Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo lista os papéis incorporados do Azure na categoria Segurança.
Administrador de automação de conformidade de aplicativos
Permite gerir a ferramenta de Automação de Conformidade de Aplicações para Microsoft 365
Note
Essa função inclui a */read ação para o plano de controle. Os utilizadores atribuídos a esta função podem ler informações plano de controlo para todos os recursos Azure.
| Actions | Description |
|---|---|
| Microsoft. AppComplianceAutomation/* | |
| Microsoft. Storage/storageAccounts/blobServices/write | Retorna o resultado das propriedades do serviço put blob |
| Microsoft. Storage/storageAccounts/fileservices/write | Colocar propriedades do serviço de arquivo |
| Microsoft. Storage/storageAccounts/listaChaves/ação | Retorna as chaves de acesso para a conta de armazenamento especificada. |
| Microsoft. Storage/storageAccounts/write | Cria uma conta de armazenamento com os parâmetros especificados ou atualiza as propriedades ou tags ou adiciona domínio personalizado para a conta de armazenamento especificada. |
| Microsoft. Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Retorna uma chave de delegação de usuário para o serviço de blob |
| Microsoft. Storage/storageAccounts/read | Retorna a lista de contas de armazenamento ou obtém as propriedades da conta de armazenamento especificada. |
| Microsoft. Storage/storageAccounts/blobServices/containers/read | Devolve a lista de contentores |
| Microsoft. Storage/storageAccounts/blobServices/containers/write | Devolve o resultado do recipiente put blob |
| Microsoft. Storage/storageAccounts/blobServices/read | Retorna propriedades ou estatísticas do serviço de blob |
| Microsoft. PolicyInsights/policyStates/queryResults/action | Consultar informações sobre estados de política. |
| Microsoft. PolicyInsights/policyStates/triggerEvaluation/action | Aciona uma nova avaliação de conformidade para o escopo selecionado. |
| Microsoft. Recursos/recursos/leitura | Obtenha a lista de recursos com base em filtros. |
| Microsoft. Recursos/subscrições/leitura | Obtém a lista de assinaturas. |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Recursos/subscrições/GruposRecursos/Recursos/ler | Obtém os recursos para o grupo de recursos. |
| Microsoft. Recursos/subscrições/recursos/leitura | Obtém recursos de uma assinatura. |
| Microsoft. Resources/subscriptions/resourceGroups/delete | Exclui um grupo de recursos e todos os seus recursos. |
| Microsoft. Recursos/subscrições/gruposRecursos/escrever | Cria ou atualiza um grupo de recursos. |
| Microsoft. Recursos/etiquetas/ler | Obtém todas as tags em um recurso. |
| Microsoft. Recursos/implementações/validação/ação | Valida uma implantação. |
| Microsoft. Segurança/automações/leitura | Obtém as automações para o escopo |
| Microsoft. Recursos/implementações/escrita | Cria ou atualiza uma implantação. |
| Microsoft. Segurança/automações/eliminação | Exclui a automação do escopo |
| Microsoft. Segurança/automações/escrita | Cria ou atualiza a automação para o escopo |
| Microsoft. Segurança/registo/ação | Regista a subscrição do Centro de Segurança do Azure |
| Microsoft. Security/unregister/action | Desregista a subscrição do Centro de Segurança do Azure |
| */read | Leia a informação do plano de controlo para todos os recursos do Azure. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows managing App Compliance Automation tool for Microsoft 365",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de automação de conformidade de aplicativos
Permite acesso apenas de leitura à ferramenta de Automação de Conformidade de Aplicações para Microsoft 365
Note
Essa função inclui a */read ação para o plano de controle. Os utilizadores atribuídos a esta função podem ler informações plano de controlo para todos os recursos Azure.
| Actions | Description |
|---|---|
| */read | Leia a informação do plano de controlo para todos os recursos do Azure. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to App Compliance Automation tool for Microsoft 365",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contribuidor de Atestações
Pode ler, gravar ou excluir a instância do provedor de atestado
| Actions | Description |
|---|---|
| Microsoft. Atestação /atestacionamentoProvedores/atestacionamento/ler | Obtém o status do serviço de atestado. |
| Microsoft. Atestação /atestacionamentoProvedores/atestacionamento/escrever | Adiciona serviço de atestado. |
| Microsoft. Atestado/atestacionamentoProvedores/atestacionamento/delete | Remove o serviço de atestado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de Certificados
Pode ler as propriedades do provedor de atestado
| Actions | Description |
|---|---|
| Microsoft. Atestação /atestacionamentoProvedores/atestacionamento/ler | Obtém o status do serviço de atestado. |
| Microsoft. Atestacionamento/atestacionamentoProvedors/ler | Obtém o status do serviço de atestado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Administrator
Execute todas as operações do plano de dados em um cofre de chaves e todos os objetos nele, incluindo certificados, chaves e segredos. Não é possível gerenciar recursos do cofre de chaves ou gerenciar atribuições de função. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft. KeyVault/localizações/*/leitura | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis na Microsoft. Fornecedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/cofres/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utilizador do Certificado Key Vault
Leia o conteúdo do certificado. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/certificates/read | Liste certificados em um cofre de chaves especificado ou obtenha informações sobre um certificado. |
| Microsoft. KeyVault/vaults/secrets/getSecret/action | Obtém o valor de um segredo. |
| Microsoft. KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não seu valor. |
| Microsoft. KeyVault/cofres/chaves/leitura | Liste chaves no cofre especificado ou leia as propriedades e o material público de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. As chaves privadas e as chaves simétricas nunca são expostas. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Oficial de Certificados Key Vault
Execute qualquer ação nos certificados de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft. KeyVault/localizações/*/leitura | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis na Microsoft. Fornecedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/certificatecas/* | |
| Microsoft. KeyVault/cofres/certificados/* | |
| Microsoft. KeyVault/vaults/certificatecontacts/write | Gerenciar contato de certificado |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do Key Vault
Gerir cofres de chaves, mas não permite atribuir funções no Azure RBAC, nem aceder a segredos, chaves ou certificados.
Warning
Para melhorar a segurança, utilize o modelo de permissões Role-Based Controlo de Acesso (RBAC) em vez de políticas de acesso ao gerir Azure Key Vault. O RBAC restringe o gerenciamento de permissões apenas às funções 'Proprietário' e 'Administrador de Acesso de Usuário', garantindo uma separação clara entre tarefas administrativas e de segurança. Para mais informações, consulte O que é Azure RBAC? e o Guia Key Vault RBAC.
Com o modelo de permissões de Política de Acesso, utilizadores com permissões Contributor, Key Vault Contributor ou qualquer função que inclua permissões Microsoft.KeyVault/vaults/write podem conceder-se acesso ao plano de dados configurando uma política de acesso Key Vault. Isso pode resultar em acesso não autorizado e gerenciamento de seus cofres de chaves, chaves, segredos e certificados. Para reduzir esse risco, limite o acesso da função de Colaborador aos cofres de chaves ao usar o modelo de Política de Acesso.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. KeyVault/* | |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| Microsoft. KeyVault/localizações/cofres eliminados/purge/ação | Limpar um cofre de chaves apagado suavemente |
| Microsoft. KeyVault/hsmPools/* | |
| Microsoft. KeyVault/managedHsms/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Oficial de Cripto da Key Vault
Execute qualquer ação nas chaves de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft. KeyVault/localizações/*/leitura | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis na Microsoft. Fornecedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/cofres/chaves/* | |
| Microsoft. KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utilizador de Encriptação do Serviço de Criptografia Key Vault
Leia metadados de chaves e execute operações de encapsulamento/desempacotamento. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| Microsoft. EventGrid/eventSubscriptions/write | Criar ou atualizar um eventoSubscrição |
| Microsoft. EventGrid/eventSubscrições/leitura | Ler um eventoSubscrição |
| Microsoft. EventGrid/eventSubscriptions/delete | Excluir um eventSubscription |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/cofres/chaves/leitura | Liste chaves no cofre especificado ou leia as propriedades e o material público de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. As chaves privadas e as chaves simétricas nunca são expostas. |
| Microsoft. KeyVault/vaults/keys/wrap/action | Envolve uma chave simétrica com uma chave do Key Vault. Note que, se a chave do Key Vault for assimétrica, esta operação pode ser realizada por princípios com acesso de leitura. |
| Microsoft. KeyVault/vaults/keys/unwrap/action | Desembrulha uma chave simétrica com uma chave Key Vault. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utilizador do Lançamento do Serviço de Criptografia Key Vault
Teclas de liberação. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/cofres/chaves/lançamento/ação | Solte uma chave usando a parte pública do KEK do token de atestado. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto User
Execute operações criptográficas usando chaves. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/cofres/chaves/leitura | Liste chaves no cofre especificado ou leia as propriedades e o material público de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. As chaves privadas e as chaves simétricas nunca são expostas. |
| Microsoft. KeyVault/vaults/keys/update/action | Atualiza os atributos especificados associados à chave fornecida. |
| Microsoft. KeyVault/cofres/chaves/backup/ação | Cria o arquivo de backup de uma chave. O ficheiro pode ser usado para restaurar a chave num Key Vault com a mesma subscrição. Podem aplicar-se restrições. |
| Microsoft. KeyVault/vaults/keys/encrypt/action | Criptografa texto sem formatação com uma chave. Observe que, se a chave for assimétrica, essa operação pode ser executada por entidades com acesso de leitura. |
| Microsoft. KeyVault/cofres/chaves/decifrar/ação | Desencripta texto cifrado com uma chave. |
| Microsoft. KeyVault/vaults/keys/wrap/action | Envolve uma chave simétrica com uma chave do Key Vault. Note que, se a chave do Key Vault for assimétrica, esta operação pode ser realizada por princípios com acesso de leitura. |
| Microsoft. KeyVault/vaults/keys/unwrap/action | Desembrulha uma chave simétrica com uma chave Key Vault. |
| Microsoft. KeyVault/cofres/chaves/assinatura/ação | Assina um resumo de mensagens (hash) com uma chave. |
| Microsoft. KeyVault/cofres/chaves/verificar/ação | Verifica a assinatura de um resumo de mensagens (hash) com uma chave. Observe que, se a chave for assimétrica, essa operação pode ser executada por entidades com acesso de leitura. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Acesso a Dados Key Vault
Gerir o acesso ao Azure Key Vault adicionando ou removendo atribuições de funções para o Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer ou Utilizador do Key Vault Secrets. Inclui uma condição ABAC para restringir atribuições de função.
| Actions | Description |
|---|---|
| Microsoft. Autorização/roleAssignments/write | Crie uma atribuição de função no escopo especificado. |
| Microsoft. Autorização/roleAssignments/delete | Exclua uma atribuição de função no escopo especificado. |
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Recursos/subscrições/leitura | Obtém a lista de assinaturas. |
| Microsoft. Gestão/gestãoGrupos/ler | Listar grupos de gerenciamento para o usuário autenticado. |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft. KeyVault/vaults/*/read | |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Condition | |
| ((! (ActionMatches{'Microsoft. Autorização/roleAssignments/write'})) OU (@Request[Microsoft. Autorização/roleAssignments:RoleDefinitionId] ParaQualquerOfAnyDosValores:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65e65bff603, e147488a-f6f5-4113-8e2d-b22465e65bff65 6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44CE-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) E ((!! ( ActionMatches{'Microsoft. Autorização/roleAssignments/delete'})) OU (@Resource[Microsoft. Autorização/roleAssignments:RoleDefinitionId] ParaAnyOfAnyAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65e655 bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Adicione ou remova atribuições de função para as seguintes funções: Key Vault Administrator Oficial de Certificados Key Vault Oficial de Cripto da Key Vault Utilizador de Encriptação do Serviço de Criptografia Key Vault Key Vault Crypto User Key Vault Reader Oficial de Segredos Key Vault Utilizador do Key Vault Secrets |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Reader
Leia metadados de cofres de chaves e seus certificados, chaves e segredos. Não é possível ler valores confidenciais, como conteúdo secreto ou material de chave. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft. KeyVault/localizações/*/leitura | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis na Microsoft. Fornecedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não seu valor. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Oficial de Segredos Key Vault
Execute qualquer ação nos segredos de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft. KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft. KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft. KeyVault/localizações/*/leitura | |
| Microsoft. KeyVault/vaults/*/read | |
| Microsoft. KeyVault/operations/read | Lista as operações disponíveis na Microsoft. Fornecedor de recursos KeyVault |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/cofres/segredos/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utilizador do Key Vault Secrets
Leia conteúdos secretos. Só funciona para cofres de chaves que utilizam o modelo de permissões 'controlo de acesso baseado em papéis no Azure'.
| Actions | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| DataActions | |
| Microsoft. KeyVault/vaults/secrets/getSecret/action | Obtém o valor de um segredo. |
| Microsoft. KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não seu valor. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador de bloqueios
Pode gerenciar operações de bloqueios.
| Actions | Description |
|---|---|
| Microsoft. Autorização/bloqueios/leitura | Obtém bloqueios no escopo especificado. |
| Microsoft. Autorização/bloqueios/escrita | Adicione bloqueios no escopo especificado. |
| Microsoft. Autorização/bloqueios/eliminar | Exclua bloqueios no escopo especificado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can Manage Locks Operations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/28bf596f-4eb7-45ce-b5bc-6cf482fec137",
"name": "28bf596f-4eb7-45ce-b5bc-6cf482fec137",
"permissions": [
{
"actions": [
"Microsoft.Authorization/locks/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Locks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contribuidor HSM gerenciado
Permite gerenciar pools de HSM gerenciados, mas não acessar a eles.
| Actions | Description |
|---|---|
| Microsoft. KeyVault/managedHSMs/* | |
| Microsoft. KeyVault/deletedManagedHsms/read | Exibir as propriedades de um hsm gerenciado excluído |
| Microsoft. KeyVault/locations/deletedManagedHsms/read | Exibir as propriedades de um hsm gerenciado excluído |
| Microsoft. KeyVault/localizações/deletedManagedHsms/purge/action | Limpar um hsm gerenciado excluído suavemente |
| Microsoft. KeyVault/locations/managedHsmOperationResults/read | Verifique o resultado de uma operação de longo prazo |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Automation Contributor
Microsoft Sentinel Automation Contributor
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Lógica/fluxos de trabalho/gatilhos/leitura | Lê o gatilho. |
| Microsoft. Logic/workflows/triggers/listCallbackUrl/action | Obtém a URL de retorno de chamada para o gatilho. |
| Microsoft. Lógica/fluxos de trabalho/execuções/leitura | Lê a execução do fluxo de trabalho. |
| Microsoft. Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Liste os gatilhos do fluxo de trabalho do Hostruntime das Aplicações Web. |
| Microsoft. Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obtenha Aplicações Web Hostruntime Workflow Trigger Uri. |
| Microsoft. Web/sites/hostruntime/webhooks/api/workflows/runs/read | Liste as execuções de fluxo de trabalho de Hostruntime de Aplicações Web. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Contributor
Microsoft Sentinel Contributor
| Actions | Description |
|---|---|
| Microsoft. SecurityInsights/* | |
| Microsoft. OperationalInsights/workspaces/analytics/query/action | Pesquise usando um novo mecanismo. |
| Microsoft. OperationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft. OperationalInsights/workspaces/savedSearches/* | |
| Microsoft. OperationsManagement/solutions/read | Obtenha a solução OMS existente |
| Microsoft. OperationalInsights/workspaces/query/read | Executar consultas sobre os dados no espaço de trabalho |
| Microsoft. OperationalInsights/workspaces/query/*/read | |
| Microsoft. OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um espaço de trabalho. |
| Microsoft. OperationalInsights/querypacks/*/read | |
| Microsoft. Insights/cadernos de exercícios/* | |
| Microsoft. Insights/myworkbooks/read | |
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| Microsoft. SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft. OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Playbook Operator
Microsoft Sentinel Playbook Operator
| Actions | Description |
|---|---|
| Microsoft. Lógica/fluxos de trabalho/leitura | Lê o fluxo de trabalho. |
| Microsoft. Logic/workflows/triggers/listCallbackUrl/action | Obtém a URL de retorno de chamada para o gatilho. |
| Microsoft. Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obtenha Aplicações Web Hostruntime Workflow Trigger Uri. |
| Microsoft. Web/sites/ler | Obter as propriedades de um aplicativo Web |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Reader
Microsoft Sentinel Reader
| Actions | Description |
|---|---|
| Microsoft. SecurityInsights/*/read | |
| Microsoft. SecurityInsights/dataConnectorsCheckRequirements/ação | Verificar a autorização e licença do usuário |
| Microsoft. SecurityInsights/threatIntelligence/indicadores/consulta/ação | Consultar indicadores de inteligência de ameaças |
| Microsoft. SecurityInsights/threatIntelligence/queryIndicators/action | Consultar indicadores de inteligência de ameaças |
| Microsoft. OperationalInsights/workspaces/analytics/query/action | Pesquise usando um novo mecanismo. |
| Microsoft. OperationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft. OperationalInsights/workspaces/LinkedServices/read | Obtenha serviços vinculados em um determinado espaço de trabalho. |
| Microsoft. OperationalInsights/workspaces/savedSearches/read | Obtém uma consulta de pesquisa salva. |
| Microsoft. OperationsManagement/solutions/read | Obtenha a solução OMS existente |
| Microsoft. OperationalInsights/workspaces/query/read | Executar consultas sobre os dados no espaço de trabalho |
| Microsoft. OperationalInsights/workspaces/query/*/read | |
| Microsoft. OperationalInsights/querypacks/*/read | |
| Microsoft. OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um espaço de trabalho. |
| Microsoft. Insights/cadernos de exercícios/ler | Ler um livro |
| Microsoft. Insights/myworkbooks/read | |
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Recursos/templateSpecs/*/read | Obter ou listar especificações de modelo e versões de especificações de modelo |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| Microsoft. SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft. OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Microsoft Sentinel Responder
Microsoft Sentinel Responder
| Actions | Description |
|---|---|
| Microsoft. SecurityInsights/*/read | |
| Microsoft. SecurityInsights/dataConnectorsCheckRequirements/ação | Verificar a autorização e licença do usuário |
| Microsoft. SecurityInsights/automationRules/* | |
| Microsoft. SecurityInsights/cases/* | |
| Microsoft. SecurityInsights/incidents/* | |
| Microsoft. SecurityInsights/entities/runPlaybook/action | Executar playbook na entidade |
| Microsoft. SecurityInsights/threatIntelligence/indicadores/appendTags/ação | Anexar tags ao Indicador de Inteligência de Ameaças |
| Microsoft. SecurityInsights/threatIntelligence/indicadores/consulta/ação | Consultar indicadores de inteligência de ameaças |
| Microsoft. SecurityInsights/threatIntelligence/bulkTag/action | Bulk Tags Inteligência de Ameaças |
| Microsoft. SecurityInsights/threatIntelligence/indicadores/appendTags/ação | Anexar tags ao Indicador de Inteligência de Ameaças |
| Microsoft. SecurityInsights/threatIntelligence/indicadores/substituirEtiquetas/ação | Substitua as tags do indicador de inteligência de ameaças |
| Microsoft. SecurityInsights/threatIntelligence/queryIndicators/action | Consultar indicadores de inteligência de ameaças |
| Microsoft. SecurityInsights/businessApplicationAgents/systems/undoAction/action | |
| Microsoft. OperationalInsights/workspaces/analytics/query/action | Pesquise usando um novo mecanismo. |
| Microsoft. OperationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft. OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um espaço de trabalho. |
| Microsoft. OperationalInsights/workspaces/savedSearches/read | Obtém uma consulta de pesquisa salva. |
| Microsoft. OperationsManagement/solutions/read | Obtenha a solução OMS existente |
| Microsoft. OperationalInsights/workspaces/query/read | Executar consultas sobre os dados no espaço de trabalho |
| Microsoft. OperationalInsights/workspaces/query/*/read | |
| Microsoft. OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um espaço de trabalho. |
| Microsoft. OperationalInsights/querypacks/*/read | |
| Microsoft. Insights/cadernos de exercícios/ler | Ler um livro |
| Microsoft. Insights/myworkbooks/read | |
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| Microsoft. SecurityInsights/cases/*/Delete | |
| Microsoft. SecurityInsights/incidents/*/Delete | |
| Microsoft. SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft. OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Segurança
Visualizar e atualizar permissões para o Microsoft Defender para a Cloud. As mesmas permissões que a função Leitor de Segurança, mas pode criar, atualizar e excluir conectores de segurança, atualizar a política de segurança e descartar alertas e recomendações.
Para Microsoft Defender para IoT, veja Azure funções de utilizador para monitorização OT e IoT Empresarial.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Autorização/policyAssignments/* | Criar e gerenciar atribuições de política |
| Microsoft. Autorização/policyDefinitions/* | Criar e gerenciar definições de política |
| Microsoft. Autorização/isenções de política/* | Criar e gerenciar isenções de política |
| Microsoft. Autorização/policySetDefinitions/* | Criar e gerenciar conjuntos de políticas |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. Gestão/gestãoGrupos/ler | Listar grupos de gerenciamento para o usuário autenticado. |
| Microsoft.operationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Segurança/* | Criar e gerenciar componentes e políticas de segurança |
| Microsoft. IoTSecurity/* | |
| Microsoft. IoTFirmwareDefesa/* | |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contribuidor de Avaliação de Segurança
Permite-lhe enviar avaliações para o Microsoft Defender para a Cloud
| Actions | Description |
|---|---|
| Microsoft. Segurança/avaliações/escrita | Criar ou atualizar avaliações de segurança na sua subscrição |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Gerente de Segurança (Legado)
Este é um papel legado. Em vez disso, use o administrador de segurança.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. ClassicCompute/*/read | Ler informações de configuração de máquinas virtuais clássicas |
| Microsoft. ClassicCompute/virtualMachines/*/write | Configuração de gravação para máquinas virtuais clássicas |
| Microsoft. ClassicNetwork/*/read | Leia as informações de configuração sobre a rede clássica |
| Microsoft. Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft. ResourceHealth/availabilityStatus/read | Obtém os status de disponibilidade para todos os recursos no escopo especificado |
| Microsoft. Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Segurança/* | Criar e gerenciar componentes e políticas de segurança |
| Microsoft. Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de Segurança
Ver permissões para Microsoft Defender para a Cloud. Pode exibir recomendações, alertas, uma diretiva de segurança e estados de segurança, mas não pode fazer alterações.
Para Microsoft Defender para IoT, veja Azure funções de utilizador para monitorização OT e IoT Empresarial.
| Actions | Description |
|---|---|
| Microsoft. Autorização/*/read | Ler funções e atribuições de funções |
| Microsoft. Insights/alertRules/read | Ler um alerta de métrica clássica |
| Microsoft.operationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft. Recursos/implantações/*/ler | |
| Microsoft. Recursos/subscrições/resourceGroups/ler | Obtém ou lista grupos de recursos. |
| Microsoft. Segurança/*/lido | Ler componentes e políticas de segurança |
| Microsoft. IoTSecurity/*/read | |
| Microsoft. Suporte/*/ler | |
| Microsoft. Security/iotDefenderSettings/packageDownloads/action | Obtém informações sobre pacotes IoT Defender descarregáveis |
| Microsoft. Security/iotDefenderSettings/downloadManagerActivation/action | Arquivo de ativação do gerenciador de download com dados de cota de assinatura |
| Microsoft. Security/iotSensors/downloadResetPassword/ação | Downloads redefinir arquivo de senha para sensores IoT |
| Microsoft. IoTSecurity/defenderSettings/packageDownloads/action | Obtém informações sobre pacotes IoT Defender descarregáveis |
| Microsoft. IoTSecurity/defenderSettings/downloadManagerActivation/action | Arquivo de ativação do gerenciador de download |
| Microsoft. Gestão/gestãoGrupos/ler | Listar grupos de gerenciamento para o usuário autenticado. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}