你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 基于角色的访问控制 (Azure RBAC) 拥有多个 Azure 内置角色,可将其分配给用户、组、服务主体和托管标识。 角色分配是控制对 Azure 资源的访问的方式。 如果内置角色不能满足组织的特定需求,你可以创建自己的 Azure 自定义角色。 有关如何分配角色的信息,请参阅分配 Azure 角色的步骤。
本文列出了 Azure 内置角色。 如果要查找 Microsoft Entra ID 的管理员角色,请参阅 Microsoft Entra 内置角色。
下表提供了每个内置角色的简短说明。 单击角色名称,查看每个角色的 Actions、NotActions、DataActions 和 NotDataActions 列表。 有关这些操作的含义以及它们如何应用于控制和数据平面的信息,请参阅了解 Azure 角色定义。
Privileged
| 内置角色 | Description | ID |
|---|---|---|
| 参与者 | 授予完全访问权限来管理所有资源,但不允许在 Azure RBAC 中分配角色或在 Azure 蓝图中管理分配,也不允许共享映像库。 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 所有者 | 授予管理所有资源的完全访问权限,包括允许在 Azure RBAC 中分配角色。 | 8e3af657-a8ff-443c-a75c-2fe8c4bcb635 |
| Azure 文件同步管理员 | 提供完全访问权限来管理所有 Azure 文件同步(存储同步服务)资源,包括能够在 Azure RBAC 中分配角色。 | 92b92042-07d9-4307-87f7-36a593fc5850 |
| 预留管理员 | 允许用户读取和管理租户中的所有预留 | a8889054-8d42-49c9-bc1c-52486c10e7cd |
| 基于角色的访问控制管理员 | 通过使用 Azure RBAC 分配角色来管理对 Azure 资源的访问。 此角色不允许使用其他方式(如 Azure Policy)管理访问权限。 | f58310d9-a9f6-439a-9e8d-f62e7b41a168 |
| 用户访问管理员 | 允许管理用户对 Azure 资源的访问权限。 | 18d7d88d-d35e-4fb5-a5c3-7773c20a72d9 |
General
| 内置角色 | Description | ID |
|---|---|---|
| 读者 | 查看所有资源,但不允许进行任何更改。 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
计算
| 内置角色 | Description | ID |
|---|---|---|
| Azure Arc VMware VM 参与者 | Arc VMware VM 参与者有权执行所有 VM 操作。 | b748a06d-6150-4f8a-aaa9-ce3940cd96cb |
| Azure Batch 帐户参与者 | 授予管理所有 Batch 资源(包括 Batch 帐户、池和作业)的完全访问权限。 | 29fe4964-1e60-436b-bd3a-77fd4c178b3c |
| Azure Batch 帐户读取者 | 允许查看 Batch 帐户中的所有资源,包括池和作业。 | 11076f67-66f6-4be0-8f6b-f0609fd05cc9 |
| Azure Batch 数据参与者 | 授予管理 Batch 池和作业的权限,但不允许修改帐户。 | 6aaa78f1-f7de-44ca-8722-c64a23943cae |
| Azure Batch 作业提交者 | 允许在 Batch 帐户中提交和管理作业。 | 48e5e92e-a480-4e71-aa9c-2778f4c13781 |
| 经典虚拟机参与者 | 允许管理经典虚拟机,但不允许访问这些虚拟机及其连接到的虚拟网络或存储帐户。 | d73bb868-a0df-4d4d-bd69-98a00b01fccb |
| 计算舰队参与者 | 允许用户管理计算舰队资源。 | 2bed379c-9fba-455b-99e4-6b911073bcf2 |
| 计算库工件发布者 | 这是可发布库工件的角色。 | 85a2d0d9-2eba-4c9c-b355-11c2cc0788ab |
| 计算库映像读者 | 这是读取库映像的角色。 | cf7c76d2-98a3-4358-a134-615aa78bf44d |
| 计算库共享管理员 | 此角色允许用户将库共享给另一个订阅/租户,或共享给公众。 | 1ef6a3be-d0ac-425d-8c01-acb62866290b |
| 托管磁盘数据操作员 | 提供使用 SAS URI 和 Azure AD 身份验证将数据上传到空托管磁盘、读取或导出托管磁盘(未附加到正在运行的 VM)的数据和快照的权限。 | 959f8984-c045-4866-89c7-12bf9737be2e |
| 桌面虚拟化应用程序组参与者 | 桌面虚拟化应用程序组的参与者。 | 86240b0e-9422-4c43-887b-b61143f32ba8 |
| 桌面虚拟化应用程序组读者 | 桌面虚拟化应用程序组的读取者。 | aebf23d0-b568-4e86-b8f9-fe83a2c6ab55 |
| 桌面虚拟化参与者 | 桌面虚拟化的参与者。 | 082f0a83-3be5-4ba1-904c-961cca79b387 |
| 桌面虚拟化主机池参与者 | 桌面虚拟化主机池的参与者。 | e307426c-f9b6-4e81-87de-d99efb3c32bc |
| 桌面虚拟化主机池读者 | 桌面虚拟化主机池的读取者。 | ceadfde2-b300-400a-ab7b-6143895aa822 |
| 桌面虚拟化启动参与者 | 给予 Azure 虚拟桌面资源提供程序启动虚拟机的权限。 | 489581de-a3bd-480d-9518-53dea7416b33 |
| 桌面虚拟化开关参与者 | 给予 Azure 虚拟桌面资源提供程序启动和停止虚拟机的权限。 | 40c5ff49-9181-41f8-ae61-143b0e78555e |
| 桌面虚拟化读者 | 桌面虚拟化的读取者。 | 49a72310-ab8d-41df-bbb0-79b649203868 |
| 桌面虚拟化会话主机操作员 | 桌面虚拟化会话主机的操作员。 | 2ad6aaab-ead9-4eaa-8ac5-da422f562408 |
| 桌面虚拟化用户 | 允许用户使用应用程序组中的应用程序。 | 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63 |
| 桌面虚拟化用户会话操作员 | 桌面虚拟化用户会话操作员。 | ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6 |
| 桌面虚拟化虚拟机参与者 | 此角色处于预览状态,可能会发生更改。 给予 Azure 虚拟桌面资源提供程序创建、删除、更新、启动和停止虚拟机的权限。 | a959dbd1-f747-45e3-8ba6-dd80f235f97c |
| 桌面虚拟化工作区参与者 | 桌面虚拟化工作区的参与者。 | 21efdde3-836f-432b-bf3d-3e8e734d4b2b |
| 桌面虚拟化工作区读者 | 桌面虚拟化工作区的读取者。 | 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d |
| 磁盘备份读者 | 提供对备份保管库的权限,以便能够执行磁盘备份。 | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| 磁盘池操作员 | 向 StoragePool 资源提供程序提供管理添加到磁盘池的磁盘的权限。 | 60fc6e62-5479-42d4-8bf4-67625fcc2840 |
| 磁盘还原操作员 | 提供对备份保管库的权限,以便能够执行磁盘还原。 | b50d9833-a0cb-478e-945f-707fcc997c13 |
| 磁盘快照参与者 | 提供对备份保管库的权限,以便能够管理磁盘快照。 | 7efff54f-a5b4-42b5-a1c5-5411624893ce |
| 量子工作区数据参与者 | 创建、读取和修改作业和其他工作区数据。 此角色处于预览状态,可能会发生更改。 | c1410b24-3e69-4857-8f86-4d0a2e603250 |
| 虚拟机管理员登录 | 在门户中查看虚拟机并以管理员身份登录 | 1c0163c0-47e6-4577-8991-ea5c82e286e4 |
| 虚拟机参与者 | 创建并管理虚拟机、管理磁盘、安装并运行软件、使用 VM 扩展重置虚拟机根用户的密码,以及使用 VM 扩展管理本地用户帐户。 此角色不授予对虚拟机连接到的虚拟网络或存储帐户的管理访问权限。 此角色不允许在 Azure RBAC 中分配角色。 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 虚拟机数据访问管理员(预览版) | 通过添加或删除“虚拟机管理员登录名”角色和“虚拟机用户登录名”角色的角色分配来管理对虚拟机的访问。 包括用于约束角色分配的 ABAC 条件。 | 66f75aeb-eabe-4b70-9f1e-c350c4c9ad04 |
| 虚拟机本地用户登录 | 在门户中查看虚拟机,并在 Arc 服务器上以本地用户身份登录。 | 602da2ba-a5c2-41da-b01d-5360126ab525 |
| 虚拟机用户登录 | 在门户中查看虚拟机并以普通用户身份登录。 | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| VM 还原操作员 | 在 VM 还原期间创建和删除资源。 此角色处于预览状态,可能会发生更改。 | dfce8971-25e3-42e3-ba33-6055438e3080 |
| Windows 365 网络接口参与者 | Windows 365 使用此角色来预配所需的网络资源,并将Microsoft 托管的 VM 接入网络接口。 | 1f135831-5bbe-4924-9016-264044c00788 |
| Windows 365 网络用户 | Windows 365 使用此角色读取虚拟网络并加入指定的虚拟网络。 | 7eabc9a4-85f7-4f71-b8ab-75daaccc1033 |
| Windows Admin Center 管理员登录名 | 允许以管理员身份通过 Windows Admin Center 管理资源的 OS。 | a6333a3e-0164-44c3-b281-7a577aff287f |
网络
| 内置角色 | Description | ID |
|---|---|---|
| Azure Front Door 域参与者 | 供 Azure 内部使用。 可以管理 Azure Front Door 域,但不能向其他用户授予访问权限。 | 0ab34830-df19-4f8c-b84e-aa85b8afa6e8 |
| Azure Front Door 域读者 | 供 Azure 内部使用。 可以查看 Azure Front Door 域,但不能进行更改。 | 0f99d363-226e-4dca-9920-b807cf8e1a5f |
| Azure Front Door 配置文件读者 | 可以查看 AFD 标准和高级配置文件及其终结点,但不能进行更改。 | 662802e2-50f6-46b0-aed2-e834bacc6d12 |
| Azure Front Door 机密参与者 | 供 Azure 内部使用。 可以管理 Azure Front Door 机密,但不能向其他用户授予访问权限。 | 3f2eb865-5811-4578-b90a-6fc6fa0df8e5 |
| Azure Front Door 机密读者 | 供 Azure 内部使用。 可以查看 Azure Front Door 机密,但不能进行更改。 | 0db238c4-885e-4c4f-a933-aa2cef684fca |
| CDN 终结点参与者 | 可以管理 CDN 终结点,但不能向其他用户授予访问权限。 | 426e0c7f-0c7e-4658-b36f-ff54d6c29b45 |
| CDN 终结点读者 | 可以查看 CDN 终结点,但不能进行更改。 | 871e35f6-b5c1-49cc-a043-bde969a0f2cd |
| CDN 配置文件参与者 | 可以管理 CDN 和 Azure Front Door 标准和高级配置文件及其终结点,但不能向其他用户授予访问权限。 | ec156ff8-a8d1-4d15-830c-5b80698ca432 |
| CDN 配置文件读者 | 可以查看 CDN 配置文件及其终结点,但不能进行更改。 | 8f96442b-4075-438f-813d-ad51ab4019af |
| 经典网络参与者 | 允许管理经典网络,但不允许访问这些网络。 | b34d265f-36f7-4a0d-a4d4-e158ca92e90f |
| DNS 区域参与者 | 允许管理 Azure DNS 中的 DNS 区域和记录集,但不允许控制对其访问的人员。 | befefa01-2a29-4197-83a8-272ff33ce314 |
| 网络参与者 | 允许管理网络,但不允许访问这些网络。 此角色不授予部署或管理虚拟机的权限。 | 4d97b98b-1d4f-4787-a291-c67834d212e7 |
| 专用 DNS 区域参与者 | 允许管理专用 DNS 区域资源,但不允许管理它们所链接到的虚拟网络。 | b12aa53e-6015-4669-85d0-8515ebb3ae7f |
| 流量管理器参与者 | 允许管理流量管理器配置文件,但不允许控制谁可以访问它们。 | a4b10055-b0c7-44c2-b00f-c7b5b3550cf7 |
存储
| 内置角色 | Description | ID |
|---|---|---|
| Avere 参与者 | 可以创建和管理 Avere vFXT 群集。 | 4f8fab4f-1852-4a58-a46a-8eaf358af14a |
| Avere 操作员 | Avere vFXT 群集用于管理群集。 | c025889f-8102-4ebf-b32c-fc0c6f0c6bd9 |
| Azure 文件同步读取器 | 提供对 Azure 文件同步服务的读取访问权限(存储同步服务)。 | 754c1a27-40dc-4708-8ad4-2bffdeee09e8 |
| 备份参与者 | 允许管理备份服务,但无法创建保管库并授予对其他人的访问权限。 | 5e467623-bb1f-42f4-a55d-6e525e11384b |
| 备份 MUA 管理员 | 备份多用户授权。 可以创建/删除 ResourceGuard。 | c2a970b4-16a7-4a51-8c84-8a8ea6ee0bb8 |
| 备份 MUA 操作员 | 备份多用户授权。 允许用户执行受 resourceguard 保护的关键操作 | f54b6d04-23c6-443e-b462-9c16ab7b4a52 |
| 备份操作员 | 允许管理备份服务,除了删除备份、创建保管库以及授予对其他人的访问权限。 | 00c29273-979b-4161-815c-10b084fb9324 |
| 备份读者 | 可以查看备份服务,但无法进行更改。 | a795c7a0-d4a2-40c1-ae25-d81f01202912 |
| 经典存储帐户参与者 | 允许管理经典存储帐户,但不允许对其进行访问。 | 86e8f5dc-a6e9-4c67-9d15-de283e8eac25 |
| 经典存储帐户密钥操作员服务角色 | 允许经典存储帐户密钥操作员在经典存储帐户上列出和重新生成密钥。 | 985d6b00-f706-48f5-a6fe-d0ca12fb668d |
| Data Box 参与者 | 可让你管理 Data Box 服务下的所有内容,但不能向其他人授予访问权限。 | add466c9-e687-43fc-8d98-dfcf8d720be5 |
| Data Box 读者 | 可让你管理 Data Box 服务,但不能创建订单或编辑订单详细信息,以及向其他人授予访问权限。 | 028f4ed7-e2a9-465e-a8f4-9c0ffdfdc027 |
| Data Lake Analytics 开发人员 | 允许提交、监视和管理自己的作业,但是不允许创建或删除 Data Lake Analytics 帐户。 | 47b7735b-770e-4598-a7da-8b91488b4c88 |
| Defender for Storage 数据扫描程序 | 授予读取 blob 和更新索引标记所需的访问权限。 此角色由 Defender for Storage 的数据扫描程序使用。 | 1e7ca9b1-60d1-4db8-a914-f2ca1ff27c40 |
| 弹性 SAN 网络管理员 | 允许在 SAN 资源上创建私人终端节点和读取 SAN 资源的访问权限。 | fa6cecf6-5db3-4c43-8470-c540bcb4eafa |
| 弹性 SAN 所有者 | 允许完全访问 Azure Elastic SAN 下的所有资源,包括更改网络安全策略以取消阻止数据路径访问。 | 80dcbedb-47ef-405d-95bd-188a1b4ac406 |
| 弹性 SAN 读者 | 允许控制对 Azure 弹性 SAN 的路径读取访问权限。 | af6a70f8-3c9f-4105-acf1-d719e9fca4ca |
| 弹性 SAN 卷组所有者 | 允许完全访问 Azure Elastic SAN 中的卷组,包括更改网络安全策略以解除阻止数据路径访问。 | a8281131-f312-4f34-8d98-ae12be9f0d23 |
| 读者和数据访问 | 允许查看所有内容,但不允许删除或创建存储帐户或包含的资源。 它还允许使用存储帐户密钥对存储帐户中包含的所有数据进行读/写访问。 | c12c1c16-33a1-487b-954d-41c89c60f349 |
| 存储帐户备份参与者 | 可在存储帐户上使用 Azure 备份执行备份和还原操作。 | e5e2a7ff-d759-4cd2-bb51-3152d37e2eb1 |
| 存储帐户参与者 | 允许管理存储帐户。 提供对帐户密钥的访问权限,它可用于通过共享密钥授权访问数据。 | 17d1049b-9a84-46fb-8f53-869881c3d3ab |
| 存储帐户密钥操作员服务角色 | 允许列出和重新生成存储帐户访问密钥。 | 81a9662b-bebf-436f-a333-f67b29880f12 |
| 存储 BLOB 数据参与者 | 读取、写入和删除 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | ba92f5b4-2d11-453d-a403-e96b0029c9fe |
| 存储 BLOB 数据所有者 | 提供对 Azure 存储 Blob 容器和数据的完全访问权限,包括分配 POSIX 访问控制。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | b7e6dc6d-f1e8-4753-8033-0f276bb0955b |
| 存储 BLOB 数据读者 | 读取和列出 Azure 存储容器和 Blob。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 |
| 存储 Blob 委托者 | 获取用户委托密钥,该密钥随后可用于为使用 Azure AD 凭据签名的容器或 Blob 创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | db58b8e5-c6ad-4a2a-8342-4190687cbf4a |
| 存储文件数据特权参与者 | 通过重写现有的 ACL/NTFS 权限,允许读取、写入、删除和修改 Azure 文件共享中文件/目录上的 ACL。 在 Windows 文件服务器上,此角色没有内置的等效角色。 | 69566ab7-960f-475b-8e7c-b3118f30c6bd |
| 存储文件数据特权读者 | 通过重写现有的 ACL/NTFS 权限,允许对 Azure 文件共享中的文件/目录进行读取访问。 在 Windows 文件服务器上,此角色没有内置的等效角色。 | b8eda974-7b85-4f76-af95-65846b26df6d |
| 存储文件数据 SMB 共享参与者 | 允许针对 Azure 文件共享中的文件/目录的读取、写入和删除权限。 在 Windows 文件服务器上,此角色没有内置的等效角色。 | 0c867c2a-1d8c-454a-a3db-ab2ea1bdc8bb |
| 存储文件数据 SMB 共享提升参与者 | 允许读取、写入、删除和修改 Azure 文件共享中文件/目录上的 ACL。 此角色等效于 Windows 文件服务器上更改的文件共享 ACL。 | a7264617-510b-434b-a828-9731dc254ea7 |
| 存储文件数据 SMB 共享读者 | 允许针对 Azure 文件共享中的文件/目录的读取权限。 此角色等效于 Windows 文件服务器上的文件共享读取 ACL。 | aba4ae5f-2193-4029-9191-0cb91df5e314 |
| 存储文件委派器 | 获取用户委派密钥,该密钥随后可用于为使用 Azure AD 凭据签名的文件或 Azure 文件共享创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | 765a04e0-5de8-4bb2-9bf6-b2a30bc03e91 |
| 存储队列数据参与者 | 读取、写入和删除 Azure 存储队列和队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 974c5e8b-45b9-4653-ba55-5f855dd0fb88 |
| 存储队列数据消息处理者 | 速览、检索和删除 Azure 存储队列中的消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 8a0f0c08-91a1-4084-bc3d-661d67233fed |
| 存储队列数据消息发送者 | 将消息添加到 Azure 存储队列。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | c6a89b2d-59bc-44d0-9896-0f6e12d7b80a |
| 存储队列数据读者 | 读取并列出 Azure 存储队列和队列消息。 若要了解给定数据操作所需的操作,请参阅调用数据操作的权限。 | 19e7f393-937e-4f77-808e-94535e297925 |
| 存储队列委派器 | 获取用户委派密钥,该密钥随后可用于为使用 Azure AD 凭据签名的 Azure 存储队列创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | 7ee386e9-84f0-448e-80a6-f185f6533131 |
| 存储表数据参与者 | 用于对 Azure 存储表和实体进行读取、写入和删除访问 | 0a9a7e1f-b9d0-4cc4-a60d-0319b160aaa3 |
| 存储表数据读者 | 用于对 Azure 存储表和实体进行读取访问 | 76199698-9eea-4c19-bc75-cec21354c6b6 |
| 存储表委派器 | 获取用户委派密钥,该密钥随后可用于为使用 Azure AD 凭据签名的 Azure 存储表创建共享访问签名。 有关详细信息,请参阅创建用户委托 SAS。 | 965033a5-c8eb-4f35-b82f-fef460a3606d |
Web 和移动
| 内置角色 | Description | ID |
|---|---|---|
| Azure Maps 数据参与者 | 授予对 Azure Maps 帐户中地图相关数据的读取、写入和删除访问权限。 | 8f5e0ce6-4f7b-4dcf-bddf-e6f48634a204 |
| Azure Maps 数据读者 | 授予从 Azure Maps 帐户中读取地图相关数据的权限。 | 423170ca-a8f6-4b0f-8487-9e4eb8f49bfa |
| Azure Maps 搜索和呈现数据读者 | 授予在常见可视 Web SDK 的情况下访问极其有限的一组数据 API。 具体而言,呈现和搜索数据 API。 | 6be48352-4f82-47c9-ad5e-0acacefdb005 |
| Azure Spring Apps 应用程序配置服务配置文件模式读者角色 | 读取 Azure Spring Apps 中应用程序配置服务的配置文件模式的内容 | 25211fc6-dc78-40b6-b205-e4ac934fd9fd |
| Azure Spring Apps 应用程序配置服务日志读者角色 | 读取 Azure Spring Apps 中应用程序配置服务的实时日志 | 6593e776-2a30-40f9-8a32-4fe28b77655d |
| Azure Spring Apps 连接角色 | Azure Spring Apps 连接角色 | 80558df3-64f9-4c0f-b32d-e5094b036b0b |
| Azure Spring Apps 作业日志读者角色 | 读取 Azure Spring Apps 中作业的实时日志 | b459aa1d-e3c8-436f-ae21-c0531140f43e |
| Azure Spring Apps 远程调试角色 | Azure Spring Apps 远程调试角色 | a99b0159-1064-4c22-a57b-c9b3caa1c054 |
| Azure Spring Apps Spring Cloud Gateway 日志读取者角色 | 在 Azure Spring Apps 中读取 Spring Cloud Gateway 的实时日志 | 4301dc2a-25a9-44b0-ae63-3636cf7f2bd2 |
| Azure Spring Cloud 配置服务器参与者 | 允许对 Azure Spring Cloud Config Server 进行读取、写入和删除访问 | a06f5c24-21a7-4e1a-aa2b-f19eb6684f5b |
| Azure Spring Cloud 配置服务器读者 | 允许对 Azure Spring Cloud Config Server 进行读取访问 | d04c6db6-4947-4782-9e91-30a88feb7be7 |
| Azure Spring Cloud 数据读者 | 允许对 Azure Spring Cloud 进行读取访问 | b5537268-8956-4941-a8f0-646150406f0c |
| Azure Spring Cloud 服务注册表参与者 | 允许对 Azure Spring Cloud 服务注册表进行读取、写入和删除访问 | f5880b48-c26d-48be-b172-7927bfa1c8f1 |
| Azure Spring Cloud 服务注册表读者 | 允许对 Azure Spring Cloud 服务注册表进行读取访问 | cff1b556-2399-4e7e-856d-a8f754be7b65 |
| 媒体服务帐户管理员 | 创建、读取、修改和删除媒体服务帐户;对其他媒体服务资源的只读访问权限。 | 054126f8-9a2b-4f1c-a9ad-eca461f08466 |
| 媒体服务实时事件管理员 | 创建、读取、修改和删除实时事件、资产、资产筛选器和流式处理定位符;对其他媒体服务资源的只读访问权限。 | 532bc159-b25e-42c0-969e-a1d439f60d77 |
| 媒体服务媒体操作员 | 创建、读取、修改和删除资产、资产筛选器、流式处理定位符和作业;对其他媒体服务资源的只读访问权限。 | e4395492-1534-4db2-bedf-88c14621589c |
| 媒体服务策略管理员 | 创建、读取、修改和删除帐户筛选器、流式处理策略、内容密钥策略和转换;对其他媒体服务资源的只读访问权限。 不能创建作业、资产或流式处理资源。 | c4bba371-dacd-4a26-b320-7250bca963ae |
| 媒体服务流式处理终结点管理员 | 创建、读取、修改和删除流式处理终结点;对其他媒体服务资源的只读访问权限。 | 99dba123-b5fe-44d5-874c-ced7199a5804 |
| SignalR 访问密钥读者 | 读取 SignalR 服务访问密钥 | 04165923-9d83-45d5-8227-78b77b0a687e |
| SignalR 应用服务器 | 允许应用服务器使用 AAD 身份验证选项访问 SignalR 服务。 | 420fcaa2-552c-430f-98ca-3264be4806c7 |
| SignalR REST API 所有者 | 完全访问 Azure Signal 服务 REST API | fd53cd77-2268-407a-8f46-7e7863d0f521 |
| SignalR REST API 读者 | 以只读方式访问 Azure Signal 服务 REST API | ddde6b66-c0df-4114-a159-3618637b3035 |
| SignalR 服务所有者 | 完全访问 Azure Signal 服务 REST API | 7e4f1700-ea5a-4f59-8f37-079cfe29dce3 |
| SignalR/Web PubSub 参与者 | 创建、读取、更新和删除 SignalR 服务资源 | 8cf5e20a-e4b2-4e9d-b3a1-5ceb692c2761 |
| Web 计划参与者 | 管理网站的 web 计划。 不允许在 Azure RBAC 中分配角色。 | 2cc479cb-7b4d-49a8-b449-8c00fd0f0a4b |
| Web PubSub 服务所有者 | 对 Azure Web PubSub 服务 REST API 的完全访问权限 | 12cf5a90-567b-43ae-8102-96cf46c7d9b4 |
| Web PubSub 服务读者 | 对 Azure Web PubSub 服务 REST API 的只读访问权限 | bfb1c7d2-fb1a-466b-b2ba-aee63b92deaf |
| 网站参与者 | 管理网站,但不管理 web 计划。 不允许在 Azure RBAC 中分配角色。 | de139f84-1756-47ae-9be6-808fbbe84772 |
容器
| 内置角色 | Description | ID |
|---|---|---|
| AcrDelete | 从容器注册表中删除存储库、标记或清单。 | c2f4ef07-c644-48eb-af81-4b1b4947fb11 |
| AcrImageSigner | 避免使用此角色。 Azure 容器注册表中的内容信任和 AcrImageSigner 角色即将弃用,将于 2028 年 3 月 31 日完全删除。 有关详细信息和转换指南,请参阅 https://aka.ms/acr/dctdeprecation。 | 6cef56e8-d556-48e5-a04f-b8e64114680f |
| AcrPull | 从容器注册表中拉取项目。 | 7f951dda-4ed3-4680-a7ca-43fe172d538d |
| AcrPush | 将项目推送到容器注册表或从容器注册表中拉取项目。 | 8311e382-0749-4cb8-b61a-304f252e45ec |
| AcrQuarantineReader | 从容器注册表中拉取隔离的映像。 | cdda3590-29a3-44f6-95f2-9f980659eb04 |
| AcrQuarantineWriter | 将隔离的映像推送到容器注册表或从中拉取隔离的映像。 | c8d4ff99-41c3-41a8-9f60-21dfdad59608 |
| 已启用 Azure Arc 的 Kubernetes 群集用户角色 | 列出群集用户凭据操作。 | 00493d72-78f6-4148-b6c5-d3ce8e4799dd |
| Azure Arc Kubernetes 管理员 | 允许管理群集/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 | dffb1e0c-446f-4dde-a09f-99eb5cc68b96 |
| Azure Arc Kubernetes 群集管理员 | 允许管理群集中的所有资源。 | 8393591c-06b9-48a2-a542-1bd6b377f6a2 |
| Azure Arc Kubernetes 查看者 | 允许查看群集/命名空间中除密码之外的所有资源。 | 63f0a09d-1495-4db4-a681-037d84835eb4 |
| Azure Arc Kubernetes 写入者 | 允许更新群集/命名空间中除(群集)角色和(群集)角色绑定之外的所有内容。 | 5b999177-9696-4545-85c7-50de3797e5a1 |
| Azure 容器实例参与者角色 | 授予对 Azure 容器实例提供的容器组的读/写访问权限 | 5d977122-f97e-4b4d-a52f-6b43003ddb4d |
| Azure 容器存储参与者 | 安装 Azure 容器存储并管理其存储资源。 包括用于约束角色分配的 ABAC 条件。 | 95dd08a6-00bd-4661-84bf-f6726f83a4d0 |
| Azure 容器存储操作员 | 启用托管标识以执行 Azure 容器存储操作,例如管理虚拟机和管理虚拟网络。 | 08d4c71a-cc63-4ce4-a9c8-5dd251b4d619 |
| Azure 容器存储所有者 | 安装 Azure 容器存储,授予对其存储资源的访问权限,并配置 Azure 弹性存储区域网络 (SAN)。 包括用于约束角色分配的 ABAC 条件。 | 95de85bd-744d-4664-9dde-11430bc34793 |
| Azure Kubernetes 舰队管理器参与者角色 | 授予对 Azure Kubernetes 舰队管理器提供的 Azure 资源(包括舰队、舰队成员、舰队更新策略、舰队更新运行等)的读/写访问权限。 | 63bb64ad-9799-4770-b5c3-24ed299a07bf |
| Azure Kubernetes 舰队管理器中心代理角色 | 授予对 Azure Kubernetes Fleet Manager 中心代理所需的 Azure 资源的访问权限。 | de2b316d-7a2c-4143-b4cd-c148f6a355a1 |
| Azure Kubernetes 舰队管理器 RBAC 管理员 | 授予对舰队托管的中心群集中命名空间内的 Kubernetes 资源的读/写访问权限 - 提供对命名空间中的大多数对象的写入权限,但 ResourceQuota 对象和命名空间对象本身除外。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 434fb43a-c01c-447e-9f67-c3ad923cfaba |
| Azure Kubernetes 舰队管理器 RBAC 群集管理员 | 授予对舰队托管的中心群集中所有 Kubernetes 资源的读/写访问权限。 | 18ab4d3d-a1bf-4477-8ad9-8359bc988f69 |
| Azure Kubernetes 舰队管理器 RBAC 读者 | 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的只读访问权限。 不允许查看角色或角色绑定。 此角色不允许查看机密,因为通过读取机密内容可以访问命名空间中的 ServiceAccount 凭据,这样就会允许以命名空间中任何 ServiceAccount 的身份进行 API 访问(一种特权提升形式)。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 30b27cfc-9c84-438e-b0ce-70e35255df80 |
| Azure Kubernetes 舰队管理器 RBAC 写入者 | 授予对舰队托管的中心群集中命名空间内大多数 Kubernetes 资源的读/写访问权限。 此角色不允许查看或修改角色或角色绑定。 但是,允许此角色以命名空间中任何 ServiceAccount 的身份访问机密,因此可用它获取命名空间中任何 ServiceAccount 的 API 访问级别。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 5af6afb3-c06c-4fa4-8848-71a8aee05683 |
| Azure Kubernetes 服务 Arc 群集管理员角色 | 列出群集管理员凭据操作。 | b29efa5f-7782-4dc3-9537-4d5bc70a5e9f |
| Azure Kubernetes 服务 Arc 群集用户角色 | 列出群集用户凭据操作。 | 233ca253-b031-42ff-9fba-87ef12d6b55f |
| Azure Kubernetes 服务 Arc 参与者角色 | 授予对 Azure Kubernetes 服务混合群集的读写访问权限 | 5d3f1697-4507-4d08-bb4a-477695db5f82 |
| Azure Kubernetes 服务群集管理员角色 | 列出群集管理员凭据操作。 | 0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8 |
| Azure Kubernetes 服务群集监视用户 | 列出群集监视用户凭据操作。 | 1afdec4b-e479-420e-99e7-f82237c7c5e6 |
| Azure Kubernetes 服务群集用户角色 | 列出群集用户凭据操作。 | 4abbcc35-e782-43d8-92c5-2d3f1bd2253f |
| Azure Kubernetes 服务参与者角色 | 授予对 Azure Kubernetes 服务群集的读写访问权限 | ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8 |
| Azure Kubernetes 服务命名空间参与者 | 允许用户创建和管理 Azure Kubernetes 服务命名空间资源。 | 289d8817-ee69-43f1-a0af-43a45505b488 |
| Azure Kubernetes 服务命名空间用户 | 允许用户读取 Azure Kubernetes 服务命名空间资源。 群集内命名空间访问还需要将 Azure Kubernetes 服务 RBAC 角色分配给已启用 Entra ID 的群集的命名空间资源。 | c9f76ca8-b262-4b10-8ed2-09cf0948aa35 |
| Azure Kubernetes 服务 RBAC 管理员 | 允许管理群集/命名空间下的所有资源,但不能更新或删除资源配额和命名空间。 | 3498e952-d568-435e-9b2c-8d77e338d7f7 |
| Azure Kubernetes 服务 RBAC 群集管理员 | 允许管理群集中的所有资源。 | b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b |
| Azure Kubernetes 服务 RBAC 读者 | 允许进行只读访问并查看命名空间中的大多数对象。 不允许查看角色或角色绑定。 此角色不允许查看机密,因为通过读取机密内容可以访问命名空间中的 ServiceAccount 凭据,这样就会允许以命名空间中任何 ServiceAccount 的身份进行 API 访问(一种特权提升形式)。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | 7f6c6a51-bcf8-42ba-9220-52d62157d7db |
| Azure Kubernetes 服务 RBAC 写入者 | 允许对命名空间中的大多数对象进行读/写访问。 此角色不允许查看或修改角色或角色绑定。 但是,允许此角色以命名空间中任何 ServiceAccount 的身份访问机密和运行 Pod,因此可用它获取命名空间中任何 ServiceAccount 的 API 访问级别。 在群集范围内应用此角色将提供对所有命名空间的访问权限。 | a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb |
| Azure Red Hat OpenShift Cloud Controller Manager | 管理和更新基于 OpenShift 部署的云控制器管理器。 | a1f96423-95ce-4224-ab27-4e3dc72facd4 |
| Azure Red Hat OpenShift 群集流入量操作员 | 管理和配置 OpenShift 路由器。 | 0336e1d3-7a87-462b-b6db-342b63f7802c |
| Azure Red Hat OpenShift 磁盘存储操作员 | 安装容器存储接口 (CSI) 驱动程序,使群集能够使用 Azure 磁盘。 设置 OpenShift 群集范围的存储默认值,以确保群集存在默认存储类。 | 5b7237c5-45e1-49d6-bc18-a1f62f400748 |
| Azure Red Hat OpenShift 联合凭据 | 在用户分配的托管标识上创建、更新和删除联合凭据,以便在托管标识、OpenID Connect (OIDC) 和服务帐户之间建立信任关系。 | ef318e2a-8334-4a05-9e4a-295a196c6a6e |
| Azure Red Hat OpenShift 文件存储操作员 | 安装容器存储接口 (CSI) 驱动程序,使群集能够使用 Azure 文件。 设置 OpenShift 群集范围的存储默认值,以确保群集存在默认存储类。 | 0d7aedc0-15fd-4a67-a412-efad370c947e |
| Azure Red Hat OpenShift 映像注册表操作员 | 为操作员启用管理 OpenShift 映像注册表单一实例的权限。 它管理注册表的所有配置,包括创建存储。 | 8b32b316-c2f5-4ddf-b05b-83dacd2d08b5 |
| Azure Red Hat OpenShift 计算机 API 操作员 | 管理特定用途自定义资源定义(CRD)、控制器和 Azure RBAC 对象的生命周期,这些对象扩展 Kubernetes API 以声明群集中计算机的所需状态。 | 0358943c-7e01-48ba-8889-02cc51d78637 |
| Azure Red Hat OpenShift 网络操作员 | 在 OpenShift 群集上安装和升级网络组件。 | be7a6435-15ae-4171-8f30-4a343eff9e8f |
| Azure Red Hat OpenShift 服务操作员 | 维护计算机健康状态、网络配置、监控以及其他特定功能,这些功能对于 OpenShift 集群作为托管服务持续运行至关重要。 | 4436bae4-7702-4c84-919b-c4069ff25ee2 |
| 互联群集托管标识 CheckAccess 读者 | 允许连接群集托管标识调用 checkAccess API 的内置角色 | 65a14201-8f6c-4c28-bec4-12619c5a9aaa |
| 容器应用 ConnectedEnvironments 贡献者 | 容器应用 ConnectedEnvironments 的完全管理,包括创建、删除和更新。 | 6f4fe6fc-f04f-4d97-8528-8bc18c848dca |
| 容器应用 ConnectedEnvironments 读者 | 读取对容器应用 ConnectedEnvironments 的访问权限。 | d5adeb5b-107f-4aca-99ea-4e3f4fc008d5 |
| 容器应用贡献者 | 容器应用的完全管理,包括创建、删除和更新。 | 358470bc-b998-42bd-ab17-a7e34c199c0f |
| 容器应用任务贡献者 | 容器应用作业的完全管理,包括创建、删除和更新。 | 4e3d2b60-56ae-4dc6-a233-09c8e5a82e68 |
| 容器应用作业操作员 | 读取、启动和停止容器应用作业。 | b9a307c4-5aa3-4b52-ba60-2b17c136cd7b |
| 容器应用作业读者 | 对 ContainerApps 作业的读取访问权限 | edd66693-d32a-450b-997d-0158c03976b0 |
| 容器应用 ManagedEnvironments 贡献者 | 容器应用 ManagedEnvironments 的完全管理,包括创建、删除和更新。 | 57cc5028-e6a7-4284-868d-0611c5923f8d |
| 容器应用托管环境读取器 | 对 ContainerApps managedenvironments 的读取访问权限。 | 1b32c00b-7eff-4c22-93e6-93d11d72d2d8 |
| 容器应用操作员 | 读取、流式传输日志并执行到容器应用中。 | f3bd1b5c-91fa-40e7-afe7-0c11d331232c |
| 容器应用会话池贡献者 | 容器应用 SessionPools 的完全管理,包括创建、删除和更新。 | f7669afb-68b2-44b4-9c5f-6d2a47fddda0 |
| 容器应用会话池读取器 | 对 ContainerApps 会话池的读取访问权限。 | af61e8fc-2633-4b95-bed3-421ad6826515 |
| 容器注册表缓存规则管理员 | 在容器注册表中创建、读取、更新和删除缓存规则。 此角色不授予管理凭据集的权限。 | df87f177-bb12-4db1-9793-a413691eff94 |
| 容器注册表缓存规则读取器 | 读取容器注册表中缓存规则的配置。 此权限不授予读取凭据集的权限。 | c357b964-0002-4b64-a50d-7a28f02edc52 |
| 容器注册表配置读者和数据访问配置读者 | 提供列出容器注册表和注册表配置属性的权限。 提供列出数据访问配置(例如管理员用户凭据、范围映射和令牌)的权限,可用于读取、写入或删除存储库和映像。 不提供读取、列出或写入注册表内容(包括存储库和映像)的直接权限。 不提供修改数据平面内容(如导入、工件缓存或同步和传输管道)的权限。 不提供管理任务的权限。 | 69b07be0-09bf-439a-b9a6-e73de851bd59 |
| 容器注册表参与者和数据访问配置管理员 | 提供创建、列出和更新容器注册表和注册表配置属性的权限。 提供配置数据访问(例如管理员用户凭据、范围映射和令牌)的权限,可用于读取、写入或删除存储库和映像。 不提供读取、列出或写入注册表内容(包括存储库和映像)的直接权限。 不提供修改数据平面内容(如导入、工件缓存或同步和传输管道)的权限。 不提供管理任务的权限。 | 3bc748fc-213d-45c1-8d91-9da5725539b9 |
| 容器注册表凭据集管理员 | 在容器注册表中创建、读取、更新和删除凭据集。 此角色不会影响在 Azure Key Vault 中存储内容所需的权限。 此角色也不授予管理缓存规则的权限。 | f094fb07-0703-4400-ad6a-e16dd8000e14 |
| 容器注册表凭据集读取器 | 读取容器注册表中凭据集的配置。 此权限不允许查看 Azure Key Vault 中的内容,仅允许查看容器注册表中的内容。 此权限不授予读取缓存规则的权限。 | 29093635-9924-4f2c-913b-650a12949526 |
| 容器注册表数据导入程序和数据读者 | 提供通过注册表导入作将映像导入注册表的功能。 提供列出存储库、查看映像和标记、获取清单和拉取映像的功能。 不提供通过配置注册表传输管道(如导入和导出管道)导入映像的权限。 不提供通过配置工件缓存或同步规则进行导入的权限。 | 577a9874-89fd-4f24-9dbd-b5034d0ad23a |
| 容器注册表存储库目录列表程序 | 允许列出 Azure 容器注册表中的所有存储库。 此角色处于预览状态,可能会发生更改。 | bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7 |
| 容器注册表存储库参与者 | 允许读取、写入和删除对 Azure 容器注册表存储库(但不包括目录列表)的访问权限。 此角色处于预览状态,可能会发生更改。 | 2efddaa5-3f1f-4df3-97df-af3f13818f4c |
| 容器注册表存储库读者 | 允许对 Azure 容器注册表存储库(但不包括目录列表)进行读取访问。 此角色处于预览状态,可能会发生更改。 | b93aa761-3e63-49ed-ac28-beffa264f7ac |
| 容器注册表存储库写入者 | 允许对 Azure 容器注册表存储库(但不包括目录列表)进行读取和写入访问。 此角色处于预览状态,可能会发生更改。 | 2a1e307c-b015-4ebd-883e-5b7698a07328 |
| 容器注册表任务参与者 | 提供配置、读取、列出、触发或取消容器注册表任务、任务运行、任务日志、快速运行、快速生成和任务代理池的权限。 为任务管理授予的权限可用于完整的注册表数据平面权限,包括读取/写入/删除注册表中的容器映像。 为任务管理授予的权限还可用于运行客户创作的生成指令,并运行脚本来生成软件项目。 | fb382eab-e894-4461-af04-94435c366c3f |
| 容器注册表传输管道参与者 | 通过配置涉及中间存储帐户和密钥保管库的注册表传输管道,提供传输、导入和导出项目的功能。 不提供推送或拉取映像的权限。 不提供创建、管理或列出存储帐户或密钥保管库的权限。 不提供执行角色分配的权限。 | bf94e731-3a51-4a7c-8c54-a1ab9971dfc1 |
| Kubernetes 无代理操作员 | 授予 Microsoft Defender for Cloud 对 Azure Kubernetes 服务的访问权限 | d5a2ae44-610b-4500-93be-660a0c5f5ca6 |
| Kubernetes 群集 - Azure Arc 载入 | 授权任何用户/服务创建 connectedClusters 资源的角色定义 | 34e09817-6cbe-4d01-b1a2-e0eac5743d41 |
| Kubernetes 扩展参与者 | 可以创建、更新、获取、列出和删除 Kubernetes 扩展,以及获取扩展异步操作 | 85cb6faf-e071-4c9b-8136-154b5a04f717 |
| Service Fabric 群集参与者 | 管理 Service Fabric 群集资源。 包括群集、应用程序类型、应用程序类型版本、应用程序和服务。 需要其他权限才能部署和管理群集的基础资源,例如虚拟机规模集、存储帐户、网络等。 | b6efc156-f0da-4e90-a50a-8c000140b017 |
| Service Fabric 托管群集参与者 | 部署和管理 Service Fabric 托管群集资源。 包括托管群集、节点类型、应用程序类型、应用程序类型版本、应用程序和服务。 | 83f80186-3729-438c-ad2d-39e94d718838 |
Databases
| 内置角色 | Description | ID |
|---|---|---|
| 连接到 Azure 的 SQL Server 载入 | 对于已启用 Arc 的服务器上的 SQL Server,允许对 Azure 资源的读取和写入访问。 | e8113dce-c529-4d33-91fa-e9b972617508 |
| Cosmos DB 帐户读者角色 | 可以读取 Azure Cosmos DB 帐户数据。 请参阅 Cosmos DB 帐户参与者,了解如何管理 Azure Cosmos DB 帐户。 | fbdf93bf-df7d-467e-a4d2-9458aa1360c8 |
| Cosmos DB 操作员 | 允许管理 Azure Cosmos DB 帐户,但不能访问其中的数据。 阻止访问帐户密钥和连接字符串。 | 230815da-be43-4aae-9cb4-875f7bd000aa |
| CosmosBackupOperator | 可以为帐户提交 Cosmos DB 数据库或容器的还原请求 | db7b14f2-5adf-42da-9f96-f2ee17bab5cb |
| CosmosRestoreOperator | 可以对连续备份模式下的 Cosmos DB 数据库帐户执行还原操作 | 5432c526-bc82-444a-b7ba-57c5b0b5b34f |
| DocumentDB 帐户参与者 | 可管理 Azure Cosmos DB 帐户。 Azure Cosmos DB 以前称为 DocumentDB。 | 5bd9cd88-fe45-4216-938b-f97437e15450 |
| PostgreSQL 灵活服务器长期保留备份角色 | 允许备份保管库访问 PostgreSQL 灵活服务器资源 API 以实现长期保留备份的角色。 | c088a766-074b-43ba-90d4-1fb21feae531 |
| Redis 缓存参与者 | 允许管理 Redis 缓存,但不允许访问这些缓存。 | e0f68234-74aa-48ed-b826-c38b57376e17 |
| SQL DB 参与者 | 允许管理 SQL 数据库,但不允许访问这些数据库。 此外,不允许管理其安全相关的策略或其父 SQL 服务器。 | 9b7fa17d-e63e-47b0-bb0a-15c516ac86ec |
| SQL 托管实例参与者 | 允许你管理 SQL 托管实例和必需的网络配置,但无法向其他人授予访问权限。 | 4939a1f6-9ae0-4e48-a1e0-f2cbe897382d |
| SQL 安全管理器 | 允许管理 SQL 服务器和数据库的安全相关策略,但不允许访问它们。 | 056cd41c-7e88-42e1-933e-88ba6a50c9c3 |
| SQL Server 参与者 | 允许管理 SQL 服务器和数据库,但不允许访问它们及其安全相关的策略。 | 6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437 |
Analytics
| 内置角色 | Description | ID |
|---|---|---|
| Azure 事件中心数据所有者 | 允许对 Azure 事件中心资源的完全访问权限。 | f526a384-b230-433a-b45c-95f59c4a2dec |
| Azure 事件中心数据接收者 | 允许接收对 Azure 事件中心资源的访问权限。 | a638d3c7-ab3a-418d-83e6-5f17a39d4fde |
| Azure 事件中心数据发送者 | 允许发送对 Azure 事件中心资源的访问权限。 | 2b629674-e913-4c01-ae53-ef4638d8f975 |
| 数据工厂参与者 | 创建和管理数据工厂,以及其中的子资源。 | 673868aa-7521-48a0-acc6-0f60742d39f5 |
| HDInsight 群集操作员 | 允许你读取和修改 HDInsight 群集配置。 | 61ed4efc-fab3-44fd-b111-e24485cc132a |
| HDInsight 域服务参与者 | 可以读取、创建、修改和删除 HDInsight 企业安全性套餐所需的域服务相关操作 | 8d8d5a11-05d3-4bda-a417-a08778121c7c |
| HDInsight on AKS 群集管理员 | 让用户/组可以创建、删除和管理特定群集池中的群集。 群集管理员还可以在这些群集上运行工作负荷、监视和管理所有用户活动。 | fd036e6b-1266-47a0-b0bb-a05d04831731 |
| HDInsight on AKS 群集池管理员 | 可以读取、创建、修改和删除 HDInsight on AKS 群集池并创建群集 | 7656b436-37d4-490a-a4ab-d39f838f0042 |
| 架构注册表参与者 | 读取、写入和删除架构注册表组和架构。 | 5dffeca3-4936-4216-b2bc-10343a5abb25 |
| 架构注册表读取者 | 读取和列出架构注册表组和架构。 | 2c56ea50-c6b3-40a6-83c0-9d98858bc7d2 |
| 流分析查询测试者 | 可以执行查询测试,而无需先创建流分析作业 | 1ec5b3c1-b17e-4e25-8312-2acb3c3c5abf |
AI + 机器学习
| 内置角色 | Description | ID |
|---|---|---|
| AgFood 平台传感器合作伙伴参与者 | 提供贡献访问权限以管理 AgFood 平台服务中与传感器相关的实体 | 6b77f0a0-0d89-41cc-acd1-579c22c17a67 |
| AgFood 平台服务管理员 | 提供对 AgFood 平台服务的管理员访问权限 | f8da80de-1ff9-4747-ad80-a19b7f6079e3 |
| AgFood 平台服务参与者 | 提供对 AgFood 平台服务的贡献访问权限 | 8508508a-4469-4e45-963b-2518ee0bb728 |
| AgFood 平台服务读者 | 提供对 AgFood 平台服务的读取访问权限 | 7ec7ccdc-f61e-41fe-9aaf-980df0a44eba |
| Azure AI 开发人员 | 除了管理资源本身之外,还可以在 Azure AI 资源中执行所有操作。 | 64702f94-c441-49e6-a78b-ef80e0188fee |
| Azure AI 企业网络连接审批者 | 可以批准与 Azure AI 通用依赖项资源的专用终结点连接 | b556d68e-0be0-4f35-a333-ad7ee1ce17ea |
| Azure AI 推理部署操作员 | 可以执行在资源组中创建资源部署所需的所有操作。 | 3afb7f49-54cb-416e-8c09-6dc049efa503 |
| AzureML 计算操作员 | 可以在机器学习服务托管计算资源(包括笔记本 VM)上访问和执行 CRUD 操作。 | e503ece1-11d0-4e8e-8e2c-7a6c3bf38815 |
| AzureML 数据科学家 | 可以在 Azure 机器学习工作区中执行所有操作,但创建或删除计算资源及修改工作区本身除外。 | f6c7c914-8db3-469d-8ca1-694a8f32e121 |
| AzureML 指标写入者(预览版) | 允许将指标写入 AzureML 工作区 | 635dd51f-9968-44d3-b7fb-6d9a6bd613ae |
| AzureML 注册表用户 | 可以对机器学习服务注册表资产执行所有操作并获取注册表资源。 | 1823dd4f-9b8c-4ab6-ab4e-7397a3684615 |
| 认知服务参与者 | 允许创建、读取、更新、删除和管理认知服务的密钥。 | 25fbc0a9-bd7c-42a3-aa1a-3b75d497ee68 |
| 认知服务自定义视觉参与者 | 对项目的完全访问权限,包括可以查看、创建、编辑或删除项目。 | c1ff6cc2-c111-46fe-8896-e0ef812ad9f3 |
| 认知服务自定义视觉部署 | 发布、取消发布或导出模型。 部署可以查看项目,但无法更新项目。 | 5c4089e1-6d96-4d2f-b296-c1bc7137275f |
| 认知服务自定义视觉标记者 | 查看、编辑训练图像,以及创建、添加、移除或删除图像标记。 标记者可以查看项目,但无法更新除训练图像和标记以外的任何内容。 | 88424f51-ebe7-446f-bc41-7fa16989e96c |
| 认知服务自定义视觉读者 | 项目中的只读操作。 读取者无法创建或更新项目。 | 93586559-c37d-4a6b-ba08-b9f0940c2d73 |
| 认知服务自定义视觉训练者 | 查看、编辑项目以及训练模型,包括可以发布、取消发布和导出模型。 训练者无法创建或删除项目。 | 0a5ae4ab-0d65-4eeb-be61-29fc9b54394b |
| 认知服务数据读者 | 允许读取认知服务数据。 | b59867f0-fa02-499b-be73-45a86b5b3e1c |
| 认知服务人脸识别者 | 让你可以在人脸 API 上执行“检测”、“验证”、“识别”、“分组”和“查找相似”等操作。 此角色不允许创建或删除操作,因此非常适合只需要对功能进行推理、遵循“最小特权”最佳做法的终结点。 | 9894cab4-e18a-44aa-828b-cb588cd6f2d7 |
| 认知服务沉浸式阅读器用户 | 授权创建沉浸式阅读器会话并调用 API | b2de6794-95db-4659-8781-7e080d3f2b9d |
| 认知服务语言所有者 | 有权访问语言门户下的所有读取、测试、写入、部署和删除功能 | f07febfe-79bc-46b1-8b37-790e26e6e498 |
| 认知服务语言读者 | 有权访问语言门户下的读取和测试功能 | 7628b7b8-a8b2-4cdc-b46f-e9b35248918e |
| 认知服务语言写入者 | 有权访问语言门户下的所有读取、测试和写入功能 | f2310ca1-dc64-4889-bb49-c8e0fa3d47a8 |
| 认知服务 LUIS 所有者 | 有权访问 LUIS 下的所有读取、测试、写入、部署和删除功能 | f72c8140-2111-481c-87ff-72b910f6e3f8 |
| 认知服务 LUIS 读者 | 有权访问 LUIS 下的读取和测试功能。 | 18e81cdc-4e98-4e29-a639-e7d10c5a6226 |
| 认知服务 LUIS 写入者 | 有权访问 LUIS 下的所有读取、测试和写入功能 | 6322a993-d5c9-4bed-b113-e49bbea25b27 |
| 认知服务指标顾问管理员 | 对项目的完全访问权限,包括系统级别的配置。 | cb43c632-a144-4ec5-977c-e80c4affc34a |
| 认知服务指标顾问用户 | 访问项目。 | 3b20f47b-3825-43cb-8114-4bd2201156a8 |
| 认知服务 OpenAI 参与者 | 完全访问权限,包括微调、部署和生成文本的功能 | a001fd3d-188f-4b5d-821b-7da978bf7442 |
| 认知服务 OpenAI 用户 | 查看文件、模型、部署的读取访问权限。 创建完成操作和嵌入调用的功能。 | 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd |
| 认知服务 QnA Maker 编辑者 | 允许你创建、编辑、导入和导出知识库。 无法发布或删除知识库。 | f4cc2bf9-21be-47a1-bdf1-5c5804381025 |
| 认知服务 QnA Maker 读者 | 允许你仅读取和测试知识库。 | 466ccd10-b268-4a11-b098-b4849f024126 |
| 认知服务语音参与者 | 针对实时语音识别和批量听录任务、实时语音合成和长音频任务、自定义语音识别和定制声音的完全访问权限,包括读取、写入和删除所有实体。 | 0e75ca1e-0464-4b4d-8b93-68208a576181 |
| 认知服务语音用户 | 访问实时语音识别和批量听录 API、实时语音合成和长音频 API,以及读取自定义模型的数据/测试/模型/终结点,但无法创建、删除或修改自定义模型的数据/测试/模型/终结点。 | f2dc8367-1007-4938-bd23-fe263f013447 |
| 认知服务使用情况读者 | 查看认知服务使用情况的最小权限。 | bba48692-92b0-4667-a9ad-c31c7b334ac2 |
| 认知服务用户 | 允许读取和列出认知服务密钥。 | a97b65f3-24c7-4388-baec-2e87135dc908 |
| 医疗保健代理管理员 | 具有管理员访问权限的用户可以登录、查看和编辑所有机器人资源、方案和配置设置,包括机器人实例密钥和机密。 | f1082fec-a70f-419f-9230-885d2550fb38 |
| 医疗保健代理编辑器 | 具有编辑者访问权限的用户可以登录、查看和编辑除机器人实例密钥和机密以及最终用户输入(包括反馈、无法识别的言语和对话日志)之外的所有机器人资源、方案和配置设置。 对机器人技能和通道的只读访问权限。 | af854a69-80ce-4ff7-8447-f1118a2e0ca8 |
| 医疗保健代理读取者 | 具有读者访问权限的用户可以登录且对机器人资源、方案和配置设置拥有只读访问权限,但机器人实例密钥和机密(包括身份验证、数据连接和通道密钥)和最终用户输入(包括反馈、无法识别的言语和对话日志)除外。 | eb5a76d5-50e7-4c33-a449-070e7c9c4cf2 |
| 搜索索引数据参与者 | 授予对 Azure 认知搜索索引数据的完全访问权限。 | 8ebe5a00-799e-43f5-93ac-243d3dce84a7 |
| 搜索索引数据读者 | 授予对 Azure 认知搜索索引数据的读取访问权限。 | 1407120a-92aa-4202-b7e9-c0e197c71c8f |
| 搜索服务参与者 | 允许管理搜索服务,但不允许访问这些服务。 | 7ca78c08-252a-4471-8644-bb5ff32d4ba0 |
物联网
| 内置角色 | Description | ID |
|---|---|---|
| Azure 数字孪生数据所有者 | 对数字孪生数据平面具有完全访问权限的角色 | bcd981a7-7f74-457b-83e1-cceb9e632ffe |
| Azure 数字孪生数据读者 | 对数字孪生数据平面具有只读权限的角色 | d57506d4-4c8d-48b1-8587-93c323f6a5a3 |
| 设备预配服务数据参与者 | 允许对设备预配服务数据平面操作进行完全访问。 | dfce44e4-17b7-4bd1-a6d1-04996ec95633 |
| 设备预配服务数据读者 | 允许对设备预配服务数据平面属性进行完全读取访问。 | 10745317-c249-44a1-a5ce-3a4353c0bbd8 |
| 设备更新管理员 | 授予你对管理和内容操作的完全访问权限 | 02ca0879-e8e4-47a5-a61e-5c618b76e64a |
| 设备更新内容管理员 | 授予你对内容操作的完全访问权限 | 0378884a-3af5-44ab-8323-f5b22f9f3c98 |
| 设备更新内容读者 | 授予你对内容操作的读取访问权限,但不允许进行更改 | d1ee9a80-8b14-47f0-bdc2-f4a351625a7b |
| 设备更新部署管理员 | 授予你对管理操作的完全访问权限 | e4237640-0e3d-4a46-8fda-70bc94856432 |
| 设备更新部署读者 | 授予你对管理操作的读取访问权限,但不允许进行更改 | 49e2f5d2-7741-4835-8efa-19e1fe35e47f |
| 设备更新读者 | 授予你对管理和内容操作的读取访问权限,但不允许进行更改 | e9dba6fb-3d52-4cf0-bce3-f06ce71b9e0f |
| Firmware 分析管理员 | 在 Defender for IoT 中上传和分析固件映像 | 9c1607d1-791d-4c68-885d-c7b7aaff7c8a |
| IoT 中心数据参与者 | 允许对 IoT 中心数据平面操作进行完全访问。 | 4fc6c259-987e-4a07-842e-c321cc9d413f |
| IoT 中心数据读者 | 允许对 IoT 中心数据平面属性进行完全读取访问 | b447c946-2db7-41ec-983d-d8bf3b1c77e3 |
| IoT 中心注册表参与者 | 允许对 IoT 中心设备注册表进行完全访问。 | 4ea46cd5-c1b2-4a8e-910b-273211f9ce47 |
| IoT 中心孪生体参与者 | 允许对所有 IoT 中心设备和模块孪生进行读写访问。 | 494bdba2-168f-4f31-a0a1-191d2f7c028c |
混合现实
| 内置角色 | Description | ID |
|---|---|---|
| 远程渲染管理员 | 为用户提供 Azure 远程渲染的转换、管理会话、渲染和诊断功能 | 3df8b902-2a6f-47c7-8cc5-360e9b272a7e |
| 远程渲染客户端 | 为用户提供 Azure 远程渲染的管理会话、渲染和诊断功能。 | d39065c4-c120-43c9-ab0a-63eed9795f0a |
Integration
| 内置角色 | Description | ID |
|---|---|---|
| API 管理开发人员门户内容编辑器 | 可以自定义开发人员门户、编辑其内容并发布。 | c031e6a8-4391-4de0-8d69-4706a7ed3729 |
| API 管理服务参与者 | 可以管理服务和 API | 312a565d-c81f-4fd8-895a-4e21e48d571c |
| API 管理服务操作员角色 | 可以管理服务,但不可管理 API | e022efe7-f5ba-4159-bbe4-b44f577e9b61 |
| API 管理服务读者角色 | 对服务和 API 的只读访问权限 | 71522526-b88f-4d52-b57f-d31fc3546d0d |
| API 管理服务工作区 API 开发人员 | 对标记和产品拥有读取访问权限,并拥有以下写入访问权限:将 API 分配到产品、将标记分配到产品和 API。 应在服务范围内分配此角色。 | 9565a273-41b9-4368-97d2-aeb0c976a9b3 |
| API 管理服务工作区 API 产品管理员 | 具有与 API 管理服务工作区 API 开发人员相同的访问权限,对用户具有读取访问权限,并且具有写入访问权限,可允许将用户分配给组。 应在服务范围内分配此角色。 | d59a3e9c-6d52-4a5a-aeed-6bf3cf0e31da |
| API 管理工作区 API 开发人员 | 对工作区中的实体具有读取访问权限,并对用于编辑 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 | 56328988-075d-4c6a-8766-d93edd6725b6 |
| API 管理工作区 API 产品管理员 | 对工作区中的实体具有读取访问权限,并对用于发布 API 的实体具有读写访问权限。 应在工作区范围内分配此角色。 | 73c2c328-d004-4c5e-938c-35c6f5679a1f |
| API 管理工作区参与者 | 可以管理工作区和视图,但不能修改其成员。 应在工作区范围内分配此角色。 | 0c34c906-8d99-4cb7-8bb7-33f5b0a1a799 |
| API 管理工作区读者 | 对工作区中的实体具有只读访问权限。 应在工作区范围内分配此角色。 | ef1c2c96-4a77-49e8-b9a4-6179fe1d2fd2 |
| 应用程序配置参与者 | 为应用程序配置资源授予所有管理操作(清除除外)权限。 | fe86443c-f201-4fc4-9d2a-ac61149fbda0 |
| 应用程序配置数据所有者 | 允许对应用程序配置数据进行完全访问。 | 5ae67dd6-50cb-40e7-96ff-dc2bfa4b606b |
| 应用程序配置数据读者 | 允许对应用程序配置数据进行读取访问。 | 516239f1-63e1-4d78-a4de-a74fb236a071 |
| 应用程序配置读者 | 授予应用程序配置资源的操作读取权限。 | 175b81b9-6e0d-490a-85e4-0d422273c10c |
| Azure API 中心合规性管理员 | 允许管理 Azure API 中心服务中的 API 合规性。 | ede9aaa3-4627-494e-be13-4aa7c256148d |
| Azure API 中心数据读者 | 允许访问 Azure API 中心数据平面读取操作。 | c7244dfb-f447-457d-b2ba-3999044d1706 |
| Azure API 中心服务参与者 | 允许管理 Azure API 中心服务。 | dd24193f-ef65-44e5-8a7e-6fa6e03f7713 |
| Azure API 中心服务读者 | 允许对 Azure API 中心服务进行只读访问。 | 6cba8790-29c5-48e5-bab1-c7541b01cb04 |
| Azure 中继侦听者 | 允许侦听对 Azure 中继资源的访问。 | 26e0b698-aa6d-4085-9386-aadae190014d |
| Azure 中继所有者 | 允许完全访问 Azure 中继资源。 | 2787bf04-f1f5-4bfe-8383-c8a24483ee38 |
| Azure 中继发送者 | 允许发送对 Azure 中继资源的访问权限。 | 26baccc8-eea7-41f1-98f4-1762cc7f685d |
| Azure 资源通知系统主题订阅者 | 让你可以对 Azure 资源通知当前和以后公开的所有系统主题创建系统主题和事件订阅 | 0b962ed2-6d56-471c-bd5f-3477d83a7ba4 |
| Azure 服务总线数据所有者 | 允许对 Azure 服务总线资源的完全访问权限。 | 090c5cfd-751d-490a-894a-3ce6f1109419 |
| Azure 服务总线数据接收者 | 允许对 Azure 服务总线资源的完全访问权限。 | 4f6d3b9b-027b-4f4c-9142-0e5a2a2247e0 |
| Azure 服务总线数据发送者 | 允许对 Azure 服务总线资源的完全访问权限。 | 69a216fc-b8fb-44d8-bc22-1f3c2cd27a39 |
| BizTalk 参与者 | 允许管理 BizTalk 服务,但不允许访问这些服务。 | 5e3c6656-6cfa-4708-81fe-0de47ac73342 |
| DeID 批量数据所有者 | 创建和管理 DeID 批量作业。 此角色处于预览状态,可能会发生更改。 | 8a90fa6b-6997-4a07-8a95-30633a7c97b9 |
| DeID Batch 数据读者 | 读取 DeID 批量作业。 此角色处于预览状态,可能会发生更改。 | b73a14ee-91f5-41b7-bd81-920e12466be9 |
| DeID 数据所有者 | DeID 数据的完全访问权限。 此角色处于预览状态,可能会更改 | 78e4b983-1a0b-472e-8b7d-8d770f7c5890 |
| DeID 实时数据用户 | 针对 DeID 实时终结点执行请求。 此角色处于预览状态,可能会发生更改。 | bb6577c4-ea0a-40b2-8962-ea18cb8ecd4e |
| DICOM 数据所有者 | DICOM 数据的完全访问权限。 | 58a3b984-7adf-4c20-983a-32417c86fbc8 |
| DICOM 数据读者 | 读取和搜索 DICOM 数据。 | e89c7a3c-2f64-4fa1-a847-3e4c9ba4283a |
| 持久任务数据参与者 | 所有数据访问操作的持久任务角色。 | 0ad04412-c4d5-4796-b79c-f76d14c8d402 |
| 持久任务数据读者 | 读取所有持久任务计划程序数据。 | d6a5505f-6ebb-45a4-896e-ac8274cfc0ac |
| 持久任务工作者 | 由辅助角色应用程序使用,用于与持久任务服务交互 | 80d0d6b0-f522-40a4-8886-a5a11720c375 |
| EventGrid 参与者 | 可以管理 EventGrid 操作。 | 1e241071-0855-49ea-94dc-649edcd759de |
| EventGrid 数据发送者 | 允许发送对事件网格事件的访问权限。 | d5a91429-5739-47e2-a06b-3470a27159e7 |
| EventGrid 事件订阅参与者 | 可以管理 EventGrid 事件订阅操作。 | 428e0ff0-5e57-4d9c-a221-2c70d0e0a443 |
| EventGrid 事件订阅读者 | 可以读取 EventGrid 事件订阅。 | 2414bbcf-6497-4faf-8c65-045460748405 |
| EventGrid 主题空发布者 | 允许在主题空间上发布消息。 | a12b0b94-b317-4dcd-84a8-502ce99884c6 |
| EventGrid 主题空间订阅者 | 允许在主题空间上订阅消息。 | 4b0f2fd7-60b4-4eca-896f-4435034f8bf5 |
| FHIR 数据参与者 | 角色允许用户或主体完全访问 FHIR 数据 | 5a1fc7df-4bf1-4951-a576-89034ee01acd |
| FHIR 数据转换器 | 角色允许用户或主体将数据从旧格式转换为 FHIR | a1705bd2-3a8f-45a5-8683-466fcfd5cc24 |
| FHIR 数据导出者 | 角色允许用户或主体读取和导出 FHIR 数据 | 3db33094-8700-4567-8da5-1501d4e7e843 |
| FHIR 数据导入者 | 该角色允许用户或主体读取和导入 FHIR 数据 | 4465e953-8ced-4406-a58e-0f6e3f3b530b |
| FHIR 数据读者 | 角色允许用户或主体读取 FHIR 数据 | 4c8d0bbc-75d3-4935-991f-5f3c56d81508 |
| FHIR 数据写入者 | 角色允许用户或主体读取和写入 FHIR 数据 | 3f88fce4-5892-4214-ae73-ba5294559913 |
| FHIR SMART 用户 | 角色允许用户按照 SMART on FHIR 的规范访问 FHIR 服务 | 4ba50f17-9666-485c-a643-ff00808643f0 |
| 集成服务环境参与者 | 允许管理集成服务环境,但不允许访问这些环境。 | a41e2c5b-bd99-4a07-88f4-9bf657a760b8 |
| 集成服务环境开发人员 | 允许开发人员在集成服务环境中创建和更新工作流、集成帐户与 API 连接。 | c7aa55d3-1abb-444a-a5ca-5e51e485d6ec |
| 智能系统帐户参与者 | 允许管理智能系统帐户,但不允许访问这些帐户。 | 03a6d094-3444-4b3d-88af-7477090a9e5e |
| 逻辑应用参与者 | 允许你管理逻辑应用,但不允许更改对它们的访问权限。 | 87a39d53-fc1b-424a-814c-f7e04687dc9e |
| 逻辑应用操作员 | 允许你读取、启用和禁用逻辑应用,但不允许对其进行编辑或更新。 | 515c2055-d9d4-4321-b1b9-bd0c9a0f79fe |
| 逻辑应用标准参与者(预览版) | 可以管理标准逻辑应用和工作流的各个方面。 不能更改访问权限或所有权。 | ad710c24-b039-4e85-a019-deb4a06e8570 |
| 逻辑应用标准开发人员(预览版) | 可以为标准逻辑应用创建和编辑工作流、连接和设置。 不能在工作流范围之外进行更改。 | 523776ba-4eb2-4600-a3c8-f2dc93da4bdb |
| 逻辑应用标准操作员(预览版) | 你可以启用和禁用逻辑应用、重新提交工作流运行,以及创建连接。 不能编辑工作流或设置。 | b70c96e9-66fe-4c09-b6e7-c98e69c98555 |
| 逻辑应用标准读者(预览版) | 对标准型逻辑应用和工作流中的所有资源(包括工作流运行及其历史记录)具有只读访问权限。 | 4accf36b-2c05-432f-91c8-5c532dff4c73 |
| 计划程序作业集合参与者 | 允许管理计划程序作业集合,但不允许访问这些集合。 | 188a0f2f-5c9e-469b-ae67-2aa5ce574b94 |
| 服务中心操作员 | “服务中心操作员”允许你执行与服务中心连接器相关的所有读取、写入和删除操作。 | 82200a5b-e217-47a5-b665-6d8765ee745b |
Identity
| 内置角色 | Description | ID |
|---|---|---|
| 域服务参与者 | 可以管理 Azure AD 域服务和相关网络配置 | eeaeda52-9324-47f6-8069-5d5bade478b2 |
| 域服务读者 | 可以查看 Azure AD 域服务和相关网络配置 | 361898ef-9ed1-48c2-849c-a832951106bb |
| 托管标识参与者 | 创建、读取、更新和删除用户分配的标识 | e40ec5ca-96e0-45a2-b4ff-59039f2c2b59 |
| 托管标识操作员 | 读取和分配用户分配的标识 | f1a07417-d97a-45cb-824c-7a7467783830 |
安全性
| 内置角色 | Description | ID |
|---|---|---|
| 应用合规性自动化管理员 | 可用于管理 Microsoft 365 的应用合规自动化工具 | 0f37683f-2463-46b6-9ce7-9b788b988ba2 |
| 应用合规性自动化读者 | 允许对 Microsoft 365 的应用合规性自动化工具进行只读访问 | ffc6bbe0-e443-4c3b-bf54-26581bb2f78e |
| 证明参与者 | 可以读写或删除证明提供程序实例 | bbf86eb8-f7b4-4cce-96e4-18cddf81d86e |
| 证明读者 | 可以读取证明提供程序属性 | fd1bd22b-8476-40bc-a0bc-69b95687b9f3 |
| 密钥保管库管理员 | 对密钥保管库以及其中的所有对象(包括证书、密钥和机密)执行所有数据平面操作。 无法管理密钥保管库资源或管理角色分配。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| 密钥保管库用户 | 读取证书内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | db79e9a7-68ee-4b58-9aeb-b90e7c24fcba |
| 密钥保管库主管 | 对密钥保管库的证书执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | a4417e6f-fecd-4de8-b567-7b0420556985 |
| 密钥保管库参与者 | 管理密钥保管库,但不允许在 Azure RBAC 中分配角色,也不允许访问机密、密钥或证书。 | f25e0fa2-a7c8-4377-a976-54943a77a395 |
| 密钥保管库加密主管 | 对密钥保管库的密钥执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| 密钥保管库加密服务终结点用户 | 读取密钥的元数据并执行包装/解包操作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| 密钥保管库加密服务发布用户 | 发布密钥。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 08bbd89e-9f13-488c-ac41-acfcb10c90ab |
| 密钥保管库加密用户 | 使用密钥执行加密操作。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 12338af0-0e69-4776-bea7-57ae8d297424 |
| 密钥保管库数据访问管理员 | 通过添加或删除 Key Vault 管理员、Key Vault 证书主管、Key Vault 加密管理人员、Key Vault 加密服务加密用户、Key Vault 加密用户、Key Vault 加密用户、Key Vault 读取者、Key Vault 机密主管或 Key Vault 机密用户角色来管理对 Azure Key Vault 的访问。 包括用于约束角色分配的 ABAC 条件。 | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
| 密钥保管库读者 | 读取密钥保管库及其证书、密钥和机密的元数据。 无法读取机密内容或密钥材料等敏感值。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 21090545-7ca7-4776-b22c-e363652d74d2 |
| 密钥保管库机密主管 | 对密钥保管库的机密执行任何操作(管理权限除外)。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| 密钥保管库机密用户 | 读取机密内容。 仅适用于使用“Azure 基于角色的访问控制”权限模型的密钥保管库。 | 4633458b-17de-408a-b874-0445c86b69e6 |
| 锁定参与者 | 可以管理锁操作。 | 28bf596f-4eb7-45ce-b5bc-6cf482fec137 |
| 托管 HSM 参与者 | 允许你管理托管 HSM 池,但不允许访问这些池。 | 18500a29-7fe2-46b2-a342-b16a415e101d |
| Microsoft Sentinel 自动化参与者 | Microsoft Sentinel 自动化参与者 | f4c81013-99ee-4d62-a7ee-b3f1f648599a |
| Microsoft Sentinel 参与者 | Microsoft Sentinel 参与者 | ab8e14d6-4a74-4a29-9ba8-549422addade |
| Microsoft Sentinel Playbook 操作员 | Microsoft Sentinel Playbook 操作员 | 51d6186e-6489-4900-b93f-92e23144cca5 |
| Microsoft Sentinel 读者 | Microsoft Sentinel 读取者 | 8d289c81-5878-46d4-8554-54e1e3d8b5cb |
| Microsoft Sentinel 响应者 | Microsoft Sentinel 响应者 | 3e150937-b8fe-4cfb-8069-0eaf05ecd056 |
| 安全管理员 | 查看和更新 Microsoft Defender for Cloud 的权限。 与安全读取者角色相同的权限,但可以创建、更新和删除安全连接器、更新安全策略以及消除警报和建议。 对于 Microsoft Defender for IoT,请参阅用于 OT 和企业 IoT 监视的 Azure 用户角色。 |
fb1c8493-542b-48eb-b624-b4c8fea62acd |
| 安全评估参与者 | 可将评估推送到 Microsoft Defender for Cloud | 612c2aa1-cb24-443b-ac28-3ab7272de6f5 |
| 安全管理员(旧版) | 这是旧角色。 请改用安全管理员角色。 | e3d13bf0-dd5a-482e-ba6b-9b8433878d10 |
| 安全读者 | 查看 Microsoft Defender for Cloud 的权限。 可查看建议、警报、安全策略和安全状态,但不能更改。 对于 Microsoft Defender for IoT,请参阅用于 OT 和企业 IoT 监视的 Azure 用户角色。 |
39bc4728-0917-49c7-9d2c-d95423bc2eb4 |
DevOps
| 内置角色 | Description | ID |
|---|---|---|
| Chaos Studio 实验参与者 | 可以创建、运行和查看实验的详细信息、载入目标并能管理功能。 | 7c2e40b7-25eb-482a-82cb-78ba06cb46d5 |
| Chaos Studio 操作员 | 可以运行和查看实验的详细信息,但无法创建实验或管理目标和功能。 | 1a40e87e-6645-48e0-b27a-0b115d849a20 |
| Chaos Studio 读者 | 可以查看目标、功能、实验和实验详细信息。 | 29e2da8a-229c-4157-8ae8-cc72fc506b74 |
| Chaos Studio 目标参与者 | 可以载入目标和管理功能,但无法创建、运行或查看实验的详细信息 | 59a618e3-3c9a-406e-9f03-1a20dd1c55f1 |
| 部署环境读者 | 提供对环境资源的读取访问权限。 | eb960402-bf75-4cc3-8d68-35b34f960f72 |
| 部署环境用户 | 授权管理环境资源。 | 18e40d4e-8d2e-438d-97e1-9528336e149c |
| DevCenter 开发箱用户 | 授权创建和管理开发箱。 | 45d50f46-0b78-4001-a660-4198cbe8cd05 |
| DevCenter 项目管理员 | 授权管理项目资源。 | 331c37c6-af14-46d9-b9f4-e1909e1b95a0 |
| DevOps 基础结构参与者 | 在托管 DevOps 池上读取、写入、删除和执行操作。 | 76153a9e-0edb-49bc-8e01-93c47e6b5180 |
| 开发测试实验室用户 | 允许连接、启动、重启和关闭 Azure 开发测试实验室中的虚拟机。 | 76283e04-6283-4c54-8f91-bcf1374a3c64 |
| 实验室助手 | 允许查看现有实验室、在实验室 VM 上执行操作,以及向实验室发送邀请。 | ce40b423-cede-4313-a93f-9b28290b72e1 |
| 实验室参与者 | 适用于实验室级别,允许管理实验室。 适用于资源组,允许创建和管理实验室。 | 5daaa2af-1fe8-407c-9122-bba179798270 |
| 实验室创建者 | 允许在 Azure 实验室帐户下新建实验室。 | b97fb8bc-a8b2-4522-a38b-dd33c7e65ead |
| 实验室操作员 | 允许有限地管理现有实验室。 | a36e6959-b6be-4b12-8e9f-ef4b474d304d |
| 实验室服务参与者 | 允许完全控制资源组中的所有实验室服务方案。 | f69b8690-cc87-41d6-b77a-a4bc3c0a966f |
| 实验室服务读者 | 允许查看所有实验室计划和实验室资源,但不允许更改。 | 2a5c394f-5eb7-4d4f-9c8e-e8eae39faebc |
| 负载测试参与者 | 查看、创建、更新、删除和执行负载测试。 查看并列出负载测试资源,但不能进行任何更改。 | 749a398d-560b-491b-bb21-08924219302e |
| 负载测试所有者 | 对负载测试资源和负载测试执行所有操作 | 45bb0b16-2f0c-4e78-afaa-a07599b003f6 |
| 负载测试读者 | 查看并列出所有负载测试和负载测试资源,但不能进行任何更改 | 3ae3fb29-0000-4ccd-bf80-542e7b26e081 |
Monitor
| 内置角色 | Description | ID |
|---|---|---|
| Application Insights 组件参与者 | 可管理 Application Insights 组件 | ae349356-3a1b-4a5e-921d-050484c6347e |
| Application Insights 快照调试者 | 授予用户查看和下载使用 Application Insights Snapshot Debugger 收集的调试快照的权限。 请注意,所有者或参与者角色中未包括这些权限。 向用户提供 Application Insights Snapshot Debugger 角色时,必须将该角色直接授予用户。 当角色添加到自定义角色时,无法识别该角色。 | 08954f03-6346-4c2e-81c0-ec3a5cfae23b |
| Azure 托管 Grafana 工作区参与者 | 可以管理 Azure 托管 Grafana 资源,无需提供对工作区本身的访问权限。 | 5c2d7e57-b7c2-4d8a-be4f-82afa42c6e95 |
| 数据清除者 | 从 Log Analytics 工作区中删除私人数据。 | 150f5e0c-0603-4f03-8c7f-cf70034c4e90 |
| Grafana 管理员 | 管理服务器范围的设置并管理对组织、用户和许可证等资源的访问。 | 22926164-76b3-42b3-bc55-97df8dab3e41 |
| Grafana 编辑者 | 创建、编辑、删除或查看仪表板;创建、编辑或删除文件夹;并编辑或查看播放清单。 | a79a5197-3a5c-4973-a920-486035ffd60f |
| Grafana 有限查看者 | 查看主页。 | 41e04612-9dac-4699-a02b-c82ff2cc3fb5 |
| Grafana 查看者 | 查看仪表板、播放列表和查询数据源。 | 60921a7e-fef1-4a43-9b16-a26c52ad4769 |
| Log Analytics 参与者 | Log Analytics 参与者可以读取所有监视数据并编辑监视设置。 编辑监视设置包括向 VM 添加 VM 扩展、读取存储帐户密钥以便能够从 Azure 存储配置日志收集、添加解决方案以及配置所有 Azure 资源上的 Azure 诊断。 | 92aaf0da-9dab-42b6-94a3-d43ce8d16293 |
| Log Analytics 读者 | Log Analytics 读者可以查看和搜索所有监视数据并查看监视设置,其中包括查看所有 Azure 资源上的 Azure 诊断的配置。 | 73c42c96-874c-492b-b04d-ab87d138a893 |
| 监视参与者 | 可以读取所有监视数据和编辑监视设置。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 749f88d5-cbae-40b8-bcfc-e573ddc772fa |
| 监视指标发布者 | 允许针对 Azure 资源发布指标 | 3913510d-42f4-4e42-8a64-420c390055eb |
| 监视读者 | 可以读取所有监视数据(指标、日志等)。 另请参阅 Azure Monitor 的角色、权限和安全入门。 | 43d0d8ad-25c7-4714-9337-8ba259a9fe05 |
| 工作簿参与者 | 可以保存共享工作簿。 | e8ddcd69-c73f-4f9f-9844-4100522f16ad |
| 工作簿读者 | 可以读取工作簿。 | b279062a-9be3-42a0-92ae-8b3cf002ec4d |
管理和治理
| 内置角色 | Description | ID |
|---|---|---|
| 顾问建议参与者(评估和评论) | 查看评估建议、接受的评审建议并管理建议生命周期(将建议标记为已完成、推迟或取消、正在进行或未启动)。 | 6b534d80-e337-47c4-864f-140f5c7f593d |
| 顾问评审参与者 | 查看针对工作负载的评审并会审与之关联的建议。 | 8aac15f0-d885-4138-8afa-bfb5872f7d13 |
| 顾问评审读者 | 查看针对工作负载的评审以及与之关联的建议。 | c64499e0-74c3-47ad-921c-13865957895c |
| 自动化参与者 | 使用 Azure 自动化管理 Azure 自动化资源和其他资源。 | f353d9bd-d4a6-484e-a77a-8050b599b867 |
| 自动化作业操作员 | 使用自动化 Runbook 创建和管理作业。 | 4fe576fe-1146-4730-92eb-48519fa6bf9f |
| 自动化操作员 | 自动化操作员能够启动、停止、暂停和恢复作业 | d3881f73-407a-4167-8283-e981cbba0404 |
| 自动化 Runbook 操作员 | 读取 Runbook 属性 - 以能够创建 runbook 的作业。 | 5fb5aef8-1081-4b8e-bb16-9d5d0385bab5 |
| Azure SAP 解决方案中心管理员 | 此角色提供对 Azure SAP 解决方案中心的所有功能的读取和写入访问权限。 | 7b0c7e81-271f-4c71-90bf-e30bdfdbc2f7 |
| Azure SAP 解决方案中心读者 | 此角色提供对 Azure SAP 解决方案中心的所有功能的读取访问权限。 | 05352d14-a920-4328-a0de-4cbe7430e26b |
| Azure SAP 解决方案中心服务角色 | Azure SAP 解决方案中心服务角色 - 此角色旨在用于向用户分配的托管标识提供权限。 Azure SAP 解决方案中心将使用此标识来部署和管理 SAP 系统。 | aabbc5dd-1af0-458b-a942-81af88f9c138 |
| Azure Connected Machine 加入 | 可以加入 Azure Connected Machine。 | b64e21ea-ac4e-4cdf-9dc9-5b892992bee7 |
| Azure Connected Machine 资源管理员 | 可以读取、写入、删除和重新加入 Azure Connected Machine。 | cd570a14-e51a-42ad-bac8-bafd67325302 |
| Azure Connected Machine 资源管理器 | Azure 本地资源提供程序 (Microsoft.AzureStackHCI Resource Provider) 的自定义角色,用于管理资源组中的混合计算计算机和混合连接终结点 | f5819b54-e033-4d82-ac66-4fec3cbf3f4c |
| Azure 客户密码箱订阅审批者 | 当订阅所在的租户上启用了 Microsoft Azure 的客户密码箱时,可以批准 Microsoft 支持请求以访问订阅中包含的特定资源或订阅本身。 | 4dae6930-7baf-46f5-909e-0383bc931c46 |
| 账单读者 | 允许对帐单数据进行读取访问 | fa23ad8b-c56e-40d8-ac0c-ce449e1d2c64 |
| 蓝图参与者 | 可以管理蓝图定义,但不能对其进行分配。 | 41077137-e803-4205-871c-5a86e6a753b4 |
| 蓝图操作员 | 可以指定现有已发布的蓝图,但不能创建新的蓝图。 请注意,仅当使用用户分配的托管标识完成分配时,此操作才有效。 | 437d2ced-4a38-4302-8479-ed2bcb43d090 |
| 碳优化读者 | 允许对 Azure 碳优化数据进行读取访问 | fa0d39e6-28e5-40cf-8521-1eb320653a4c |
| 成本管理参与者 | 可以查看成本和管理成本配置(例如预算、导出) | 434105ed-43f6-45c7-a02f-909b2ba83430 |
| 成本管理读者 | 可以查看成本数据和配置(例如预算、导出) | 72fafb9e-0641-4937-9268-a91bfd8191a3 |
| 层次结构设置管理员 | 允许用户编辑和删除层次结构设置 | 350f8d15-c687-4448-8ae1-157740a3936d |
| 托管应用程序参与者角色 | 允许创建托管应用程序资源。 | 641177b8-a67a-45b9-a033-47bc880bb21e |
| 托管应用程序操作员角色 | 可让你在托管应用程序资源上读取和执行操作 | c7393b34-138c-406f-901b-d8cf2b17e6ae |
| 托管应用程序发布者操作员 | 允许发布者读取托管应用程序的托管资源组中的资源,并请求对其他操作进行 JIT 访问。 此角色仅由托管应用程序服务用来提供对发布者的访问权限。 | b9331d33-8a36-4f8c-b097-4f54124fdb44 |
| 托管服务注册分配删除角色 | 托管服务注册分配删除角色允许管理租户用户删除分配给其租户的注册分配。 | 91c1777a-f3dc-4fae-b103-61d183457e46 |
| 管理组参与者 | 管理组参与者角色 | 5d58bcaf-24a5-4b20-bdb6-eed9f69fbe4c |
| 管理组读者 | 管理组读取者角色 | ac63b705-f282-497d-ac71-919bf39d939d |
| New Relic APM 帐户参与者 | 允许管理 New Relic 应用程序性能管理帐户和应用程序,但不允许访问它们。 | 5d28c62d-5b37-4476-8438-e587778df237 |
| 策略见解数据写入者(预览版) | 允许对资源策略进行读取访问,并允许对资源组件策略事件进行写入访问。 | 66bb4e9e-b016-4a94-8249-4c0511c2be84 |
| 配额请求操作员 | 读取和创建配额请求,获取配额请求状态并创建支持票证。 | 0e5f05e5-9ab9-446b-b98d-1e2157c94125 |
| 预留买方 | 允许你购买预留项 | f7b75c60-3036-4b75-91c3-6b41c27c1689 |
| 预留读者 | 允许用户读取租户中的所有预留 | 582fc458-8989-419f-a480-75249bc5db7e |
| 资源策略参与者 | 具有创建/修改资源策略、创建支持票证和读取资源/层次结构权限的用户。 | 36243c78-bf99-498c-9df9-86d9f8d28608 |
| 节省计划买方 | 允许购买节省计划 | 3d24a3a0-c154-4f6f-a5ed-adc8e01ddb74 |
| 计划修补参与者 | 提供访问权限以管理具有维护范围 InGuestPatch 和相应配置分配的维护配置 | cd08ab90-6b14-449c-ad9a-8f8e549482c6 |
| 服务组管理员 | 管理服务组和关系的各个方面。 创建服务组时分配给用户的默认角色。 包括用于约束角色分配的 ABAC 条件。 | 4e50c84c-c78e-4e37-b47e-e60ffea0a775 |
| 服务组参与者 | 管理所有服务组和关系方面,但不允许您分配角色。 | 32e6a4ec-6095-4e37-b54b-12aa350ba81f |
| 服务组读取器 | 查看服务组并查看其依赖关系。 | de754d53-652d-4c75-a67f-1e48d8b49c97 |
| 站点恢复参与者 | 允许管理除保管库创建和角色分配外的 Site Recovery 服务 | 6670b86e-a3f7-4917-ac9b-5d6ab1be4567 |
| 站点恢复操作员 | 允许进行故障转移和故障回复,但不允许执行其他 Site Recovery 管理操作 | 494ae006-db33-4328-bf46-533a6560a3ca |
| 站点恢复读者 | 允许查看 Site Recovery 状态,但不允许执行其他管理操作 | dbaa88c4-0c30-4179-9fb3-46319faa6149 |
| 支持请求参与者 | 允许创建和管理支持请求 | cfd33db0-3dd1-45e3-aa9d-cdbdf3b6f24e |
| 标记参与者 | 允许用户管理实体上的标记,而无需提供对实体本身的访问权限。 | 4a9ae827-6dc8-4573-8ac7-8239d42aa03f |
| 模板规格参与者 | 允许在分配的范围内对模板规格操作进行完全访问。 | 1c9b6475-caf0-4164-b5a1-2142a7116f4b |
| 模板规格读者 | 允许在分配的范围内对模板规格进行读取访问。 | 392ae280-861d-42bd-9ea5-08ee6d83b80e |
混合 + 多云
| 内置角色 | Description | ID |
|---|---|---|
| Arc 网关管理器 | 管理 Arc 网关资源 | f6e92014-8af2-414d-9948-9b1abf559285 |
| Azure Arc ScVmm 管理员角色 | Arc ScVmm VM 管理员有权执行所有 ScVmm 操作。 | a92dfd61-77f9-4aec-a531-19858b406c87 |
| Azure Arc ScVmm 私有云用户 | Azure Arc ScVmm 私有云用户有权使用 ScVmm 资源部署 VM。 | c0781e91-8102-4553-8951-97c6d4243cda |
| Azure Arc ScVmm 私有云入驻 | Azure Arc ScVmm 私有云加入角色有权预配所需的所有资源,以在 Azure 中加入和去除 vmm 服务器实例。 | 6aac74c4-6311-40d2-bbdd-7d01e7c6e3a9 |
| Azure Arc ScVmm VM 参与者 | Arc ScVmm VM 贡献者有权执行所有虚拟机操作。 | e582369a-e17b-42a5-b10c-874c387c530b |
| Azure 资源网桥部署角色 | Azure 资源桥部署角色仅用于 Azure Stack HCI。 | 7b1f81f9-4196-4058-8aae-762e593270df |
| Azure Stack HCI 管理员 | 授予对群集及其资源的完全访问权限,包括注册 Azure Local 并将其他人分配为 Azure Stack HCI VM 参与者和/或 Azure Stack HCI VM 读者的功能 | bda0d508-adf1-4af0-9c28-88919fc3ae06 |
| Azure Stack HCI 连接的 InfraVM | Azure Stack HCI 基础结构虚拟机的 Arc 集成角色。 | c99c945f-8bd1-4fb1-a903-01460aae6068 |
| Azure Stack HCI 设备管理角色 | Microsoft.AzureStackHCI 设备管理角色 | 865ae368-6a45-4bd1-8fbf-0d5151f56fc1 |
| Azure Stack HCI VM 参与者 | 授予执行所有 VM 操作的权限 | 874d1c73-6003-4e60-a13a-cb31ea190a85 |
| Azure Stack HCI VM 读者 | 授予查看 VM 的权限 | 4b3fe76c-f777-4d24-a2d7-b027b0f7b273 |
| Azure Stack 注册所有者 | 允许管理 Azure Stack 注册。 | 6f12a6df-dd06-4f3e-bcb1-ce8be600526a |
| 混合服务器资源管理员 | 可以读取、写入、删除混合服务器,并将其重新载入到混合资源提供程序中。 | 48b40c6e-82e0-4eb3-90d5-19e40f49b624 |