이 문서에서는 Privileged 범주의 Azure 기본 제공 역할을 나열합니다.
기여자
모든 리소스를 관리할 수 있는 모든 권한을 부여하지만, Azure RBAC에서 역할 할당, Azure Blueprints에서 할당 관리 또는 이미지 갤러리 공유를 허용하지 않습니다.
| 작업 | 설명 |
|---|---|
| * | 모든 유형의 리소스 만들기 및 관리 |
| NotActions | |
| Microsoft.Authorization/*/Delete | 역할, 정책 할당, 정책 정의 및 정책 집합 정의를 삭제합니다. |
| Microsoft.Authorization/*/Write | 역할, 역할 할당, 정책 할당, 정책 정의 및 정책 집합 정의를 기록합니다. |
| Microsoft.Authorization/elevateAccess/Action | 테넌트 범위에서 호출자에게 사용자 액세스 관리자 액세스 권한을 부여합니다. |
| Microsoft.Blueprint/blueprintAssignments/write | 청사진 할당을 만들거나 업데이트합니다. |
| Microsoft.Blueprint/blueprintAssignments/delete | 청사진 할당을 삭제합니다. |
| Microsoft.Compute/galleries/share/action | 여러 범위에 갤러리를 공유합니다. |
| Microsoft.Purview/consents/write | 동의 리소스를 만들거나 업데이트합니다. |
| Microsoft.Purview/consents/delete | 동의 리소스를 삭제합니다. |
| Microsoft.Resources/deploymentStacks/manageDenySetting/action | 배포 스택의 denySettings 속성을 관리합니다. |
| Microsoft.Subscription/cancel/action | 구독을 취소합니다. |
| Microsoft.Subscription/enable/action | 구독을 재활성화합니다. |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action",
"Microsoft.Subscription/cancel/action",
"Microsoft.Subscription/enable/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
소유자
Azure RBAC에서 역할을 할당하는 기능을 포함하여 모든 리소스를 관리할 수 있는 모든 권한을 부여합니다.
| 작업 | 설명 |
|---|---|
| * | 모든 유형의 리소스 만들기 및 관리 |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure 파일 동기화 관리자
이 역할은 Azure RBAC에서 역할을 할당하는 기능을 포함하여 모든 Azure 파일 동기화(스토리지 동기화 서비스) 리소스를 관리할 수 있는 모든 권한을 제공합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.StorageSync/register/action | 스토리지 동기화 서비스에 서버를 등록합니다. |
| Microsoft.StorageSync/unregister/action | 스토리지 동기화 서비스에 서버 등록 취소 |
| Microsoft.StorageSync/locations/* | |
| Microsoft.StorageSync/deployments/preflight/action | |
| Microsoft.StorageSync/storageSyncServices/* | |
| Microsoft.StorageSync/operations/read | 스토리지 동기화 작업의 상태를 반환합니다. |
| Microsoft.Insights/AlertRules/* | 클래식 메트릭 경고 만들기 및 관리 |
| Microsoft.Resources/deployments/* | 배포 만들기 및 관리 |
| Microsoft.Resources/subscriptions/resourceGroups/read | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| Microsoft.Authorization/roleAssignments/write | 역할 할당 만들기 및 업데이트 |
| Microsoft.Authorization/roleAssignments/read | 역할 할당 읽기 |
| Microsoft.Storage/storageAccounts/read | 스토리지 계정 목록을 반환하거나 지정된 스토리지 계정의 속성을 가져옵니다. |
| Microsoft.Storage/storageAccounts/fileServices/read | 파일 서비스 나열 |
| Microsoft.Storage/storageAccounts/fileServices/shares/read | 파일 공유 가져오기 |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "This role provides full access to manage all Azure File Sync (Storage Sync Service) resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/92b92042-07d9-4307-87f7-36a593fc5850",
"name": "92b92042-07d9-4307-87f7-36a593fc5850",
"permissions": [
{
"actions": [
"Microsoft.StorageSync/register/action",
"Microsoft.StorageSync/unregister/action",
"Microsoft.StorageSync/locations/*",
"Microsoft.StorageSync/deployments/preflight/action",
"Microsoft.StorageSync/storageSyncServices/*",
"Microsoft.StorageSync/operations/read",
"Microsoft.Insights/AlertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure File Sync Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
예약 관리자
테넌트에서 모든 예약을 읽고 관리하도록 허용합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Capacity/*/read | |
| Microsoft.Capacity/*/action | |
| Microsoft.Capacity/*/write | |
| Microsoft.Authorization/roleAssignments/read | 역할 할당에 대한 정보를 가져옵니다. |
| Microsoft.Authorization/역할정의/읽기 | 역할 정의에 대한 정보를 가져옵니다. |
| Microsoft.Authorization/roleAssignments/write | 지정된 범위에서 역할 할당을 만듭니다. |
| Microsoft.Authorization/roleAssignments/delete | 지정된 범위에서 역할 할당을 삭제합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
역할 기반 액세스 제어 관리자
Azure RBAC를 사용하여 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. 이 역할은 Azure Policy와 같은 다른 방법을 사용하여 액세스를 관리할 수 없습니다.
비고
이 역할에는 컨트롤 플레인에 대한 */read 작업이 포함됩니다. 이 역할이 할당된 사용자는 모든 Azure 리소스에 대한 컨트롤 플레인 정보를 읽을 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/roleAssignments/write | 지정된 범위에서 역할 할당을 만듭니다. |
| Microsoft.Authorization/roleAssignments/delete | 지정된 범위에서 역할 할당을 삭제합니다. |
| */read | 모든 Azure 리소스에 대한 컨트롤 플레인 정보를 읽습니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
사용자 액세스 관리자
Azure 리소스에 대한 사용자 액세스를 관리할 수 있습니다.
비고
이 역할에는 컨트롤 플레인에 대한 */read 작업이 포함됩니다. 이 역할이 할당된 사용자는 모든 Azure 리소스에 대한 컨트롤 플레인 정보를 읽을 수 있습니다.
| 작업 | 설명 |
|---|---|
| */read | 모든 Azure 리소스에 대한 컨트롤 플레인 정보를 읽습니다. |
| Microsoft.Authorization/* | 권한 부여 관리 |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}