Berechtigungsanforderungen für den Dienstconnector
Artikel
Wenn Sie den Dienstconnector zum Erstellen von Verbindungen zwischen Azure-Diensten verwenden, müssen Sie sicherstellen, dass die erforderlichen Berechtigungen erteilt werden. In diesem Dokument werden die Berechtigungsanforderungen für verschiedene Azure-Ressourcen beschrieben, um die nahtlose Erstellung von Verbindungen zu ermöglichen.
Der Dienstconnector erstellt mit einem On-Behalf-of Token Verbindungen zwischen Azure-Diensten.
Für das Erstellen von Verbindungen mit Azure-Ressourcen sind entsprechende Berechtigungen erforderlich.
App Service
Aktion
Beschreibung
Microsoft.Web/sites/config/write
Dient zum Aktualisieren der Konfigurationseinstellungen der Web-App.
Microsoft.web/sites/config/delete
Dient zum Löschen der Web-App-Konfiguration.
Microsoft.Web/sites/config/list/action
Dient zum Auflisten der sicherheitsrelevanten Einstellungen der Web-App. Hierzu zählen etwa Veröffentlichungsanmeldeinformationen, App-Einstellungen und Verbindungszeichenfolgen.
Microsoft.Web/sites/config/Read
Dient zum Abrufen von Web-App-Konfigurationseinstellungen.
Microsoft.Web/sites/write
Dient zum Erstellen einer neuen Web-App oder zum Aktualisieren einer bereits vorhandenen.
Microsoft.Web/sites/read
Dient zum Abrufen der Eigenschaften einer Web-App.
Webapp-Slot
Aktion
Beschreibung
Microsoft.Web/sites/slots/Write
Dient zum Erstellen eines neuen Web-App-Slots oder zum Aktualisieren eines bereits vorhandenen.
Microsoft.Web/sites/slots/Read
Dient zum Abrufen der Eigenschaften eines Web-App-Bereitstellungsslots.
Microsoft.Web/sites/slots/config/Read
Dient zum Abrufen der Konfigurationseinstellungen des Web-App-Slots.
Microsoft.Web/sites/slots/config/Write
Dient zum Aktualisieren der Konfigurationseinstellungen des Web-App-Slots.
microsoft.web/sites/slots/config/delete
Dient zum Löschen der Konfiguration von Web-App-Slots.
Microsoft.Web/sites/slots/config/list/Action
Dient zum Auflisten der sicherheitsrelevanten Einstellungen des Web-App-Slots. Hierzu zählen etwa Veröffentlichungsanmeldeinformationen, App-Einstellungen und Verbindungszeichenfolgen.
Azure Spring-App
Aktion
Beschreibung
Microsoft.AppPlatform/Spring/read
Ruft Azure Spring Apps-Dienstinstanzen ab.
Microsoft.AppPlatform/Spring/apps/read
Ruft die Anwendung für eine bestimmte Azure Spring Apps-Dienstinstanz ab.
Microsoft.AppPlatform/Spring/apps/write
Erstellt oder aktualisiert die Anwendung für eine bestimmte Azure Spring Apps-Dienstinstanz.
Ruft die Eigenschaften des angegebenen Konfigurationsspeichers ab oder listet alle Konfigurationsspeicher unter der angegebenen Ressourcengruppe bzw. dem angegebenen Abonnement auf.
Azure Event Hubs
Aktion
Beschreibung
Microsoft.EventHub/namespaces/read
Dient zum Abrufen der Liste mit Beschreibungen für Namespaceressourcen.
Gibt die Liste mit Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab.
Microsoft.Storage/storageAccounts/write
Erstellt ein Speicherkonto mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Tags oder fügt eine benutzerdefinierte Domäne zum angegebenen Speicherkonto hinzu.
Microsoft.Storage/storageAccounts/listkeys/action
Gibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück.
Azure SignalR Service
Aktion
Beschreibung
Microsoft.SignalRService/SignalR/read
Zeigt die SignalR-Einstellungen und Konfigurationen im Verwaltungsportal oder über die API an.
Microsoft.SignalRService/SignalR/write
Bearbeitet die SignalR-Einstellungen und Konfigurationen im Verwaltungsportal oder über die API.
Zeigt den Wert von WebPubSub-Zugriffsschlüsseln im Verwaltungsportal oder über die API an.
Azure Cosmos DB
Warnung
Microsoft empfiehlt, immer den sichersten Authentifizierungsflow zu verwenden. Der in diesem Verfahren beschriebene Authentifizierungsflow erfordert ein sehr hohes Maß an Vertrauen in die Anwendung und birgt Risiken, die bei anderen Flows nicht vorhanden sind. Sie sollten diesen Flow nur verwenden, wenn andere sicherere Flows (z. B. verwaltete Identitäten) nicht anwendbar sind.
Dient zum Auflisten von Schlüsseln eines Datenbankkontos.
Azure SQL-Datenbank
Aktion
Beschreibung
Microsoft.Sql/servers/firewallRules/read
Gibt die Liste der Serverfirewallregeln zurück oder ruft die Eigenschaften für die angegebene Serverfirewallregel ab.
Microsoft.Sql/servers/firewallRules/write
Erstellt eine Serverfirewallregel mit den angegebenen Parametern, aktualisiert die Eigenschaften für die angegebene Regel oder überschreibt alle vorhandenen Regeln durch neue Serverfirewallregel.
Microsoft.Sql/servers/firewallRules/delete
Löscht eine vorhandene Serverfirewallregel.
Microsoft.Sql/servers/databases/read
Gibt die Liste der Datenbanken zurück oder ruft die Eigenschaften für die angegebene Datenbank ab.
Microsoft.Sql/servers/read
Gibt die Liste der Server zurück oder ruft die Eigenschaften für den angegebenen Server ab.
Microsoft.Sql/servers/virtualNetworkRules/read
Gibt die Liste der VNET-Regeln zurück oder ruft die Eigenschaften für die angegebene VNET-Regel ab.
Microsoft.Sql/servers/virtualNetworkRules/write
Erstellt eine VNET-Regel mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Markierungen für die angegebene VNET-Regel.
Microsoft.Sql/servers/virtualNetworkRules/delete
Löscht eine vorhandene VNET-Regel.
Azure Key Vault
Aktion
Beschreibung
Microsoft.KeyVault/vaults/write
Dient zum Erstellen eines neuen Schlüsseltresors oder zum Aktualisieren der Eigenschaften eines vorhandenen Schlüsseltresors. Bestimmte Eigenschaften erfordern möglicherweise mehr Berechtigungen.
Microsoft.KeyVault/vaults/read
Dient zum Anzeigen der Eigenschaften eines Schlüsseltresors.
Microsoft.KeyVault/vaults/secrets/write
Erstellt ein neues Geheimnis oder aktualisiert den Wert eines vorhandenen Geheimnisses.
Microsoft.KeyVault/vaults/accessPolicies/write
Aktualisiert eine vorhandene Zugriffsrichtlinie durch Zusammenführen oder Ersetzen oder fügt dem Schlüsseltresor eine neue Zugriffsrichtlinie hinzu.
Verbindung im Zusammenhang mit verwalteter Identität/Dienstprinzipal
Dienstconnector muss möglicherweise Berechtigungen für eine verwaltete Identität oder einen Dienstprinzipal erteilen, wenn eine Verbindung mit diesen als Authentifizierungstyp hergestellt wird. In der folgenden Tabelle sind die Berechtigungsanforderungen zum Herstellen einer Verbindung in diesem Szenario aufgeführt.
Aktion
Beschreibung
Microsoft.Authorization/roleAssignments/read
Dient zum Abrufen von Informationen zu einer Rollenzuweisung.
Microsoft.Authorization/roleAssignments/write
Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich.
Microsoft.Authorization/roleAssignments/delete
Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich.
Verbindung mit benutzerseitig zugewiesenen verwalteten Identitäten
Dienstconnector muss möglicherweise Berechtigungen für eine benutzerseitig zugewiesene verwaltete Identität erteilen, wenn eine Verbindung mit dieser als Authentifizierungstyp hergestellt wird. In der folgenden Tabelle sind die Berechtigungsanforderungen zum Herstellen einer Verbindung in diesem Szenario aufgeführt.
Löschen von Anmeldeinformationen für eine Verbundidentität
Berechtigung für privaten Endpunkt/Dienstendpunkt
Service Connector muss möglicherweise Berechtigungen für Ihre Identität erteilen, wenn eine Verbindung mit einem privatem Endpunkt oder Dienstendpunkt als Netzwerklösung hergestellt wird. In der folgenden Tabelle sind die Berechtigungsanforderungen zum Herstellen einer Verbindung in diesem Szenario aufgeführt.
Aktion
Beschreibung
Microsoft.Network/publicIPAddresses/read
Ruft eine Definition für eine öffentliche IP-Adresse ab.
Microsoft.Network/virtualNetworks/subnets/read
Ruft eine Subnetzdefinition für virtuelle Netzwerke ab.
Microsoft.Network/virtualNetworks/subnets/write
Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke.