Omówienie definicji ról platformy Azure

Jeśli próbujesz zrozumieć, jak działa rola platformy Azure lub jeśli tworzysz własną rolę niestandardową platformy Azure, warto zrozumieć sposób definiowania ról. W tym artykule opisano szczegóły definicji ról i przedstawiono kilka przykładów.

Definicja roli

Definicja roli jest kolekcją uprawnień. Czasami nazywa się to rolą. Definicja roli zawiera listę akcji, które można wykonać, takich jak odczyt, zapis i usuwanie. Można również wyświetlić listę akcji wykluczonych z dozwolonych akcji lub akcji związanych z danymi bazowymi.

Poniżej przedstawiono przykład właściwości w definicji roli podczas wyświetlania przy użyciu programu Azure PowerShell:

Name
Id
IsCustom
Description
Actions []
NotActions []
DataActions []
NotDataActions []
AssignableScopes []
Condition
ConditionVersion

Poniżej przedstawiono przykład właściwości w definicji roli podczas wyświetlania przy użyciu interfejsu wiersza polecenia platformy Azure lub interfejsu API REST:

roleName
name
id
roleType
type
description
actions []
notActions []
dataActions []
notDataActions []
assignableScopes []
condition
conditionVersion
createdOn
updatedOn
createdBy
updatedBy

W poniższej tabeli opisano, co oznaczają właściwości roli.

Property	Description
`Name` `roleName`	Nazwa wyświetlana roli.
`Id` `name`	Unikatowy identyfikator roli. Wbudowane role mają ten sam identyfikator roli w różnych chmurach.
`id`	Pełny unikalny identyfikator roli. Nawet jeśli nazwa roli zostanie zmieniona, identyfikator roli nie ulegnie zmianie. Najlepszym rozwiązaniem jest użycie identyfikatora roli w skryptach.
`IsCustom` `roleType`	Wskazuje, czy ta rola jest rolą niestandardową. Ustaw na `true` lub `CustomRole` dla ról niestandardowych. Ustaw na `false` lub `BuiltInRole` dla ról wbudowanych.
`type`	Typ obiektu. Ustaw wartość `Microsoft.Authorization/roleDefinitions`.
`Description` `description`	Opis roli.
`Actions` `actions`	Tablica ciągów określających akcje płaszczyzny sterowania, które umożliwia wykonywanie roli.
`NotActions` `notActions`	Tablica ciągów określających akcje płaszczyzny sterowania, które są wykluczone z dozwolonego `Actions`elementu .
`DataActions` `dataActions`	Tablica ciągów znaków określających działania płaszczyzny danych, które rola umożliwia na danych w ramach tego obiektu.
`NotDataActions` `notDataActions`	Tablica łańcuchów znaków określających akcje płaszczyzny danych, które są wykluczone z dozwolonego`DataActions`.
`AssignableScopes` `assignableScopes`	Tablica ciągów określających zakresy, które są dostępne dla przypisania roli.
`Condition` `condition`	W przypadku ról wbudowanych warunek oparty na co najmniej jednej akcji w definicji roli.
`ConditionVersion` `conditionVersion`	Numer wersji warunku. Wartość domyślna to 2.0 i jest jedyną obsługiwaną wersją.
`createdOn`	Data i godzina utworzenia roli.
`updatedOn`	Data i godzina ostatniej aktualizacji roli.
`createdBy`	W przypadku ról niestandardowych administrator, który utworzył rolę.
`updatedBy`	W przypadku ról niestandardowych podmiot, który zaktualizował rolę.

Format akcji

Akcje są określane za pomocą ciągów, które mają następujący format:

{Company}.{ProviderName}/{resourceType}/{action}

Część {action} ciągu akcji określa typ akcji, które można wykonać w typie zasobu. Na przykład zobaczysz następujące podciągi w {action}.

Podciąg ciągu akcji	Description
`*`	Symbol wieloznaczny udziela dostępu do wszystkich operacji zgodnych z ciągiem znaków.
`read`	Włącza akcje odczytu (GET).
`write`	Włącza akcje zapisu (PUT lub PATCH).
`action`	Włącza akcje niestandardowe, takie jak ponowne uruchamianie maszyn wirtualnych (POST).
`delete`	Włącza akcje usuwania (DELETE).

Przykład definicji roli

Oto definicja roli Współautor wyświetlana w programie Azure PowerShell i interfejsie wiersza polecenia platformy Azure. Akcje z symbolami wieloznacznymi (*) w ramach Actions wskazują, że pryncypał przypisany do tej roli może wykonywać wszystkie czynności, czyli zarządzać wszystkim. Obejmuje to akcje zdefiniowane w przyszłości, ponieważ platforma Azure dodaje nowe typy zasobów. Akcje w obszarze NotActions są odejmowane z elementu Actions. W przypadku roli Contributor usunięta zostanie możliwość zarządzania dostępem do zasobów oraz przypisaniami w usłudze Azure Blueprints.

Rola współautora wyświetlana w programie Azure PowerShell:

{
  "Name": "Contributor",
  "Id": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "IsCustom": false,
  "Description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
  "Actions": [
    "*"
  ],
  "NotActions": [
    "Microsoft.Authorization/*/Delete",
    "Microsoft.Authorization/*/Write",
    "Microsoft.Authorization/elevateAccess/Action",
    "Microsoft.Blueprint/blueprintAssignments/write",
    "Microsoft.Blueprint/blueprintAssignments/delete",
    "Microsoft.Compute/galleries/share/action",
    "Microsoft.Purview/consents/write",
    "Microsoft.Purview/consents/delete"
  ],
  "DataActions": [],
  "NotDataActions": [],
  "AssignableScopes": [
    "/"
  ],
  "Condition": null,
  "ConditionVersion": null
}

Rola współtwórcy wyświetlana w Azure CLI:

[
  {
    "assignableScopes": [
      "/"
    ],
    "createdBy": null,
    "createdOn": "2015-02-02T21:55:09.880642+00:00",
    "description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
    "name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
    "permissions": [
      {
        "actions": [
          "*"
        ],
        "condition": null,
        "conditionVersion": null,
        "dataActions": [],
        "notActions": [
          "Microsoft.Authorization/*/Delete",
          "Microsoft.Authorization/*/Write",
          "Microsoft.Authorization/elevateAccess/Action",
          "Microsoft.Blueprint/blueprintAssignments/write",
          "Microsoft.Blueprint/blueprintAssignments/delete",
          "Microsoft.Compute/galleries/share/action",
          "Microsoft.Purview/consents/write",
          "Microsoft.Purview/consents/delete"
        ],
        "notDataActions": []
      }
    ],
    "roleName": "Contributor",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions",
    "updatedBy": null,
    "updatedOn": "2023-07-10T15:10:53.947865+00:00"
  }
]

Akcje kontroli i danych

Kontrola dostępu oparta na rolach dla akcji płaszczyzny sterowania jest określona we właściwościach Actions i NotActions definicji roli. Oto kilka przykładów akcji płaszczyzny sterowania na platformie Azure:

Zarządzanie dostępem do konta magazynu
Twórz, aktualizuj lub usuń kontener blobów
Usuwanie grupy zasobów i wszystkich jej zasobów

Dostęp do płaszczyzny sterowania nie jest dziedziczony do płaszczyzny danych, pod warunkiem że metoda uwierzytelniania kontenera jest ustawiona na konto użytkownika Microsoft Entra , a nie klucz dostępu. To rozdzielenie zapobiega temu, aby role z symbolami wieloznacznymi (*) miały nieograniczony dostęp do Twoich danych. Jeśli na przykład użytkownik ma rolę Czytelnik w subskrypcji, może wyświetlić konto magazynowe, ale domyślnie nie może wyświetlać danych podstawowych.

Wcześniej kontrola dostępu oparta na rolach nie była używana w celu operacji na danych. Autoryzacja akcji danych różniła się w zależności od dostawców zasobów. Ten sam model autoryzacji kontroli dostępu oparty na rolach używany do akcji płaszczyzny sterowania został rozszerzony na akcje płaszczyzny danych.

Aby obsługiwać akcje płaszczyzny danych, nowe właściwości danych zostały dodane do definicji roli. Akcje płaszczyzny danych są określone we właściwościach DataActions i NotDataActions . Dodając te właściwości danych, utrzymuje się rozdzielenie płaszczyzny sterowania i płaszczyzny danych. Dzięki temu bieżące przypisania ról z symbolami wieloznacznymi (*) są zapobiegane przed nagłym uzyskaniem dostępu do danych. Poniżej przedstawiono niektóre akcje płaszczyzny danych, które można określić w DataActions i NotDataActions:

Odczytywanie listy obiektów blob w kontenerze
Zapisywanie bloba magazynowego w kontenerze
Usuń komunikat w kolejce

Oto definicja roli Czytelnik danych obiektu blob usługi Storage, która zawiera akcje zarówno we właściwościach Actions, jak i DataActions. Ta rola umożliwia odczytywanie kontenera obiektów blob, a także danych bazowych obiektów blob.

Rola Czytelnik danych obiektu blob usługi Storage wyświetlana w programie Azure PowerShell:

{
  "Name": "Storage Blob Data Reader",
  "Id": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
  "IsCustom": false,
  "Description": "Allows for read access to Azure Storage blob containers and data",
  "Actions": [
    "Microsoft.Storage/storageAccounts/blobServices/containers/read",
    "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
  ],
  "NotActions": [],
  "DataActions": [
    "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
  ],
  "NotDataActions": [],
  "AssignableScopes": [
    "/"
  ],
  "Condition": null,
  "ConditionVersion": null
}

Rola Czytelnik danych obiektu blob usługi Storage wyświetlana w interfejsie wiersza polecenia platformy Azure:

[
  {
    "assignableScopes": [
      "/"
    ],
    "createdBy": null,
    "createdOn": "2017-12-21T00:01:24.797231+00:00",
    "description": "Allows for read access to Azure Storage blob containers and data",
    "id": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
    "name": "2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
    "permissions": [
      {
        "actions": [
          "Microsoft.Storage/storageAccounts/blobServices/containers/read",
          "Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action"
        ],
        "condition": null,
        "conditionVersion": null,
        "dataActions": [
          "Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read"
        ],
        "notActions": [],
        "notDataActions": []
      }
    ],
    "roleName": "Storage Blob Data Reader",
    "roleType": "BuiltInRole",
    "type": "Microsoft.Authorization/roleDefinitions",
    "updatedBy": null,
    "updatedOn": "2021-11-11T20:13:55.297507+00:00"
  }
]

Tylko akcje płaszczyzny danych można dodawać do właściwości DataActions i NotDataActions. Dostawcy zasobów identyfikują działania na danych, ustawiając właściwość isDataAction na true. Aby wyświetlić listę akcji, w których isDataAction jest true, zobacz Operacje dostawcy zasobów. Rola, która nie ma akcji danych, nie musi zawierać właściwości DataActions ani NotDataActions w definicji roli.

Autoryzacja dla wszystkich wywołań interfejsu API płaszczyzny sterowania jest obsługiwana przez usługę Azure Resource Manager. Autoryzacja wywołań interfejsu API płaszczyzny danych jest obsługiwana przez dostawcę zasobów lub usługę Azure Resource Manager.

Przykład akcji danych

Aby lepiej zrozumieć, jak działają akcje płaszczyzny sterowania i płaszczyzny danych, rozważmy konkretny przykład. Alicja ma przypisaną rolę Właściciel na poziomie subskrypcji. Bob został przypisany do roli Współautor danych obiektów blob w zakresie konta magazynu. Na poniższym diagramie przedstawiono ten przykład.

Rola Właściciel dla Alicji i współautora danych obiektu blob usługi Storage dla Boba ma następujące akcje:

Owner

Actions
*

Współautor danych w usłudze Storage Blob

    Actions
    Microsoft.Storage/storageAccounts/blobServices/containers/delete
    Microsoft.Storage/storageAccounts/blobServices/containers/read
    Microsoft.Storage/storageAccounts/blobServices/containers/write
    Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
    DataActions
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action
    Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action

Ponieważ Alicja ma akcję z symbolami wieloznacznymi (*) w zakresie subskrypcji, jej uprawnienia dziedziczą w dół, aby umożliwić jej wykonywanie wszystkich operacji płaszczyzny kontroli. Alicja może odczytywać, zapisywać i usuwać kontenery. Alicja nie może jednak wykonywać operacji w płaszczyźnie danych bez podejmowania dodatkowych kroków. Na przykład Alicja domyślnie nie może odczytać obiektów blob wewnątrz kontenera. Aby odczytać obiekty blob, Alice musiałaby pobrać klucze dostępu do magazynu i użyć ich, aby uzyskać dostęp do obiektów blob.

Uprawnienia Boba są ograniczone tylko do Actions i DataActions określonych w roli Współtwórca danych blobowych Storage. Na podstawie roli Bob może wykonywać zarówno akcje płaszczyzny sterowania, jak i płaszczyzny danych. Na przykład Bob może odczytywać, zapisywać i usuwać kontenery na określonym koncie przechowywania, a także odczytywać, zapisywać i usuwać obiekty blob.

Aby uzyskać więcej informacji na temat zabezpieczeń płaszczyzny danych i kontroli magazynu, zobacz Przewodnik po zabezpieczeniach usługi Azure Storage.

Jakie narzędzia obsługują używanie ról platformy Azure na potrzeby akcji danych?

Aby wyświetlić akcje danych i pracować z nimi, musisz mieć poprawne wersje narzędzi lub zestawów SDK:

Tool	Version
Azure PowerShell	1.1.0 lub nowszy
"Azure CLI"	2.0.30 lub nowsza
Platforma Azure dla platformy .NET	Wersja zapoznawcza 2.8.0 lub nowsza
Pakiet Azure SDK dla języka Go	15.0.0 lub nowsza
Platforma Azure dla języka Java	1.9.0 lub nowszy
Platforma Azure dla języka Python	0.40.0 lub nowsza
Zestaw Azure SDK dla języka Ruby	0.17.1 lub nowszy

Aby wyświetlić i użyć akcji danych w interfejsie API REST, należy ustawić parametr api-version na następującą wersję lub nowszą:

2018-07-01

Actions

Uprawnienie Actions określa akcje w płaszczyźnie sterowania, które mogą być wykonywane w ramach danej roli. Jest to kolekcja ciągów identyfikujących zabezpieczane akcje dostawców zasobów platformy Azure. Poniżej przedstawiono kilka przykładów akcji płaszczyzny sterowania, których można używać w programie Actions.

Ciąg akcji	Description
`*/read`	Udziela dostępu do akcji odczytu dla wszystkich typów zasobów wszystkich dostawców zasobów platformy Azure.
`Microsoft.Compute/*`	Udziela dostępu do wszystkich akcji dla wszystkich typów zasobów w dostawcy zasobów Microsoft.Compute.
`Microsoft.Network/*/read`	Udziela dostępu do akcji odczytu dla wszystkich typów zasobów w dostawcy zasobów Microsoft.Network.
`Microsoft.Compute/virtualMachines/*`	Udziela dostępu do wszystkich działań na maszynach wirtualnych oraz ich podrzędnych typów zasobów.
`microsoft.web/sites/restart/Action`	Przyznaje dostęp do ponownego uruchomienia aplikacji internetowej.

NotActions

Uprawnienie NotActions określa akcje płaszczyzny sterowania, które są odejmowane lub wykluczone z dozwolonych Actions , które mają symbol wieloznaczny (*). Użyj uprawnienia NotActions, jeśli zestaw akcji, na które chcesz zezwolić, jest łatwiej zdefiniowany przez odejmowanie od Actions, które ma symbol wieloznaczny (*). Dostęp przyznany przez rolę (skuteczne uprawnienia) jest obliczany przez odejmowanie działań NotActions od działań Actions.

Actions - NotActions = Effective control plane permissions

W poniższej tabeli przedstawiono dwa przykłady skutecznych uprawnień płaszczyzny sterowania dla akcji wieloznacznych Microsoft.CostManagement :

Actions	NotActions	Efektywne uprawnienia płaszczyzny sterowania
`Microsoft.CostManagement/exports/*`	none	`Microsoft.CostManagement/exports/action` `Microsoft.CostManagement/exports/read` `Microsoft.CostManagement/exports/write` `Microsoft.CostManagement/exports/delete` `Microsoft.CostManagement/exports/run/action`
`Microsoft.CostManagement/exports/*`	`Microsoft.CostManagement/exports/delete`	`Microsoft.CostManagement/exports/action` `Microsoft.CostManagement/exports/read` `Microsoft.CostManagement/exports/write` `Microsoft.CostManagement/exports/run/action`

Note

Jeśli użytkownik ma przypisaną rolę, która wyklucza akcję w NotActionsprogramie i ma przypisaną drugą rolę, która udziela dostępu do tej samej akcji, użytkownik może wykonać tę akcję. NotActions nie jest regułą odmowy — jest to po prostu wygodny sposób tworzenia zestawu dozwolonych akcji, gdy należy wykluczyć określone akcje.

Różnice między przypisaniami NotActions a przypisaniami zabraniającymi

NotActions, a przypisania odmawiające nie są takie same i służą różnym celom. NotActions to wygodny sposób odejmowania określonych akcji z akcji wieloznacznych (*).

Przypisania odmowy blokują użytkownikom wykonywanie określonych działań, nawet jeśli przypisanie roli udziela im dostępu. Aby uzyskać więcej informacji, zobacz Omówienie przypisań odmowy platformy Azure.

DataActions

Uprawnienie DataActions określa operacje płaszczyzny danych, które rola umożliwia wykonywać na danych w tym obiekcie. Jeśli na przykład użytkownik ma dostęp do odczytu danych obiektu blob w koncie magazynu, może odczytywać obiekty blob w tym koncie magazynu. Oto kilka przykładów akcji danych, których można używać w programie DataActions.

Ciąg akcji danych	Description
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read`	Zwraca obiekt blob lub listę obiektów blob.
`Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write`	Zwraca wynik zapisu obiektu blob.
`Microsoft.Storage/storageAccounts/queueServices/queues/messages/read`	Zwraca komunikat.
`Microsoft.Storage/storageAccounts/queueServices/queues/messages/*`	Zwraca komunikat lub wynik zapisywania lub usuwania komunikatu.

NotDataActions

Uprawnienie NotDataActions określa akcje płaszczyzny danych, które są odejmowane lub wykluczone z dozwolonych DataActions , które mają symbol wieloznaczny (*). Użyj uprawnienia NotDataActions, jeśli zestaw akcji, na które chcesz zezwolić, jest łatwiej zdefiniowany przez odejmowanie od DataActions, które ma symbol wieloznaczny (*). Dostęp przyznany przez rolę (skuteczne uprawnienia) jest obliczany przez odejmowanie działań NotDataActions od działań DataActions. Każdy dostawca zasobów udostępnia odpowiedni zestaw interfejsów API do wykonywania operacji na danych.

DataActions - NotDataActions = Effective data plane permissions

W poniższej tabeli przedstawiono dwa przykłady uprawnień płaszczyzny daty wejścia w życie dla akcji wieloznacznych Microsoft.Storage :

DataActions	NotDataActions	Efektywne uprawnienia dla płaszczyzny danych
`Microsoft.Storage/storageAccounts/queueServices/queues/messages/*`	none	`Microsoft.Storage/storageAccounts/queueServices/queues/messages/read` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`
`Microsoft.Storage/storageAccounts/queueServices/queues/messages/*`	`Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete`	`Microsoft.Storage/storageAccounts/queueServices/queues/messages/read` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/write` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action` `Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action`

Note

Jeśli użytkownik ma przypisaną rolę, która wyklucza akcję danych w NotDataActions, jednak jednocześnie ma przypisaną drugą rolę, która umożliwia dostęp do tej samej akcji danych, to użytkownik może wykonać tę akcję. NotDataActions nie jest regułą odmowy — jest to po prostu wygodny sposób tworzenia zestawu dozwolonych akcji danych, gdy należy wykluczyć określone akcje danych.

AssignableScopes

Właściwość AssignableScopes określa zakresy (katalog główny, grupę zarządzania, subskrypcje lub grupy zasobów), do których można przypisać definicję roli. Rolę niestandardową można udostępnić do przypisania tylko w grupie zarządzania, subskrypcjach lub grupach zasobów, które tego wymagają. Musisz użyć co najmniej jednej grupy zarządzania, subskrypcji lub grupy zasobów.

Na przykład, jeśli AssignableScopes jest ustawione na subskrypcję, oznacza to, że niestandardowa rola może być przypisana w zakresie subskrypcji, dla określonej subskrypcji, w zakresie każdej grupy zasobów w tej subskrypcji, oraz w zakresie każdego zasobu w tej subskrypcji.

Wbudowane role mają AssignableScopes ustawione na zakres główny ("/"). Zakres główny wskazuje, że rola jest dostępna do przypisania we wszystkich zakresach.

Przykłady prawidłowych zakresów możliwych do przypisania obejmują:

Rola jest dostępna do przypisania	Example
Jedna subskrypcja	`"/subscriptions/{subscriptionId1}"`
Dwie subskrypcje	`"/subscriptions/{subscriptionId1}", "/subscriptions/{subscriptionId2}"`
Sieciowa grupa zasobów	`"/subscriptions/{subscriptionId1}/resourceGroups/Network"`
Jedna grupa zarządzania	`"/providers/Microsoft.Management/managementGroups/{groupId1}"`
Grupa zarządzania i subskrypcja	`"/providers/Microsoft.Management/managementGroups/{groupId1}", "/subscriptions/{subscriptionId1}",`
Wszystkie zakresy (dotyczy tylko ról wbudowanych)	`"/"`

W niestandardowej roli można zdefiniować tylko jedną grupę zarządzania AssignableScopes.

Chociaż istnieje możliwość utworzenia roli niestandardowej dla wystąpienia zasobu za pomocą wiersza poleceń, nie jest to zalecane. Każda dzierżawa obsługuje maksymalnie 5000 ról niestandardowych. Użycie tej strategii może potencjalnie wyczerpać dostępne role niestandardowe. Ostatecznie poziom dostępu jest określany przez przypisanie roli niestandardowej (zakres + uprawnienia roli + podmiot zabezpieczeń), a nie przez AssignableScopes wymienione w roli niestandardowej. Dlatego utwórz role niestandardowe z grupą AssignableScopes zarządzania, subskrypcją lub grupą zasobów, ale przypisz role niestandardowe z wąskim zakresem, takim jak zasób lub grupa zasobów.

Aby uzyskać więcej informacji na temat AssignableScopes ról niestandardowych, zobacz Role niestandardowe platformy Azure.

Definicja roli administratora uprzywilejowanego

Role administratora uprzywilejowanego to role, które udzielają uprzywilejowanego dostępu administratora, takie jak możliwość zarządzania zasobami platformy Azure lub przypisywania ról innym użytkownikom. Jeśli wbudowana lub niestandardowa rola zawiera dowolną z następujących akcji, jest uważana za uprzywilejowaną. pl-PL: Aby uzyskać więcej informacji, zobacz Wyświetlanie listy przypisań ról administratora uprzywilejowanego lub zarządzanie nimi.

Ciąg akcji	Description
`*`	Tworzenie wszystkich typów zasobów i zarządzanie nimi.
`*/delete`	Usuń zasoby wszystkich typów.
`*/write`	Zapisuj zasoby wszystkich typów.
`Microsoft.Authorization/denyAssignments/delete`	Usuń odmowne przypisanie z określonego zakresu.
`Microsoft.Authorization/denyAssignments/write`	Utwórz zlecenie odmowy w określonym zakresie.
`Microsoft.Authorization/roleAssignments/delete`	Usuń przypisanie roli w określonym zakresie.
`Microsoft.Authorization/roleAssignments/write`	Utwórz przypisanie roli w określonym zakresie.
`Microsoft.Authorization/roleDefinitions/delete`	Usuń określoną definicję roli niestandardowej.
`Microsoft.Authorization/roleDefinitions/write`	Utwórz lub zaktualizuj niestandardową definicję roli z określonymi uprawnieniami i zakresami, które można przypisać.

Dalsze kroki

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-10-16