Ao usar o Service Connector para criar conexões entre os serviços do Azure, é essencial garantir que as permissões necessárias sejam concedidas. Este documento descreve os requisitos de permissão para vários recursos do Azure para facilitar a criação de conexão perfeita.
O Service Connector cria conexões entre os serviços do Azure usando um token em nome de.
Criar conexões com recursos do Azure requer permissões apropriadas.
Serviço de Aplicações
| Ação |
Descrição |
Microsoft.Web/sites/config/write |
Atualizar definições de configuração do Web App |
Microsoft.web/sites/config/delete |
Exclua a configuração de aplicativos Web. |
Microsoft.Web/sites/config/list/action |
Listar configurações sensíveis à segurança do Web App, como credenciais de publicação, configurações de aplicativo e cadeias de conexão |
Microsoft.Web/sites/config/Read |
Obter definições de configuração do Aplicativo Web |
Microsoft.Web/sites/write |
Criar um novo aplicativo Web ou atualizar um existente |
Microsoft.Web/sites/read |
Obter as propriedades de um aplicativo Web |
Ranhura Webapp
| Ação |
Descrição |
Microsoft.Web/sites/slots/Write |
Criar um novo Slot de Aplicativo Web ou atualizar um existente |
Microsoft.Web/sites/slots/Read |
Obter as propriedades de um slot de implantação de Aplicativo Web |
Microsoft.Web/sites/slots/config/Read |
Obter as definições de configuração do Web App Slot |
Microsoft.Web/sites/slots/config/Write |
Atualizar as definições de configuração do Web App Slot |
microsoft.web/sites/slots/config/delete |
Exclua a configuração de slots de aplicativos Web. |
Microsoft.Web/sites/slots/config/list/Action |
Listar configurações sensíveis à segurança do Slot de Aplicativo Web, como credenciais de publicação, configurações de aplicativo e cadeias de conexão |
Azure Spring App
| Ação |
Descrição |
Microsoft.AppPlatform/Spring/read |
Obter instância(s) de serviço do Azure Spring Apps |
Microsoft.AppPlatform/Spring/apps/read |
Obter os aplicativos para uma instância de serviço específica do Azure Spring Apps |
Microsoft.AppPlatform/Spring/apps/write |
Criar ou atualizar o aplicativo para uma instância de serviço específica do Azure Spring Apps |
Microsoft.AppPlatform/Spring/apps/listConnectorProps/action |
Obter as propriedades do conector do aplicativo Azure Spring Apps |
Microsoft.AppPlatform/Spring/apps/deployments/*/read |
Obter as implantações para um aplicativo específico |
Microsoft.AppPlatform/Spring/apps/deployments/*/write |
Criar ou atualizar a implantação para um aplicativo específico |
Microsoft.AppPlatform/Spring/apps/deployments/*/delete |
Excluir a implantação de um aplicativo específico |
Microsoft.AppPlatform/Spring/apps/deployments/listConnectorProps/action |
Obter as propriedades do conector da implantação para um aplicativo específico |
Azure Container Apps
| Ação |
Descrição |
Microsoft.App/containerApps/read |
Obter um aplicativo de contêiner |
Microsoft.App/containerApps/write |
Criar ou atualizar um aplicativo de contêiner |
Microsoft.App/containerApps/listsecrets/action |
Listar segredos de um aplicativo de contêiner |
Microsoft.App/managedEnvironments/read |
Obtenha um ambiente gerenciado |
Microsoft.App/locations/managedEnvironmentOperationStatuses/read |
Obter um ambiente gerenciado Status de operação de longa duração |
microsoft.app/locations/containerappoperationstatuses/read |
Obter um status de operação de longa duração de um aplicativo de contêiner |
microsoft.app/locations/containerappoperationresults/read |
Obter um resultado da operação de longa duração de um aplicativo de contêiner |
microsoft.app/locations/managedenvironmentoperationresults/read |
Obtenha um resultado de operação de longa duração em um ambiente gerenciado |
Dapr em Aplicativos de Contêiner do Azure
| Ação |
Descrição |
Microsoft.App/managedEnvironments/daprComponents/read |
Ler o componente Dapr do ambiente gerenciado |
Microsoft.App/managedEnvironments/daprComponents/write |
Criar ou atualizar o componente Dapr do ambiente gerenciado |
Microsoft.App/managedEnvironments/daprComponents/delete |
Excluir componente Dapr de ambiente gerenciado |
Cache do Azure para Redis
| Ação |
Descrição |
Microsoft.Cache/redis/read |
Veja as definições e a configuração do Cache Redis no portal de gerenciamento |
Microsoft.Cache/redis/firewallRules/read |
Obter as regras de firewall IP de um Cache Redis |
Microsoft.Cache/redis/firewallRules/write |
Editar as regras de firewall IP de um Cache Redis |
Microsoft.Cache/redis/firewallRules/delete |
Excluir regras de firewall IP de um Cache Redis |
Microsoft.Cache/redis/listKeys/action |
Exibir o valor das chaves de acesso do Cache Redis no portal de gerenciamento |
Cache do Azure para Redis Enterprise
| Ação |
Descrição |
Microsoft.Cache/redisEnterprise/read |
Exibir as definições e a configuração do cache Redis Enterprise no portal de gerenciamento |
Microsoft.Cache/redisEnterprise/databases/read |
Exibir as definições e a configuração do banco de dados de cache Redis Enterprise no portal de gerenciamento |
Microsoft.Cache/redisEnterprise/databases/listKeys/action |
Exibir o valor das chaves de acesso ao banco de dados Redis Enterprise no portal de gerenciamento |
Base de Dados do Azure para PostgreSQL
Base de Dados do Azure para PostgreSQL
| Ação |
Descrição |
Microsoft.DBforPostgreSQL/servers/firewallRules/read |
Retorna a lista de regras de firewall para um servidor ou obtém as propriedades para a regra de firewall especificada. |
Microsoft.DBforPostgreSQL/servers/firewallRules/write |
Cria uma regra de firewall com os parâmetros especificados ou atualiza uma regra existente. |
Microsoft.DBforPostgreSQL/servers/firewallRules/delete |
Exclui uma regra de firewall existente. |
Microsoft.DBForPostgreSQL/servers/read |
Retorna a lista de servidores ou obtém as propriedades para o servidor especificado. |
Microsoft.DBForPostgreSQL/servers/databases/read |
Retorna a lista de bancos de dados PostgreSQL ou obtém as propriedades para o banco de dados especificado. |
Microsoft.DBforPostgreSQL/servers/write |
Cria um servidor com os parâmetros especificados ou atualiza as propriedades ou tags para o servidor especificado. |
Banco de Dados do Azure para PostgreSQL (ponto de extremidade de serviço)
| Ação |
Descrição |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read |
Retorna a lista de regras de rede virtual ou obtém as propriedades da regra de rede virtual especificada. |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write |
Cria uma regra de rede virtual com os parâmetros especificados ou atualiza as propriedades ou tags da regra de rede virtual especificada. |
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete |
Exclui uma regra de rede virtual existente |
Base de Dados do Azure para PostgreSQL – Servidor Flexível
| Ação |
Descrição |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read |
Retorna a lista de regras de firewall para um servidor ou obtém as propriedades para a regra de firewall especificada. |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write |
Cria uma regra de firewall com os parâmetros especificados ou atualiza uma regra existente. |
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete |
Exclui uma regra de firewall existente. |
Microsoft.DBForPostgreSQL/flexibleServers/read |
Retorna a lista de servidores ou obtém as propriedades para o servidor especificado. |
Microsoft.DBForPostgreSQL/flexibleServers/databases/read |
Retorna a lista de bancos de dados do servidor PostgreSQL ou obtém o banco de dados para o servidor especificado. |
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read |
Retorna a lista de configurações do servidor PostgreSQL ou obtém as configurações para o servidor especificado. |
Base de Dados do Azure para MySQL
| Ação |
Descrição |
Microsoft.DBforMySQL/servers/firewallRules/read |
Retorna a lista de regras de firewall para um servidor ou obtém as propriedades para a regra de firewall especificada. |
Microsoft.DBforMySQL/servers/firewallRules/write |
Cria uma regra de firewall com os parâmetros especificados ou atualiza uma regra existente. |
Microsoft.DBforMySQL/servers/firewallRules/delete |
Exclui uma regra de firewall existente. |
Microsoft.DBforMySQL/servers/read |
Retorna a lista de servidores ou obtém as propriedades para o servidor especificado. |
Microsoft.DBforMySQL/servers/databases/read |
Retorna a lista de bancos de dados MySQL ou obtém as propriedades para o banco de dados especificado. |
Microsoft.DBforMySQL/servers/write |
Cria um servidor com os parâmetros especificados ou atualiza as propriedades ou tags para o servidor especificado. |
Banco de Dados do Azure para MySQL (ponto de extremidade de serviço)
| Ação |
Descrição |
Microsoft.DBforMySQL/servers/virtualNetworkRules/read |
Retorna a lista de regras de rede virtual ou obtém as propriedades da regra de rede virtual especificada. |
Microsoft.DBforMySQL/servers/virtualNetworkRules/write |
Cria uma regra de rede virtual com os parâmetros especificados ou atualiza as propriedades ou tags da regra de rede virtual especificada. |
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete |
Exclui uma regra de rede virtual existente |
Banco de Dados do Azure para MySQL - Servidor Flexível
| Ação |
Descrição |
Microsoft.DBforMySQL/flexibleServers/firewallRules/read |
Retorna a lista de regras de firewall para um servidor ou obtém as propriedades da regra de firewall especificada. |
Microsoft.DBforMySQL/flexibleServers/firewallRules/write |
Cria uma regra de firewall com os parâmetros especificados ou atualiza uma regra existente. |
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete |
Exclui uma regra de firewall existente. |
Microsoft.DBforMySQL/flexibleServers/read |
Retorna a lista de servidores ou obtém as propriedades do servidor especificado. |
Microsoft.DBforMySQL/flexibleServers/databases/read |
Retorna a lista de bancos de dados para um servidor ou obtém as propriedades para o banco de dados especificado. |
Microsoft.DBforMySQL/flexibleServers/configurations/read |
Retorna a lista de configurações do servidor MySQL ou obtém as configurações para o servidor especificado. |
Azure App Configuration
| Ação |
Descrição |
Microsoft.AppConfiguration/configurationStores/ListKeys/action |
Lista as chaves de API para o armazenamento de configuração especificado. |
Microsoft.AppConfiguration/configurationStores/read |
Obtém as propriedades do repositório de configuração especificado ou lista todos os armazenamentos de configuração sob o grupo de recursos ou assinatura especificados. |
Hubs de Eventos do Azure
| Ação |
Descrição |
Microsoft.EventHub/namespaces/read |
Obter a lista de Descrição de Recursos de Espaço de Nomes |
Microsoft.EventHub/namespaces/ipFilterRules/read |
Obter recurso de filtro IP |
Microsoft.EventHub/namespaces/ipFilterRules/write |
Criar recurso de filtro IP |
Microsoft.EventHub/namespaces/ipFilterRules/delete |
Excluir recurso de filtro IP |
Microsoft.EventHub/namespaces/networkrulesets/read |
Obtém o recurso NetworkRuleSet |
Microsoft.EventHub/namespaces/networkrulesets/write |
Criar recurso de regra VNET |
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action |
Obter a cadeia de conexão para o namespace |
Azure Service Bus
| Ação |
Descrição |
Microsoft.ServiceBus/namespaces/read |
Obter a lista de Descrição de Recursos de Espaço de Nomes |
Microsoft.ServiceBus/namespaces/ipFilterRules/read |
Obter recurso de filtro IP |
Microsoft.ServiceBus/namespaces/ipFilterRules/write |
Criar recurso de filtro IP |
Microsoft.ServiceBus/namespaces/ipFilterRules/delete |
Excluir recurso de filtro IP |
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action |
Obter a cadeia de conexão para o namespace |
Microsoft.ServiceBus/namespaces/networkrulesets/read |
Obtém o recurso NetworkRuleSet |
Microsoft.ServiceBus/namespaces/networkrulesets/write |
Criar recurso de regra VNET |
Armazenamento de Blobs do Azure
| Ação |
Descrição |
Microsoft.Storage/storageAccounts/read |
Retorna a lista de contas de armazenamento ou obtém as propriedades da conta de armazenamento especificada. |
Microsoft.Storage/storageAccounts/write |
Cria uma conta de armazenamento com os parâmetros especificados ou atualiza as propriedades ou tags ou adiciona domínio personalizado para a conta de armazenamento especificada. |
Microsoft.Storage/storageAccounts/listkeys/action |
Retorna as chaves de acesso para a conta de armazenamento especificada. |
Azure SignalR Service
| Ação |
Descrição |
Microsoft.SignalRService/SignalR/read |
Veja as definições e configurações do SignalR no portal de gerenciamento ou através da API |
Microsoft.SignalRService/SignalR/write |
Modificar as definições e configurações do SignalR no portal de gerenciamento ou através da API |
Microsoft.SignalRService/locations/operationresults/signalr/read |
Consultar o resultado de uma operação assíncrona baseada em local |
Microsoft.SignalRService/locations/operationStatuses/signalr/read |
Consultar o status de uma operação assíncrona baseada em local |
Microsoft.SignalRService/SignalR/operationResults/read |
|
Microsoft.SignalRService/SignalR/operationStatuses/read |
|
Microsoft.SignalRService/SignalR/listkeys/action |
Visualize o valor das chaves de acesso do SignalR no portal de gerenciamento ou por meio da API |
Serviço Azure Web PubSub
| Ação |
Descrição |
Microsoft.SignalRService/WebPubSub/read |
Visualize as definições e configurações do WebPubSub no portal de gerenciamento ou por meio da API |
Microsoft.SignalRService/WebPubSub/write |
Modificar as definições e configurações do WebPubSub no portal de gerenciamento ou por meio da API |
Microsoft.SignalRService/locations/operationresults/webpubsub/read |
Consultar o resultado de uma operação assíncrona baseada em local |
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read |
Consultar o status de uma operação assíncrona baseada em local |
Microsoft.SignalRService/WebPubSub/operationResults/read |
|
Microsoft.SignalRService/WebPubSub/operationStatuses/read |
Visualize o valor das chaves de acesso WebPubSub no portal de gerenciamento ou por meio da API |
Microsoft.SignalRService/WebPubSub/listkeys/action |
Visualize o valor das chaves de acesso WebPubSub no portal de gerenciamento ou por meio da API |
Azure Cosmos DB
Aviso
A Microsoft recomenda que você use o fluxo de autenticação mais seguro disponível. O fluxo de autenticação descrito neste procedimento requer um grau muito alto de confiança no aplicativo e acarreta riscos que não estão presentes em outros fluxos. Você só deve usar esse fluxo quando outros fluxos mais seguros, como identidades gerenciadas, não forem viáveis.
| Ação |
Descrição |
Microsoft.DocumentDB/databaseAccounts/read |
Lê uma conta de banco de dados. |
Microsoft.DocumentDB/databaseAccounts/write |
Atualizar contas de banco de dados. |
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action |
Obter as cadeias de conexão para uma conta de banco de dados |
Microsoft.DocumentDB/databaseAccounts/listKeys/action |
Listar chaves de uma conta de banco de dados |
Base de Dados SQL do Azure
| Ação |
Descrição |
Microsoft.Sql/servers/firewallRules/read |
Retorna a lista de regras de firewall do servidor ou obtém as propriedades da regra de firewall do servidor especificada. |
Microsoft.Sql/servers/firewallRules/write |
Cria uma regra de firewall de servidor com os parâmetros especificados, atualiza as propriedades da regra especificada ou substitui todas as regras existentes por nova(s) regra(s) de firewall de servidor. |
Microsoft.Sql/servers/firewallRules/delete |
Exclui uma regra de firewall de servidor existente. |
Microsoft.Sql/servers/databases/read |
Retorna a lista de bancos de dados ou obtém as propriedades do banco de dados especificado. |
Microsoft.Sql/servers/read |
Retorna a lista de servidores ou obtém as propriedades para o servidor especificado. |
Microsoft.Sql/servers/virtualNetworkRules/read |
Retorna a lista de regras de rede virtual ou obtém as propriedades da regra de rede virtual especificada. |
Microsoft.Sql/servers/virtualNetworkRules/write |
Cria uma regra de rede virtual com os parâmetros especificados ou atualiza as propriedades ou tags da regra de rede virtual especificada. |
Microsoft.Sql/servers/virtualNetworkRules/delete |
Exclui uma regra de rede virtual existente |
Azure Key Vault
| Ação |
Descrição |
Microsoft.KeyVault/vaults/write |
Cria um novo cofre de chaves ou atualiza as propriedades de um cofre de chaves existente. Algumas propriedades podem exigir mais permissões. |
Microsoft.KeyVault/vaults/read |
Ver as propriedades de um cofre de chaves |
Microsoft.KeyVault/vaults/secrets/write |
Cria um novo segredo ou atualiza o valor de um segredo existente. |
Microsoft.KeyVault/vaults/accessPolicies/write |
Atualiza uma política de acesso existente mesclando ou substituindo, ou adiciona uma nova política de acesso ao cofre de chaves. |
Azure Cosmos DB
| Ação |
Descrição |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read |
Ler uma definição de função SQL |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write |
Criar ou atualizar uma definição de função SQL |
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete |
Excluir uma atribuição de função SQL |
O Service Connector pode precisar conceder permissões à Identidade Gerenciada ou à Entidade de Serviço se uma conexão for criada com esses como tipos de autenticação. A tabela a seguir lista os requisitos de permissão para criar uma conexão nesse cenário.
| Ação |
Descrição |
Microsoft.Authorization/roleAssignments/read |
Obtenha informações sobre uma atribuição de função. |
Microsoft.Authorization/roleAssignments/write |
Crie uma atribuição de função no escopo especificado. |
Microsoft.Authorization/roleAssignments/delete |
Exclua uma atribuição de função no escopo especificado. |
Conexão de identidades gerenciadas atribuídas pelo usuário
O Service Connector pode precisar conceder permissões à Identidade Gerenciada atribuída pelo usuário se uma conexão for criada com ele como o tipo de autenticação. A tabela a seguir lista os requisitos de permissão para criar uma conexão nesse cenário.
| Ação |
Descrição |
Microsoft.ManagedIdentity/userAssignedIdentities/read |
Obtém uma identidade atribuída ao usuário existente |
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
Ação RBAC para atribuir uma identidade atribuída ao usuário existente a um recurso |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read |
Obter ou listar credenciais de identidade federada |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write |
Adicionar ou atualizar uma credencial de identidade federada |
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete |
Excluir uma credencial de identidade federada |
O Service Connector pode precisar conceder permissões à sua identidade se uma conexão for criada com ponto de extremidade privado ou ponto de extremidade de serviço como a solução de rede. A tabela a seguir lista os requisitos de permissão para criar uma conexão nesse cenário.
| Ação |
Descrição |
Microsoft.Network/publicIPAddresses/read |
Obtém uma definição de endereço IP público. |
Microsoft.Network/virtualNetworks/subnets/read |
Obtém uma definição de sub-rede de rede virtual |
Microsoft.Network/virtualNetworks/subnets/write |
Cria uma sub-rede de rede virtual ou atualiza uma sub-rede de rede virtual existente |
Microsoft.Network/privateEndpoints/read |
Obtém um recurso de ponto de extremidade privado. |
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action |
Associa recursos como conta de armazenamento ou banco de dados SQL a uma sub-rede. Não alertável. |
Microsoft.Network/networkSecurityGroups/join/action |
Ingressa em um grupo de segurança de rede. Não alertável. |
Microsoft.Network/serviceEndpointPolicies/join/action |
Ingressa em uma Política de Ponto de Extremidade de Serviço. Não alertável. |
Microsoft.Network/natGateways/join/action |
Junta-se a um gateway NAT |
Microsoft.Network/networkIntentPolicies/join/action |
Ingressa em uma Política de Intenção de Rede. Não alertável. |
Microsoft.Network/networkSecurityGroups/join/action |
Ingressa em um grupo de segurança de rede. Não alertável. |
Microsoft.Network/routeTables/join/action |
Junta-se a uma tabela de rotas. Não alertável. |