Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo lista as funções internas do Azure na categoria Privilegiada.
Colaborador
Concede o acesso completo para gerenciar todos os recursos, mas não permite atribuir funções no Azure RBAC, gerenciar atribuições no Azure Blueprints nem compartilhar galerias de imagens.
| Ações | Descrição |
|---|---|
| * | Criar e gerenciar recursos de todos os tipos |
| NotActions | |
| Microsoft.Authorization/*/Delete | Excluir funções, atribuições de política, definições de política e definições de conjunto de políticas |
| Microsoft.Authorization/*/Write | Criar funções, atribuições de função, atribuições de política, definições de política e definições de conjunto de políticas |
| Microsoft.Authorization/elevateAccess/Action | Concede ao chamador acesso de administrador de acesso do usuário no escopo do locatário |
| Microsoft.Blueprint/blueprintAssignments/write | Criar ou atualizar quaisquer atribuições de blueprint |
| Microsoft.Blueprint/blueprintAssignments/delete | Excluir quaisquer atribuições de blueprint |
| Microsoft.Compute/galleries/share/action | Compartilha uma Galeria com diferentes escopos |
| Microsoft.Purview/consents/write | Criar ou atualizar um recurso de consentimento. |
| Microsoft.Purview/consents/excluir | Excluir o recurso de consentimento. |
| Microsoft.Resources/deploymentStacks/manageDenySetting/action | Gerencie a propriedade denySettings de uma pilha de implantação. |
| Microsoft.Subscription/cancel/action | Cancela a assinatura |
| Microsoft.Subscription/enable/action | Reativa a assinatura |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action",
"Microsoft.Subscription/cancel/action",
"Microsoft.Subscription/enable/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Proprietário
Concede o acesso completo para gerenciar todos os recursos, incluindo a capacidade de atribuir funções no Azure RBAC.
| Ações | Descrição |
|---|---|
| * | Criar e gerenciar recursos de todos os tipos |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Sincronização de Arquivos do Azure
Essa função fornece acesso total para gerenciar todos os recursos de Sincronização de Arquivos do Azure (Serviço de Sincronização de Armazenamento), incluindo a capacidade de atribuir funções no RBAC do Azure.
Ao atribuir a função de Administrador de Sincronização de Arquivos do Azure, siga estas etapas para garantir privilégios mínimos.
Na guia Condições , selecione Permitir que os usuários atribuam funções selecionadas apenas a entidades de segurança selecionadas (menos privilégios).
Clique em Selecionar Funções e Entidades de Segurança e selecione Adicionar Ação na Condição nº 1.
Selecione Criar atribuição de função e clique em Selecionar.
Selecione Adicionar expressão e, em seguida, selecione Solicitação.
Em Origem do Atributo, selecioneID de Definição de Função em Atributo e selecioneForAnyOfAnyValues:GuidEquals em Operador.
Selecione Adicionar Funções. Adicione as funções Leitor e Acesso a Dados, Colaborador Privilegiado de Dados de Arquivo de Armazenamento e Colaborador da Conta de Armazenamento e, em seguida, selecione Salvar.
| Ações | Descrição |
|---|---|
| Microsoft.StorageSync/register/action | Registra o servidor no Serviço de Sincronização de Armazenamento |
| Microsoft.StorageSync/unregister/action | Cancela o registro do servidor no Serviço de Sincronização de Armazenamento |
| Microsoft.StorageSync/locations/* | |
| Microsoft.StorageSync/deployments/preflight/action | |
| Microsoft.StorageSync/storageSyncServices/* | |
| Microsoft.StorageSync/operations/read | Retorna o status das operações de Sincronização de Armazenamento |
| Microsoft.Insights/AlertRules/* | Criar e gerenciar um alerta de métrica clássico |
| Microsoft.Resources/deployments/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| Microsoft.Authorization/roleAssignments/write | Criar e atualizar atribuições de função |
| Microsoft.Authorization/roleAssignments/read | Ler atribuições de função |
| Microsoft.Storage/storageAccounts/read | Retorna a lista de contas de armazenamento ou obtém as propriedades da conta de armazenamento especificada |
| Microsoft.Storage/storageAccounts/fileServices/read | Listar serviços de arquivos |
| Microsoft.Storage/storageAccounts/fileServices/shares/read | Obter compartilhamento de arquivo |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "This role provides full access to manage all Azure File Sync (Storage Sync Service) resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/92b92042-07d9-4307-87f7-36a593fc5850",
"name": "92b92042-07d9-4307-87f7-36a593fc5850",
"permissions": [
{
"actions": [
"Microsoft.StorageSync/register/action",
"Microsoft.StorageSync/unregister/action",
"Microsoft.StorageSync/locations/*",
"Microsoft.StorageSync/deployments/preflight/action",
"Microsoft.StorageSync/storageSyncServices/*",
"Microsoft.StorageSync/operations/read",
"Microsoft.Insights/AlertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure File Sync Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de reservas
Permite a leitura e o gerenciamento de todas as reservas em um locatário
| Ações | Descrição |
|---|---|
| Microsoft.Capacity/*/read | |
| Microsoft.Capacity/*/action | |
| Microsoft.Capacity/*/write | |
| Microsoft.Authorization/roleAssignments/read | Obter informações sobre uma atribuição de função. |
| Microsoft.Authorization/roleDefinitions/read | Obter informações sobre uma definição de função. |
| Microsoft.Authorization/roleAssignments/write | Cria uma atribuição de função no escopo especificado. |
| Microsoft.Authorization/roleAssignments/delete | Exclua uma atribuição de função no escopo especificado. |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador do controle de acesso baseado em função
Gerencia o acesso aos recursos do Azure atribuindo funções usando o RBAC do Azure. Essa função não permite que você gerencie o acesso usando outros métodos, como o Azure Policy.
Observação
Essa função inclui a ação */read para o plano de controle. Os usuários aos quais essa função é atribuída podem ler informações do plano de controle para todos os recursos do Azure.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Cria uma atribuição de função no escopo especificado. |
| Microsoft.Authorization/roleAssignments/delete | Exclua uma atribuição de função no escopo especificado. |
| */leitura | Leia as informações do plano de controle para todos os recursos do Azure. |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Acesso do Usuário
Permite que você gerencie o acesso do usuário aos recursos do Azure.
Observação
Essa função inclui a ação */read para o plano de controle. Os usuários aos quais essa função é atribuída podem ler informações do plano de controle para todos os recursos do Azure.
| Ações | Descrição |
|---|---|
| */leitura | Leia as informações do plano de controle para todos os recursos do Azure. |
| Microsoft.Authorization/* | Gerenciar autorização |
| Microsoft.Support/* | Criar e atualizar um tíquete de suporte |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}