Freigeben über


Berechtigungsanforderungen für den Dienstconnector

Wenn Sie den Dienstconnector zum Erstellen von Verbindungen zwischen Azure-Diensten verwenden, müssen Sie sicherstellen, dass die erforderlichen Berechtigungen erteilt werden. In diesem Dokument werden die Berechtigungsanforderungen für verschiedene Azure-Ressourcen beschrieben, um die nahtlose Erstellung von Verbindungen zu ermöglichen.

Der Dienstconnector erstellt mit einem On-Behalf-of Token Verbindungen zwischen Azure-Diensten.

Für das Erstellen von Verbindungen mit Azure-Ressourcen sind entsprechende Berechtigungen erforderlich.

App Service

Aktion Beschreibung
Microsoft.Web/sites/config/write Dient zum Aktualisieren der Konfigurationseinstellungen der Web-App.
Microsoft.web/sites/config/delete Dient zum Löschen der Web-App-Konfiguration.
Microsoft.Web/sites/config/list/action Dient zum Auflisten der sicherheitsrelevanten Einstellungen der Web-App. Hierzu zählen etwa Veröffentlichungsanmeldeinformationen, App-Einstellungen und Verbindungszeichenfolgen.
Microsoft.Web/sites/config/Read Dient zum Abrufen von Web-App-Konfigurationseinstellungen.
Microsoft.Web/sites/write Dient zum Erstellen einer neuen Web-App oder zum Aktualisieren einer bereits vorhandenen.
Microsoft.Web/sites/read Dient zum Abrufen der Eigenschaften einer Web-App.

Webapp-Slot

Aktion Beschreibung
Microsoft.Web/sites/slots/Write Dient zum Erstellen eines neuen Web-App-Slots oder zum Aktualisieren eines bereits vorhandenen.
Microsoft.Web/sites/slots/Read Dient zum Abrufen der Eigenschaften eines Web-App-Bereitstellungsslots.
Microsoft.Web/sites/slots/config/Read Dient zum Abrufen der Konfigurationseinstellungen des Web-App-Slots.
Microsoft.Web/sites/slots/config/Write Dient zum Aktualisieren der Konfigurationseinstellungen des Web-App-Slots.
microsoft.web/sites/slots/config/delete Dient zum Löschen der Konfiguration von Web-App-Slots.
Microsoft.Web/sites/slots/config/list/Action Dient zum Auflisten der sicherheitsrelevanten Einstellungen des Web-App-Slots. Hierzu zählen etwa Veröffentlichungsanmeldeinformationen, App-Einstellungen und Verbindungszeichenfolgen.

Azure Spring-App

Aktion Beschreibung
Microsoft.AppPlatform/Spring/read Ruft Azure Spring Apps-Dienstinstanzen ab.
Microsoft.AppPlatform/Spring/apps/read Ruft die Anwendung für eine bestimmte Azure Spring Apps-Dienstinstanz ab.
Microsoft.AppPlatform/Spring/apps/write Erstellt oder aktualisiert die Anwendung für eine bestimmte Azure Spring Apps-Dienstinstanz.
Microsoft.AppPlatform/Spring/apps/deployments/*/read Ruft die Bereitstellung für eine bestimmte Anwendung ab
Microsoft.AppPlatform/Spring/apps/deployments/*/write Erstellt oder aktualisiert die Bereitstellung für eine bestimmte Anwendung
Microsoft.AppPlatform/Spring/apps/deployments/*/delete Löscht die Bereitstellung für eine bestimmte Anwendung

Azure Container Apps

Aktion Beschreibung
Microsoft.App/containerApps/read Abrufen einer Container-App
Microsoft.App/containerApps/write Erstellen oder Aktualisieren einer Container-App
Microsoft.App/containerApps/listsecrets/action Auflisten von Geheimnissen einer Container-App
Microsoft.App/managedEnvironments/read Abrufen einer verwalteten Umgebung
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Abrufen des Status eines zeitintensiven Vorgangs in einer verwalteten Umgebung
microsoft.app/locations/containerappoperationstatuses/read Abrufen des Status eines zeitintensiven Vorgangs in einer Container-App
microsoft.app/locations/containerappoperationresults/read Abrufen des Ergebnisses eines zeitintensiven Vorgangs in einer Container-App
microsoft.app/locations/managedenvironmentoperationresults/read Abrufen des Ergebnisses eines zeitintensiven Vorgangs in einer verwalteten Umgebung

Dapr in Azure Container Apps

Aktion Beschreibung
Microsoft.App/managedEnvironments/daprComponents/read Lesen der Dapr-Komponente einer verwalteten Umgebung
Microsoft.App/managedEnvironments/daprComponents/write Erstellen oder Aktualisieren der Dapr-Komponente einer verwalteten Umgebung
Microsoft.App/managedEnvironments/daprComponents/delete Löschen der Dapr-Komponente einer verwalteten Umgebung

Azure Cache for Redis

Aktion Beschreibung
Microsoft.Cache/redis/read Dient zum Anzeigen der Redis Cache-Einstellungen und -Konfiguration im Verwaltungsportal.
Microsoft.Cache/redis/firewallRules/read Dient zum Abrufen der IP-Firewallregeln einer Redis Cache-Instanz.
Microsoft.Cache/redis/firewallRules/write Dient zum Bearbeiten der IP-Firewallregeln einer Redis Cache-Instanz.
Microsoft.Cache/redis/firewallRules/delete Dient zum Löschen der IP-Firewallregeln einer Redis Cache-Instanz.
Microsoft.Cache/redis/listKeys/action Dient zum Anzeigen des Werts von Redis Cache-Zugriffsschlüsseln im Verwaltungsportal.

Azure Cache for Redis-Enterprise

Aktion Beschreibung
Microsoft.Cache/redisEnterprise/read Einstellungen und Konfiguration des Redis Enterprise-Caches im Verwaltungsportal anzeigen
Microsoft.Cache/redisEnterprise/databases/read Einstellungen und Konfiguration der Redis Enterprise-Cachedatenbank im Verwaltungsportal anzeigen
Microsoft.Cache/redisEnterprise/databases/listKeys/action Zeigt den Wert von Zugriffsschlüsseln der Redis Enterprise-Datenbank im Verwaltungsportal an.

Azure Database for PostgreSQL

Azure Database for PostgreSQL

Aktion Beschreibung
Microsoft.DBforPostgreSQL/servers/firewallRules/read Gibt die Liste der Firewallregeln für einen Server zurück oder ruft die Eigenschaften für die angegebene Firewallregel ab.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Erstellt eine Firewallregel mit den angegebenen Parametern oder aktualisiert eine vorhandene Regel.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Löscht eine vorhandene Firewallregel.
Microsoft.DBForPostgreSQL/servers/read Gibt die Liste der Server zurück oder ruft die Eigenschaften für den angegebenen Server ab.
Microsoft.DBForPostgreSQL/servers/databases/read Gibt die Liste der PostgreSQL-Datenbanken zurück oder ruft die Eigenschaften für die angegebene Datenbank ab
Microsoft.DBforPostgreSQL/servers/write Erstellt einen Server mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Markierungen für den angegebenen Server.

Azure Database for PostgreSQL (Dienstendpunkt)

Aktion Beschreibung
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Gibt die Liste der VNET-Regeln zurück oder ruft die Eigenschaften für die angegebene VNET-Regel ab.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Erstellt eine VNET-Regel mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Markierungen für die angegebene VNET-Regel.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Löscht eine vorhandene VNET-Regel.

Azure Database for PostgreSQL – Flexibler Server

Aktion Beschreibung
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Gibt die Liste der Firewallregeln für einen Server zurück oder ruft die Eigenschaften für die angegebene Firewallregel ab.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Erstellt eine Firewallregel mit den angegebenen Parametern oder aktualisiert eine vorhandene Regel.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Löscht eine vorhandene Firewallregel.
Microsoft.DBForPostgreSQL/flexibleServers/read Gibt die Liste der Server zurück oder ruft die Eigenschaften für den angegebenen Server ab.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Gibt die Liste der PostgreSQL-Server-Datenbanken zurück oder ruft die Datenbank für den angegebenen Server ab.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Gibt die Liste der PostgreSQL-Serverkonfigurationen zurück oder ruft die Konfigurationen für den angegebenen Server ab.

Azure Database for MySQL

Aktion Beschreibung
Microsoft.DBforMySQL/servers/firewallRules/read Gibt die Liste der Firewallregeln für einen Server zurück oder ruft die Eigenschaften für die angegebene Firewallregel ab.
Microsoft.DBforMySQL/servers/firewallRules/write Erstellt eine Firewallregel mit den angegebenen Parametern oder aktualisiert eine vorhandene Regel.
Microsoft.DBforMySQL/servers/firewallRules/delete Löscht eine vorhandene Firewallregel.
Microsoft.DBforMySQL/servers/read Gibt die Liste der Server zurück oder ruft die Eigenschaften für den angegebenen Server ab.
Microsoft.DBforMySQL/servers/databases/read Gibt die Liste der MySQL-Datenbanken zurück oder ruft die Eigenschaften für die angegebene Datenbank ab
Microsoft.DBforMySQL/servers/write Erstellt einen Server mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Markierungen für den angegebenen Server.

Azure Database for MySQL (Dienstendpunkt)

Aktion Beschreibung
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Gibt die Liste der VNET-Regeln zurück oder ruft die Eigenschaften für die angegebene VNET-Regel ab.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Erstellt eine VNET-Regel mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Markierungen für die angegebene VNET-Regel.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Löscht eine vorhandene VNET-Regel.

Azure Database for MySQL: Flexibler Server

Aktion Beschreibung
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Gibt die Liste der Firewallregeln für einen Server zurück oder ruft die Eigenschaften für die angegebene Firewallregel ab.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Erstellt eine Firewallregel mit den angegebenen Parametern oder aktualisiert eine vorhandene Regel.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Löscht eine vorhandene Firewallregel.
Microsoft.DBforMySQL/flexibleServers/read Gibt die Liste der Server zurück oder ruft die Eigenschaften für den angegebenen Server ab.
Microsoft.DBforMySQL/flexibleServers/databases/read Gibt die Liste der Datenbanken für einen Server zurück oder ruft die Eigenschaften für die angegebene Datenbank ab.
Microsoft.DBforMySQL/flexibleServers/configurations/read Gibt die Liste der MySQL-Serverkonfigurationen zurück oder ruft die Konfigurationen für den angegebenen Server ab.

Azure App Configuration

Aktion Beschreibung
Microsoft.AppConfiguration/configurationStores/ListKeys/action Listet die API-Schlüssel für den angegebenen Konfigurationsspeicher auf.
Microsoft.AppConfiguration/configurationStores/read Ruft die Eigenschaften des angegebenen Konfigurationsspeichers ab oder listet alle Konfigurationsspeicher unter der angegebenen Ressourcengruppe bzw. dem angegebenen Abonnement auf.

Azure Event Hubs

Aktion Beschreibung
Microsoft.EventHub/namespaces/read Dient zum Abrufen der Liste mit Beschreibungen für Namespaceressourcen.
Microsoft.EventHub/namespaces/ipFilterRules/read Ruft eine IP-Filterressource ab.
Microsoft.EventHub/namespaces/ipFilterRules/write Erstellt eine IP-Filterressource.
Microsoft.EventHub/namespaces/ipFilterRules/delete Löscht eine IP-Filterressource.
Microsoft.EventHub/namespaces/networkrulesets/read Ruft die NetworkRuleSet-Ressource ab
Microsoft.EventHub/namespaces/networkrulesets/write Erstellt eine VNET-Regelressource.
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action Dient zum Abrufen der Verbindungszeichenfolge für den Namespace.

Azure Service Bus

Aktion Beschreibung
Microsoft.ServiceBus/namespaces/read Dient zum Abrufen der Liste mit Beschreibungen für Namespaceressourcen.
Microsoft.ServiceBus/namespaces/ipFilterRules/read Ruft eine IP-Filterressource ab.
Microsoft.ServiceBus/namespaces/ipFilterRules/write Erstellt eine IP-Filterressource.
Microsoft.ServiceBus/namespaces/ipFilterRules/delete Löscht eine IP-Filterressource.
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action Dient zum Abrufen der Verbindungszeichenfolge für den Namespace.
Microsoft.ServiceBus/namespaces/networkrulesets/read Ruft die NetworkRuleSet-Ressource ab
Microsoft.ServiceBus/namespaces/networkrulesets/write Erstellt eine VNET-Regelressource.

Azure Blob Storage

Aktion Beschreibung
Microsoft.Storage/storageAccounts/read Gibt die Liste mit Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab.
Microsoft.Storage/storageAccounts/write Erstellt ein Speicherkonto mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Tags oder fügt eine benutzerdefinierte Domäne zum angegebenen Speicherkonto hinzu.
Microsoft.Storage/storageAccounts/listkeys/action Gibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück.

Azure SignalR Service

Aktion Beschreibung
Microsoft.SignalRService/SignalR/read Zeigt die SignalR-Einstellungen und Konfigurationen im Verwaltungsportal oder über die API an.
Microsoft.SignalRService/SignalR/write Bearbeitet die SignalR-Einstellungen und Konfigurationen im Verwaltungsportal oder über die API.
Microsoft.SignalRService/locations/operationresults/signalr/read Fragt die Ergebnisse eines standortbasierten asynchronen Vorgangs ab
Microsoft.SignalRService/locations/operationStatuses/signalr/read Fragt den Status eines standortbasierten asynchronen Vorgangs ab
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action Zeigt den Wert von SignalR-Zugriffsschlüsseln im Verwaltungsportal oder über die API an.

Azure Web PubSub-Dienst

Aktion Beschreibung
Microsoft.SignalRService/WebPubSub/read Zeigt die Einstellungen und Konfigurationen von WebPubSub im Verwaltungsportal oder über die API an.
Microsoft.SignalRService/WebPubSub/write Ändert die Einstellungen und Konfigurationen von WebPubSub im Verwaltungsportal oder über die API.
Microsoft.SignalRService/locations/operationresults/webpubsub/read Fragt die Ergebnisse eines standortbasierten asynchronen Vorgangs ab
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Fragt den Status eines standortbasierten asynchronen Vorgangs ab
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read Zeigt den Wert von WebPubSub-Zugriffsschlüsseln im Verwaltungsportal oder über die API an.
Microsoft.SignalRService/WebPubSub/listkeys/action Zeigt den Wert von WebPubSub-Zugriffsschlüsseln im Verwaltungsportal oder über die API an.

Azure Cosmos DB

Warnung

Microsoft empfiehlt, immer den sichersten Authentifizierungsflow zu verwenden. Der in diesem Verfahren beschriebene Authentifizierungsflow erfordert ein sehr hohes Maß an Vertrauen in die Anwendung und birgt Risiken, die bei anderen Flows nicht vorhanden sind. Sie sollten diesen Flow nur verwenden, wenn andere sicherere Flows (z. B. verwaltete Identitäten) nicht anwendbar sind.

Aktion Beschreibung
Microsoft.DocumentDB/databaseAccounts/read Liest ein Datenbankkonto.
Microsoft.DocumentDB/databaseAccounts/write Dient zum Aktualisieren von Datenbankkonten.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action Dient zum Abrufen der Verbindungszeichenfolgen für ein Datenbankkonto.
Microsoft.DocumentDB/databaseAccounts/listKeys/action Dient zum Auflisten von Schlüsseln eines Datenbankkontos.

Azure SQL-Datenbank

Aktion Beschreibung
Microsoft.Sql/servers/firewallRules/read Gibt die Liste der Serverfirewallregeln zurück oder ruft die Eigenschaften für die angegebene Serverfirewallregel ab.
Microsoft.Sql/servers/firewallRules/write Erstellt eine Serverfirewallregel mit den angegebenen Parametern, aktualisiert die Eigenschaften für die angegebene Regel oder überschreibt alle vorhandenen Regeln durch neue Serverfirewallregel.
Microsoft.Sql/servers/firewallRules/delete Löscht eine vorhandene Serverfirewallregel.
Microsoft.Sql/servers/databases/read Gibt die Liste der Datenbanken zurück oder ruft die Eigenschaften für die angegebene Datenbank ab.
Microsoft.Sql/servers/read Gibt die Liste der Server zurück oder ruft die Eigenschaften für den angegebenen Server ab.
Microsoft.Sql/servers/virtualNetworkRules/read Gibt die Liste der VNET-Regeln zurück oder ruft die Eigenschaften für die angegebene VNET-Regel ab.
Microsoft.Sql/servers/virtualNetworkRules/write Erstellt eine VNET-Regel mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Markierungen für die angegebene VNET-Regel.
Microsoft.Sql/servers/virtualNetworkRules/delete Löscht eine vorhandene VNET-Regel.

Azure Key Vault

Aktion Beschreibung
Microsoft.KeyVault/vaults/write Dient zum Erstellen eines neuen Schlüsseltresors oder zum Aktualisieren der Eigenschaften eines vorhandenen Schlüsseltresors. Bestimmte Eigenschaften erfordern möglicherweise mehr Berechtigungen.
Microsoft.KeyVault/vaults/read Dient zum Anzeigen der Eigenschaften eines Schlüsseltresors.
Microsoft.KeyVault/vaults/secrets/write Erstellt ein neues Geheimnis oder aktualisiert den Wert eines vorhandenen Geheimnisses.
Microsoft.KeyVault/vaults/accessPolicies/write Aktualisiert eine vorhandene Zugriffsrichtlinie durch Zusammenführen oder Ersetzen oder fügt dem Schlüsseltresor eine neue Zugriffsrichtlinie hinzu.

Azure Cosmos DB

Aktion Beschreibung
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Lesen einer SQL-Rollendefinition
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Erstellen oder Aktualisieren einer SQL-Rollendefinition
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Löschen einer SQL-Rollenzuweisung

Dienstconnector muss möglicherweise Berechtigungen für eine verwaltete Identität oder einen Dienstprinzipal erteilen, wenn eine Verbindung mit diesen als Authentifizierungstyp hergestellt wird. In der folgenden Tabelle sind die Berechtigungsanforderungen zum Herstellen einer Verbindung in diesem Szenario aufgeführt.

Aktion Beschreibung
Microsoft.Authorization/roleAssignments/read Dient zum Abrufen von Informationen zu einer Rollenzuweisung.
Microsoft.Authorization/roleAssignments/write Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich.
Microsoft.Authorization/roleAssignments/delete Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich.

Verbindung mit benutzerseitig zugewiesenen verwalteten Identitäten

Dienstconnector muss möglicherweise Berechtigungen für eine benutzerseitig zugewiesene verwaltete Identität erteilen, wenn eine Verbindung mit dieser als Authentifizierungstyp hergestellt wird. In der folgenden Tabelle sind die Berechtigungsanforderungen zum Herstellen einer Verbindung in diesem Szenario aufgeführt.

Aktion Beschreibung
Microsoft.ManagedIdentity/userAssignedIdentities/read Ruft eine vorhandene zugewiesene Benutzeridentität ab.
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action RBAC-Aktion für das Zuweisen einer vorhandenen Identität, die einem Benutzer zugewiesen ist, zu einer Ressource
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Abrufen oder Auflisten der Anmeldeinformationen für Verbundidentität
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Erstellen oder Aktualisieren von Anmeldeinformationen für eine Verbundidentität
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Löschen von Anmeldeinformationen für eine Verbundidentität

Service Connector muss möglicherweise Berechtigungen für Ihre Identität erteilen, wenn eine Verbindung mit einem privatem Endpunkt oder Dienstendpunkt als Netzwerklösung hergestellt wird. In der folgenden Tabelle sind die Berechtigungsanforderungen zum Herstellen einer Verbindung in diesem Szenario aufgeführt.

Aktion Beschreibung
Microsoft.Network/publicIPAddresses/read Ruft eine Definition für eine öffentliche IP-Adresse ab.
Microsoft.Network/virtualNetworks/subnets/read Ruft eine Subnetzdefinition für virtuelle Netzwerke ab.
Microsoft.Network/virtualNetworks/subnets/write Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke.
Microsoft.Network/privateEndpoints/read Ruft eine private Endpunktressource ab.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Verknüpft Ressourcen wie etwa ein Speicherkonto oder eine SQL-Datenbank mit einem Subnetz. Nicht warnbar.
Microsoft.Network/networkSecurityGroups/join/action Verknüpft eine Netzwerksicherheitsgruppe. Nicht warnbar.
Microsoft.Network/serviceEndpointPolicies/join/action Verknüpft eine Dienstendpunktrichtlinie. Nicht warnbar.
Microsoft.Network/natGateways/join/action Stellt eine Verknüpfung mit einem NAT-Gateway her
Microsoft.Network/networkIntentPolicies/join/action Verknüpft eine Netzwerkabsichtsrichtlinie. Nicht warnbar.
Microsoft.Network/networkSecurityGroups/join/action Verknüpft eine Netzwerksicherheitsgruppe. Nicht warnbar.
Microsoft.Network/routeTables/join/action Verknüpft eine Routingtabelle. Nicht warnbar.