/query/read | Executar consultas dos dados no workspace |
| Microsoft. OperationalInsights/workspaces/query/*/read | |
| Microsoft. OperationalInsights/querypacks/*/read | |
| Microsoft. OperationalInsights/workspaces/dataSources/read | Obter fonte de dados em um espaço de trabalho. |
| Microsoft. Insights/workbooks/read | Ler uma pasta de trabalho |
| Microsoft. Insights/myworkbooks/read | |
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Recursos/templateSpecs/*/read | Obter ou listar especificações de modelo e versões de especificação de modelo |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| Microsoft. SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft. OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Respondente Microsoft Sentinel
Respondente Microsoft Sentinel
| Actions | Description |
|---|---|
| Microsoft. SecurityInsights/*/read | |
| Microsoft. SecurityInsights/dataConnectorsCheckRequirements/action | Verificar a autorização e a licença do usuário |
| Microsoft. SecurityInsights/automationRules/* | |
| Microsoft. SecurityInsights/cases/* | |
| Microsoft. SecurityInsights/incidents/* | |
| Microsoft. SecurityInsights/entities/runPlaybook/action | Executar guia estratégico na entidade |
| Microsoft. SecurityInsights/threatIntelligence/indicators/appendTags/action | Acrescentar marcas ao indicador de inteligência contra ameaças |
| Microsoft. SecurityInsights/threatIntelligence/indicators/query/action | Consultar indicadores de inteligência contra ameaças |
| Microsoft. SecurityInsights/threatIntelligence/bulkTag/action | Inteligência contra ameaças com marcas em massa |
| Microsoft. SecurityInsights/threatIntelligence/indicators/appendTags/action | Acrescentar marcas ao indicador de inteligência contra ameaças |
| Microsoft. SecurityInsights/threatIntelligence/indicators/replaceTags/action | Substituir marcas do indicador de inteligência contra ameaças |
| Microsoft. SecurityInsights/threatIntelligence/queryIndicators/action | Consultar indicadores de inteligência contra ameaças |
| Microsoft. SecurityInsights/businessApplicationAgents/systems/undoAction/action | |
| Microsoft. OperationalInsights/workspaces/analytics/query/action | Pesquisar usando o novo mecanismo. |
| Microsoft. OperationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft. OperationalInsights/workspaces/dataSources/read | Obter fonte de dados em um espaço de trabalho. |
| Microsoft. OperationalInsights/workspaces/savedSearches/read | Obtém uma consulta de pesquisa salva. |
| Microsoft. OperationsManagement/solutions/read | Obter a solução OMS existente |
| Microsoft. OperationalInsights/workspaces/query/read | Executar consultas dos dados no workspace |
| Microsoft. OperationalInsights/workspaces/query/*/read | |
| Microsoft. OperationalInsights/workspaces/dataSources/read | Obter fonte de dados em um espaço de trabalho. |
| Microsoft. OperationalInsights/querypacks/*/read | |
| Microsoft. Insights/workbooks/read | Ler uma pasta de trabalho |
| Microsoft. Insights/myworkbooks/read | |
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| Microsoft. SecurityInsights/cases/*/Delete | |
| Microsoft. SecurityInsights/incidents/*/Delete | |
| Microsoft. SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft. OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de segurança
Exibir e atualizar permissões para Microsoft Defender para Nuvem. As mesmas permissões que a função Leitor de Segurança, mas podem criar, atualizar e excluir conectores de segurança, atualizar a política de segurança e ignorar alertas e recomendações.
Para Microsoft Defender para IoT, consulte Azure funções de usuário para monitoramento de OT e IoT Empresarial.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Autorização/policyAssignments/* | Criar e gerenciar atribuições de política |
| Microsoft. Autorização/policyDefinitions/* | Criar e gerenciar definições de política |
| Microsoft. Autorização/policyExemptions/* | Criar e gerenciar exceções da política |
| Microsoft. Autorização/policySetDefinitions/* | Criar e gerenciar conjuntos de política |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. Gerenciamento/managementGroups/read | Listar grupos de gerenciamento para o usuário autenticado. |
| Microsoft.operationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Segurança/* | Criar e gerenciar políticas e componentes de segurança |
| Microsoft. IoTSecurity/* | |
| Microsoft. IoTFirmwareDefense/* | |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador de Avaliação de Segurança
Permite enviar avaliações por push para Microsoft Defender para Nuvem
| Actions | Description |
|---|---|
| Microsoft. Segurança/avaliações/gravação | Criar ou atualizar avaliações de segurança em sua assinatura |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Gerenciador de Segurança (Herdado)
Esta é uma função herdada. Em vez disso, use o Administrador de Segurança.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. ClassicCompute/*/read | Ler informações de configuração de máquinas virtuais clássicas |
| Microsoft. ClassicCompute/virtualMachines/*/write | Escrever configurações para máquinas virtuais clássicas |
| Microsoft. ClassicNetwork/*/read | Ler informações de configuração sobre a rede clássica |
| Microsoft. Insights/alertRules/* | Cria e gerencia um alerta de métrica clássico |
| Microsoft. ResourceHealth/availabilityStatuses/read | Obter os status de disponibilidade para todos os recursos no escopo especificado |
| Microsoft. Recursos/deployments/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Segurança/* | Criar e gerenciar políticas e componentes de segurança |
| Microsoft. Suporte/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de segurança
Exibir permissões para Microsoft Defender para Nuvem. Pode exibir recomendações, alertas, uma política de segurança e estados de segurança, mas não pode fazer alterações.
Para Microsoft Defender para IoT, consulte Azure funções de usuário para monitoramento de OT e IoT Empresarial.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de função |
| Microsoft. Insights/alertRules/read | Ler alerta de métrica clássico |
| Microsoft.operationalInsights/workspaces/*/read | Exibir dados da análise de logs |
| Microsoft. Recursos/deployments/*/read | |
| Microsoft. Recursos/subscriptions/resourceGroups/read | Obter ou listar de grupos de recursos. |
| Microsoft. Segurança/*/leitura | Ler componentes de segurança e políticas |
| Microsoft. IoTSecurity/*/read | |
| Microsoft. Suporte/*/read | |
| Microsoft. Segurança/iotDefenderSettings/packageDownloads/action | Obtém informações de pacotes de Defender IoT para download |
| Microsoft. Segurança/iotDefenderSettings/downloadManagerActivation/action | Baixar o arquivo de ativação do gerenciador contendo dados de cota de assinatura |
| Microsoft. Segurança/iotSensors/downloadResetPassword/action | Baixa redefinição do arquivo de senha para sensores de IoT |
| Microsoft. IoTSecurity/defenderSettings/packageDownloads/action | Obtém informações de pacotes de Defender IoT para download |
| Microsoft. IoTSecurity/defenderSettings/downloadManagerActivation/action | Baixar um arquivo de ativação do gerenciador |
| Microsoft. Gerenciamento/managementGroups/read | Listar grupos de gerenciamento para o usuário autenticado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}