この記事では、移行カテゴリの Azure 組み込みロールの一覧を示します。
Azure Migrate の決定と計画のエキスパート
アプライアンスベースの検出、インベントリの管理、サーバーの依存関係の識別、ビジネス ケースの作成、評価レポートなどの計画操作のみを実行するように、Azure Migrate プロジェクトへの制限付きアクセスを許可します。
| アクション | Description |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/locations/read | サポートされている場所の一覧を取得します。 |
| Microsoft.Resources/checkResourceName/action | リソース名の有効性を確認します。 |
| Microsoft.Resources/deploymentScripts/write | デプロイ スクリプトを作成または更新します |
| Microsoft.Resources/deploymentScripts/read | 配置スクリプトを取得または一覧表示します。 |
| Microsoft.Resources/links/write | リソース リンクを作成または更新します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Authorization/locks/write | 指定されたスコープのロックを追加します。 |
| Microsoft.Authorization/locks/delete | 指定されたスコープのロックを削除します。 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Migrate/* | |
| Microsoft.ApplicationMigration/* | |
| Microsoft.OffAzure/* | |
| Microsoft.MySQLDiscovery/* | |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| Microsoft.DependencyMap/* | |
| Microsoft.KeyVault/vaults/* | |
| Microsoft.KeyVault/checkNameAvailability/read | キー コンテナー名が有効であり、使用されていないことを確認します |
| Microsoft.HybridCompute/machines/read | Azure Arc マシンを読み取ります |
| Microsoft.HybridCompute/machines/write | Azure Arc マシンを書き込みます |
| Microsoft.HybridCompute/machines/delete | Azure Arc マシンが削除されます |
| Microsoft.HybridCompute/register/action | Microsoft.HybridCompute リソース プロバイダーに対するサブスクリプションが登録されます |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/privateEndpoints/read | プライベート エンドポイント リソースを取得します |
| Microsoft.Network/privateEndpoints/write | 新しいプライベート エンドポイントを作成するか、または既存のプライベート エンドポイントを更新します。 |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | プライベート DNS ゾーン グループを設定します |
| Microsoft.Network/privateDnsZones/write | リソース グループ内のプライベート DNS ゾーンを作成または更新します。 このコマンドを使用して、ゾーン内の仮想ネットワーク リンクまたはレコード セットを作成または更新することはできません。 |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | 仮想ネットワークへのプライベート DNS ゾーンのリンクを作成または更新します。 |
| Microsoft.Network/privateDnsZones/join/action | プライベート DNS ゾーンに参加します |
| Microsoft.Network/privateDnsZones/A/write | プライベート DNS ゾーン内の "A" タイプのレコード セットを作成または更新します。 レコード セットの現在のレコードが指定されたレコードに置き換えられます。 |
| Microsoft.Network/register/action | サブスクリプションを登録します。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します。 |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | プライベート DNS ゾーン グループを取得します |
| Microsoft.Storage/storageAccounts/*/read | |
| Microsoft.Storage/storageAccounts/*/write | |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.GuestConfiguration/register/action | Microsoft.GuestConfiguration リソース プロバイダーのサブスクリプションを登録します。 |
| Microsoft.HybridConnectivity/register/action | Microsoft.HybridConnectivity のサブスクリプションを登録します |
| Microsoft.DataReplication/*/read | |
| Microsoft.DataReplication/register/action | Microsoft.DataReplication リソース プロバイダーのサブスクリプションを登録します |
| Microsoft.DataReplication/replicationVaults/write | コンテナーを更新します |
| Microsoft.RecoveryServices/vaults/* | |
| Microsoft.RecoveryServices/register/action | 特定のリソース プロバイダーのサブスクリプションを登録します |
| Microsoft.KeyVault/register/action | サブスクリプションを登録します |
| Microsoft.AzureArcData/register/action | Microsoft.AzureArcData のサブスクリプションを登録する |
| Microsoft.Resources/links/read | リソース リンクを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants restricted access on Azure Migrate project to only perform planning operations including appliance-based discovery, managing inventory, identifying server dependencies, creation of business case & assessment reports.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7859c0b0-0bb9-4994-bd12-cd529af7d646",
"name": "7859c0b0-0bb9-4994-bd12-cd529af7d646",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Resources/checkResourceName/action",
"Microsoft.Resources/deploymentScripts/write",
"Microsoft.Resources/deploymentScripts/read",
"Microsoft.Resources/links/write",
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete",
"Microsoft.Insights/alertRules/*",
"Microsoft.Migrate/*",
"Microsoft.ApplicationMigration/*",
"Microsoft.OffAzure/*",
"Microsoft.MySQLDiscovery/*",
"Microsoft.Support/*",
"Microsoft.DependencyMap/*",
"Microsoft.KeyVault/vaults/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.HybridCompute/machines/read",
"Microsoft.HybridCompute/machines/write",
"Microsoft.HybridCompute/machines/delete",
"Microsoft.HybridCompute/register/action",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/register/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Storage/storageAccounts/*/read",
"Microsoft.Storage/storageAccounts/*/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.GuestConfiguration/register/action",
"Microsoft.HybridConnectivity/register/action",
"Microsoft.DataReplication/*/read",
"Microsoft.DataReplication/register/action",
"Microsoft.DataReplication/replicationVaults/write",
"Microsoft.RecoveryServices/vaults/*",
"Microsoft.RecoveryServices/register/action",
"Microsoft.KeyVault/register/action",
"Microsoft.AzureArcData/register/action",
"Microsoft.Resources/links/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Migrate Decide and Plan Expert",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Migrate 実行エキスパート
Azure Migrate プロジェクトへの制限付きアクセスを許可して、レプリケーション、テスト移行の実行、移行の進行状況の追跡と監視、エージェントレスおよびエージェントベースの移行の開始など、移行関連の操作のみを実行します。
ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | Description |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/write | リソース グループを作成または更新します。 |
| Microsoft.Resources/subscriptions/locations/read | サポートされている場所の一覧を取得します。 |
| Microsoft.Resources/checkResourceName/action | リソース名の有効性を確認します。 |
| Microsoft.Resources/deploymentScripts/write | デプロイ スクリプトを作成または更新します |
| Microsoft.Resources/deploymentScripts/read | 配置スクリプトを取得または一覧表示します。 |
| Microsoft.Resources/links/write | リソース リンクを作成または更新します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Authorization/locks/write | 指定されたスコープのロックを追加します。 |
| Microsoft.Authorization/locks/delete | 指定されたスコープのロックを削除します。 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Migrate/*/read | |
| Microsoft.ApplicationMigration/*/read | |
| Microsoft.OffAzure/*/read | |
| Microsoft.MySQLDiscovery/*/read | |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/networkInterfaces/削除 | ネットワーク インターフェイスを削除します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します。 |
| Microsoft.Storage/storageAccounts/*/read | |
| Microsoft.Storage/storageAccounts/*/write | |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Compute/register/action | Microsoft.Compute リソース プロバイダーにサブスクリプションを登録します。 |
| Microsoft.Compute/availabilitySets/read | 可用性セットのプロパティを取得します。 |
| Microsoft.Compute/availabilitySets/vmSizes/read | 可用性セットの仮想マシンを作成または更新する際に使用できるサイズを一覧表示します。 |
| Microsoft.Compute/diskEncryptionSets/read | ディスク暗号化セットのプロパティを取得します |
| Microsoft.Compute/skus/read | サブスクリプションで使用可能な Microsoft.Compute SKU の一覧を取得します。 |
| Microsoft.Compute/disks/read | ディスクのプロパティを取得します。 |
| Microsoft.Compute/disks/write | 新しいディスクを作成するか、既存のディスクを更新します。 |
| Microsoft.Compute/ディスク/削除 | ディスクを削除します。 |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得する |
| Microsoft.Compute/virtualMachines/write | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します。 |
| Microsoft.Compute/virtualMachines/delete | 仮想マシンを削除します。 |
| Microsoft.RecoveryServices/vaults/* | |
| Microsoft.RecoveryServices/register/action | 特定のリソース プロバイダーのサブスクリプションを登録します |
| Microsoft.RecoveryServices/操作/読み込み | リソース プロバイダーの操作の一覧を返します。 |
| Microsoft.Resources/links/read | リソース リンクを取得または一覧表示します。 |
| Microsoft.DependencyMap/*/read | |
| Microsoft.DependencyMap/maps/*/action | |
| NotActions | |
| Microsoft.OffAzure/hypervSites/machines/inventoryinsights/pendingupdates/* | |
| Microsoft.OffAzure/hypervSites/machines/inventoryinsights/vulnerabilities/* | |
| Microsoft.OffAzure/serverSites/machines/inventoryinsights/pendingupdates/* | |
| Microsoft.OffAzure/serverSites/machines/inventoryinsights/vulnerabilities/* | |
| Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/vulnerabilities/* | |
| Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/pendingupdates/* | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| アクション | |
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| 状態 | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}))OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe})) AND (!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe})) | 以下のロールでロールの割り当てを追加または削除します: ストレージアカウント寄稿者 ストレージ ブロブ データ コントリビューター |
{
"assignableScopes": [
"/"
],
"description": "Grants restricted access on an Azure Migrate project to only perform migration related operations, including replication, execution of test migrations, tracking and monitoring of migration progress, and initiation of agentless and agent-based migrations.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1cfa4eac-9a23-481c-a793-bfb6958e836b",
"name": "1cfa4eac-9a23-481c-a793-bfb6958e836b",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Resources/checkResourceName/action",
"Microsoft.Resources/deploymentScripts/write",
"Microsoft.Resources/deploymentScripts/read",
"Microsoft.Resources/links/write",
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete",
"Microsoft.Insights/alertRules/*",
"Microsoft.Migrate/*/read",
"Microsoft.ApplicationMigration/*/read",
"Microsoft.OffAzure/*/read",
"Microsoft.MySQLDiscovery/*/read",
"Microsoft.Support/*",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Storage/storageAccounts/*/read",
"Microsoft.Storage/storageAccounts/*/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Compute/register/action",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/vmSizes/read",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.RecoveryServices/vaults/*",
"Microsoft.RecoveryServices/register/action",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.Resources/links/read",
"Microsoft.DependencyMap/*/read",
"Microsoft.DependencyMap/maps/*/action"
],
"notActions": [
"Microsoft.OffAzure/hypervSites/machines/inventoryinsights/pendingupdates/*",
"Microsoft.OffAzure/hypervSites/machines/inventoryinsights/vulnerabilities/*",
"Microsoft.OffAzure/serverSites/machines/inventoryinsights/pendingupdates/*",
"Microsoft.OffAzure/serverSites/machines/inventoryinsights/vulnerabilities/*",
"Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/vulnerabilities/*",
"Microsoft.OffAzure/vmwareSites/machines/inventoryinsights/pendingupdates/*"
],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe}))"
}
],
"roleName": "Azure Migrate Execute Expert",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Migrate 所有者
アプライアンスベースの検出、ビジネス ケースの作成、評価レポート、移行の実行など、Azure Migrate プロジェクトを作成および管理するためのフル アクセスを許可します。また、Azure RBAC で Azure Migrate の特定のロールを割り当てる機能も付与されます。
ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | Description |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/write | リソース グループを作成または更新します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/locations/read | サポートされている場所の一覧を取得します。 |
| Microsoft.Resources/checkResourceName/action | リソース名の有効性を確認します。 |
| Microsoft.Resources/deploymentScripts/write | デプロイ スクリプトを作成または更新します |
| Microsoft.Resources/deploymentScripts/read | 配置スクリプトを取得または一覧表示します。 |
| Microsoft.Resources/links/write | リソース リンクを作成または更新します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Authorization/locks/write | 指定されたスコープのロックを追加します。 |
| Microsoft.Authorization/locks/delete | 指定されたスコープのロックを削除します。 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Migrate/* | |
| Microsoft.ApplicationMigration/* | |
| Microsoft.OffAzure/* | |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| Microsoft.MySQLDiscovery/* | |
| Microsoft.DependencyMap/* | |
| Microsoft.KeyVault/vaults/* | |
| Microsoft.KeyVault/checkNameAvailability/read | キー コンテナー名が有効であり、使用されていないことを確認します |
| Microsoft.HybridCompute/machines/read | Azure Arc マシンを読み取ります |
| Microsoft.HybridCompute/machines/write | Azure Arc マシンを書き込みます |
| Microsoft.HybridCompute/machines/delete | Azure Arc マシンが削除されます |
| Microsoft.HybridCompute/register/action | Microsoft.HybridCompute リソース プロバイダーに対するサブスクリプションが登録されます |
| Microsoft.Network/networkInterfaces/read | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/networkInterfaces/削除 | ネットワーク インターフェイスを削除します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/privateEndpoints/read | プライベート エンドポイント リソースを取得します |
| Microsoft.Network/privateEndpoints/write | 新しいプライベート エンドポイントを作成するか、または既存のプライベート エンドポイントを更新します。 |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | プライベート DNS ゾーン グループを設定します |
| Microsoft.Network/privateDnsZones/write | リソース グループ内のプライベート DNS ゾーンを作成または更新します。 このコマンドを使用して、ゾーン内の仮想ネットワーク リンクまたはレコード セットを作成または更新することはできません。 |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | 仮想ネットワークへのプライベート DNS ゾーンのリンクを作成または更新します。 |
| Microsoft.Network/privateDnsZones/join/action | プライベート DNS ゾーンに参加します |
| Microsoft.Network/privateDnsZones/A/write | プライベート DNS ゾーン内の "A" タイプのレコード セットを作成または更新します。 レコード セットの現在のレコードが指定されたレコードに置き換えられます。 |
| Microsoft.Network/register/action | サブスクリプションを登録します。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します。 |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | プライベート DNS ゾーン グループを取得します |
| Microsoft.Storage/storageAccounts/* | ストレージ アカウントの作成と管理 |
| Microsoft.GuestConfiguration/register/action | Microsoft.GuestConfiguration リソース プロバイダーのサブスクリプションを登録します。 |
| Microsoft.Compute/register/action | Microsoft.Compute リソース プロバイダーにサブスクリプションを登録します。 |
| Microsoft.Compute/availabilitySets/read | 可用性セットのプロパティを取得します。 |
| Microsoft.Compute/availabilitySets/vmSizes/read | 可用性セットの仮想マシンを作成または更新する際に使用できるサイズを一覧表示します。 |
| Microsoft.Compute/diskEncryptionSets/read | ディスク暗号化セットのプロパティを取得します |
| Microsoft.Compute/skus/read | サブスクリプションで使用可能な Microsoft.Compute SKU の一覧を取得します。 |
| Microsoft.Compute/disks/read | ディスクのプロパティを取得します。 |
| Microsoft.Compute/disks/write | 新しいディスクを作成するか、既存のディスクを更新します。 |
| Microsoft.Compute/ディスク/削除 | ディスクを削除します。 |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得する |
| Microsoft.Compute/virtualMachines/write | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します。 |
| Microsoft.Compute/virtualMachines/delete | 仮想マシンを削除します。 |
| Microsoft.HybridConnectivity/register/action | Microsoft.HybridConnectivity のサブスクリプションを登録します |
| Microsoft.RecoveryServices/vaults/* | |
| Microsoft.RecoveryServices/register/action | 特定のリソース プロバイダーのサブスクリプションを登録します |
| Microsoft.RecoveryServices/操作/読み込み | リソース プロバイダーの操作の一覧を返します。 |
| Microsoft.DataReplication/*/read | |
| Microsoft.DataReplication/register/action | Microsoft.DataReplication リソース プロバイダーのサブスクリプションを登録します |
| Microsoft.DataReplication/replicationVaults/write | コンテナーを更新します |
| Microsoft.KeyVault/register/action | サブスクリプションを登録します |
| Microsoft.AzureArcData/register/action | Microsoft.AzureArcData のサブスクリプションを登録する |
| Microsoft.Resources/links/read | リソース リンクを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| アクション | |
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| 状態 | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}))OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{7859c0b0-0bb9-4994-bd12-cd529af7d646, 1cfa4eac-9a23-481c-a793-bfb6958e836b, 17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe, ba480ccd-6499-4709-b581-8f38bb215c63})AND (!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{7859c0b0-0bb9-4994-bd12-cd529af7d646, 1cfa4eac-9a23-481c-a793-bfb6958e836b, 17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe, ba480ccd-6499-4709-b581-8f38bb215c63})) | 以下のロールでロールの割り当てを追加または削除します: Azure Migrate の決定と計画のエキスパート Azure Migrate 実行エキスパート ストレージアカウント寄稿者 ストレージ ブロブ データ コントリビューター Azure Migrate サービス 閲覧者 |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to create and manage Azure Migrate projects including appliance-based discovery, creation of business case & assessment report and execution of migrations; Also grants ability to assign Azure Migrate specific roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd8ea4d5-6509-4db0-bada-356ab233b4fa",
"name": "fd8ea4d5-6509-4db0-bada-356ab233b4fa",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Resources/checkResourceName/action",
"Microsoft.Resources/deploymentScripts/write",
"Microsoft.Resources/deploymentScripts/read",
"Microsoft.Resources/links/write",
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/locks/write",
"Microsoft.Authorization/locks/delete",
"Microsoft.Insights/alertRules/*",
"Microsoft.Migrate/*",
"Microsoft.ApplicationMigration/*",
"Microsoft.OffAzure/*",
"Microsoft.Support/*",
"Microsoft.MySQLDiscovery/*",
"Microsoft.DependencyMap/*",
"Microsoft.KeyVault/vaults/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.HybridCompute/machines/read",
"Microsoft.HybridCompute/machines/write",
"Microsoft.HybridCompute/machines/delete",
"Microsoft.HybridCompute/register/action",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/register/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Storage/storageAccounts/*",
"Microsoft.GuestConfiguration/register/action",
"Microsoft.Compute/register/action",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/vmSizes/read",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.HybridConnectivity/register/action",
"Microsoft.RecoveryServices/vaults/*",
"Microsoft.RecoveryServices/register/action",
"Microsoft.RecoveryServices/operations/read",
"Microsoft.DataReplication/*/read",
"Microsoft.DataReplication/register/action",
"Microsoft.DataReplication/replicationVaults/write",
"Microsoft.KeyVault/register/action",
"Microsoft.AzureArcData/register/action",
"Microsoft.Resources/links/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{7859c0b0-0bb9-4994-bd12-cd529af7d646, 1cfa4eac-9a23-481c-a793-bfb6958e836b, 17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe, ba480ccd-6499-4709-b581-8f38bb215c63})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{7859c0b0-0bb9-4994-bd12-cd529af7d646, 1cfa4eac-9a23-481c-a793-bfb6958e836b, 17d1049b-9a84-46fb-8f53-869881c3d3ab, ba92f5b4-2d11-453d-a403-e96b0029c9fe, ba480ccd-6499-4709-b581-8f38bb215c63}))"
}
],
"roleName": "Azure Migrate Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Migrate サービス 閲覧者
Azure Migrate プロジェクト リソースのシステム割り当てマネージド ID への必要なアクセス権を付与します。
| アクション | Description |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.ApplicationMigration/*/read | |
| Microsoft.Migrate/*/read | |
| Microsoft.OffAzure/*/read | |
| Microsoft.MySQLDiscovery/*/read | |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectableItems/read | 保護可能な項目を読み取る |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/read | 保護された項目を読み取る |
| Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems/read | 移行項目を読み取る |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants required access to the system assigned managed identity of Azure Migrate project resource.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ba480ccd-6499-4709-b581-8f38bb215c63",
"name": "ba480ccd-6499-4709-b581-8f38bb215c63",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.ApplicationMigration/*/read",
"Microsoft.Migrate/*/read",
"Microsoft.OffAzure/*/read",
"Microsoft.MySQLDiscovery/*/read",
"Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectableItems/read",
"Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationProtectedItems/read",
"Microsoft.RecoveryServices/vaults/replicationFabrics/replicationProtectionContainers/replicationMigrationItems/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Migrate Service Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Arc Discovery Reader の移行 - プレビュー
Azure Arc 対応サーバー リソースのメタデータとメタデータ、Arc 対応 SQL サーバー リソースのパフォーマンスと移行の適合性を読み取ります。 Arc リソース探索を使用する Azure Migrate プロジェクトを作成するユーザーには、プロジェクトの Arc スコープに対してこのロールが必要です。 定期的な同期を有効にするには、Azure Migrate プロジェクトのマネージド ID にこのロールを割り当てる必要があります。 このロールはプレビュー段階にあり、変更される可能性があります。
| アクション | Description |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.AzureArcData/sqlServerInstances/read | SQL Server インスタンス リソースを取得します。 |
| Microsoft.AzureArcData/sqlServerInstances/databases/read | データベースの読み取り |
| Microsoft.AzureArcData/sqlServerInstances/availabilityGroups/read | availabilityGroups の読み取り |
| Microsoft.AzureArcData/sqlServerInstances/getTelemetry/action | SQL Server インスタンステレメトリを取得します |
| Microsoft.AzureArcData/sqlServerInstances/availabilityGroups/getDetailView/action | 可用性グループの詳細なプロパティを取得します。 |
| Microsoft.HybridCompute/machines/read | Azure Arc マシンを読み取ります |
| Microsoft.HybridCompute/machines/extensions/read | Azure Arc 拡張機能が読み取られます |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of Azure Arc enabled server resources and metadata, performance and migration suitability of Arc enabled SQL server resources. Users creating Azure Migrate project that uses Arc resource discovery require this role on Arc scope of the project. To enable periodic sync, Azure Migrate project managed identity must be assigned this role. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d5dddae-e124-4753-972d-aae60b37deb4",
"name": "5d5dddae-e124-4753-972d-aae60b37deb4",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.AzureArcData/sqlServerInstances/read",
"Microsoft.AzureArcData/sqlServerInstances/databases/read",
"Microsoft.AzureArcData/sqlServerInstances/availabilityGroups/read",
"Microsoft.AzureArcData/sqlServerInstances/getTelemetry/action",
"Microsoft.AzureArcData/sqlServerInstances/availabilityGroups/getDetailView/action",
"Microsoft.HybridCompute/machines/read",
"Microsoft.HybridCompute/machines/extensions/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Migrate Arc Discovery Reader - Preview",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}