Partager via

Exigence d’autorisation pour Service Connector

  • Article

Service Connector crée des connexions entre les services Azure à l’aide d’un jeton pour le compte. La création d'une connexion à une ressource Azure spécifique nécessite les autorisations correspondantes.

App Service

Action Description
Microsoft.Web/sites/config/write Met à jour les paramètres de configuration d’application web.
Microsoft.web/sites/config/delete Supprime la configuration de Web Apps.
Microsoft.Web/sites/config/list/action Répertorie les paramètres sensibles de sécurité d’application web, tels que les informations d’identification de publication, les paramètres d’application et les chaînes de connexion.
Microsoft.Web/sites/config/Read Récupère les paramètres de configuration des applications web.
Microsoft.Web/sites/write Crée une application web ou en met une à jour.
Microsoft.Web/sites/read Récupère les propriétés d’une application web.

Emplacement de l'application Web

Action Description
Microsoft.Web/sites/slots/Write Crée un emplacement d’application web ou en met un à jour.
Microsoft.Web/sites/slots/Read Récupère les propriétés d’un emplacement de déploiement d’une application web.
Microsoft.Web/sites/slots/config/Read Récupère les paramètres de configuration de l’emplacement d’application web.
Microsoft.Web/sites/slots/config/Write Met à jour les paramètres de configuration de l’emplacement d’application web.
microsoft.web/sites/slots/config/delete Supprime la configuration des emplacements Web Apps.
Microsoft.Web/sites/slots/config/list/Action Répertorie les paramètres sensibles de sécurité de l’emplacement d’application web, tels que les informations d’identification de publication, les paramètres d’application et les chaînes de connexion.

Application Azure Spring

Action Description
Microsoft.AppPlatform/Spring/read Obtenir une instance de service Azure Spring Apps
Microsoft.AppPlatform/Spring/apps/read Récupère les applications pour une instance de service Azure Spring Apps spécifique
Microsoft.AppPlatform/Spring/apps/write Crée ou met à jour l'application pour une instance de service Azure Spring Apps spécifique
Microsoft.AppPlatform/Spring/apps/deployments/*/read Récupère les déploiements d'une application spécifique
Microsoft.AppPlatform/Spring/apps/deployments/*/write Crée ou met à jour le déploiement d'une application spécifique
Microsoft.AppPlatform/Spring/apps/deployments/*/delete Supprime le déploiement d'une application spécifique

Azure Container Apps

Action Description
Microsoft.App/containerApps/read Obtenir une application conteneur
Microsoft.App/containerApps/write Crée ou met à jour une application conteneur
Microsoft.App/containerApps/listsecrets/action Répertorie les secrets d’une application conteneur
Microsoft.App/managedEnvironments/read Obtenir un environnement managé
Microsoft.App/locations/managedEnvironmentOperationStatuses/read Obtenir l'état d'une opération durable dans un environnement géré
microsoft.app/locations/containerappoperationstatuses/read Obtenir l'état d'une opération durable d'une application de conteneur
microsoft.app/locations/containerappoperationresults/read Obtenir le résultat d'une opération durable d'une application de conteneur
microsoft.app/locations/managedenvironmentoperationresults/read Obtenir le résultat d'une opération durable dans un environnement géré

Dapr dans Azure Container Apps

Action Description
Microsoft.App/managedEnvironments/daprComponents/read Lire le composant Dapr de l'environnement géré
Microsoft.App/managedEnvironments/daprComponents/write Créer ou mettre à jour le composant Dapr de l'environnement géré
Microsoft.App/managedEnvironments/daprComponents/delete Supprimer le composant Dapr de l'environnement géré

Cache Azure pour Redis

Action Description
Microsoft.Cache/redis/read Afficher les paramètres et la configuration du cache Redis dans le portail de gestion
Microsoft.Cache/redis/firewallRules/read Obtenir les règles de pare-feu IP d’un cache Redis
Microsoft.Cache/redis/firewallRules/write Modifier les règles de pare-feu IP d’un cache Redis
Microsoft.Cache/redis/firewallRules/delete Supprimer des règles de pare-feu IP d’un cache Redis
Microsoft.Cache/redis/listKeys/action Afficher la valeur des clés d’accès du cache Redis dans le portail de gestion

Azure Cache pour Redis Entreprise

Action Description
Microsoft.Cache/redisEnterprise/read Affiche les paramètres et la configuration du cache Redis Enterprise dans le portail de gestion
Microsoft.Cache/redisEnterprise/databases/read Affiche les paramètres et la configuration de la base de données du cache Redis Enterprise dans le portail de gestion
Microsoft.Cache/redisEnterprise/databases/listKeys/action Voir la valeur des clés d’accès de la base de données Redis Enterprise dans le portail de gestion

Azure Database pour PostgreSQL

Azure Database pour PostgreSQL

Action Description
Microsoft.DBforPostgreSQL/servers/firewallRules/read Retourne la liste des règles de pare-feu pour un serveur ou obtient les propriétés de la règle de pare-feu spécifiée.
Microsoft.DBforPostgreSQL/servers/firewallRules/write Crée une règle de pare-feu avec les paramètres spécifiés ou met à jour une règle existante.
Microsoft.DBforPostgreSQL/servers/firewallRules/delete Supprime une règle de pare-feu existante.
Microsoft.DBForPostgreSQL/servers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.DBForPostgreSQL/servers/databases/read Retourner la liste des bases de données PostgreSQL ou obtenir les propriétés pour la base de données spécifiée.
Microsoft.DBforPostgreSQL/servers/write Crée un serveur avec les paramètres spécifiés ou met à jour les propriétés ou balises pour le serveur spécifié.

Azure Database pour PostgreSQL (point de terminaison de service)

Action Description
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read Retourne la liste des règles de réseau virtuel ou obtient les propriétés de la règle de réseau virtuel spécifiée.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write Crée une règle de réseau virtuel avec les paramètres spécifiés ou met à jour les propriétés ou balises de la règle de réseau virtuel spécifiée.
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete Supprime une règle de réseau virtuel existante

Azure Database pour PostgreSQL - Serveur flexible

Action Description
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read Retourne la liste des règles de pare-feu pour un serveur ou obtient les propriétés de la règle de pare-feu spécifiée.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write Crée une règle de pare-feu avec les paramètres spécifiés ou met à jour une règle existante.
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete Supprime une règle de pare-feu existante.
Microsoft.DBForPostgreSQL/flexibleServers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.DBForPostgreSQL/flexibleServers/databases/read Renvoie la liste des bases de données de serveur PostgreSQL ou obtient la base de données du serveur spécifié.
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read Renvoie la liste des configurations de serveur PostgreSQL ou obtient les configurations du serveur spécifié.

Azure Database pour MySQL

Action Description
Microsoft.DBforMySQL/servers/firewallRules/read Retourne la liste des règles de pare-feu pour un serveur ou obtient les propriétés de la règle de pare-feu spécifiée.
Microsoft.DBforMySQL/servers/firewallRules/write Crée une règle de pare-feu avec les paramètres spécifiés ou met à jour une règle existante.
Microsoft.DBforMySQL/servers/firewallRules/delete Supprime une règle de pare-feu existante.
Microsoft.DBforMySQL/servers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.DBforMySQL/servers/databases/read Retourner la liste des bases de données MySQL ou obtenir les propriétés pour la base de données spécifiée.
Microsoft.DBforMySQL/servers/write Crée un serveur avec les paramètres spécifiés ou met à jour les propriétés ou balises pour le serveur spécifié.

Azure Database pour MySQL (point de terminaison de service)

Action Description
Microsoft.DBforMySQL/servers/virtualNetworkRules/read Retourne la liste des règles de réseau virtuel ou obtient les propriétés de la règle de réseau virtuel spécifiée.
Microsoft.DBforMySQL/servers/virtualNetworkRules/write Crée une règle de réseau virtuel avec les paramètres spécifiés ou met à jour les propriétés ou balises de la règle de réseau virtuel spécifiée.
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete Supprime une règle de réseau virtuel existante

Serveurs flexibles Azure Database pour MySQL

Action Description
Microsoft.DBforMySQL/flexibleServers/firewallRules/read Retourne la liste des règles de pare-feu pour un serveur ou obtient les propriétés de la règle de pare-feu spécifiée.
Microsoft.DBforMySQL/flexibleServers/firewallRules/write Crée une règle de pare-feu avec les paramètres spécifiés ou met à jour une règle existante.
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete Supprime une règle de pare-feu existante.
Microsoft.DBforMySQL/flexibleServers/read Retourne la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.DBforMySQL/flexibleServers/databases/read Retourne la liste des bases de données pour un serveur ou obtient les propriétés pour la base de données spécifiée.
Microsoft.DBforMySQL/flexibleServers/configurations/read Renvoie la liste des configurations de serveur MySQL ou obtient les configurations du serveur spécifié.

Azure App Configuration

Action Description
Microsoft.AppConfiguration/configurationStores/ListKeys/action Répertorie les clés API du magasin de configuration spécifié.
Microsoft.AppConfiguration/configurationStores/read Permet d'obtenir les propriétés du magasin de configuration spécifié ou d'afficher tous les magasins de configuration disponibles sous le groupe de ressources ou l'abonnement spécifiés.

Azure Event Hubs

Action Description
Microsoft.EventHub/namespaces/read Obtenir la liste des descriptions des ressources Namespace.
Microsoft.EventHub/namespaces/ipFilterRules/read Obtenir une ressource de filtre IP
Microsoft.EventHub/namespaces/ipFilterRules/write Créer une ressource de filtre IP
Microsoft.EventHub/namespaces/ipFilterRules/delete Supprimer une ressource de filtre IP
Microsoft.EventHub/namespaces/networkrulesets/read Obtient la ressource NetworkRuleSet
Microsoft.EventHub/namespaces/networkrulesets/write Créer une ressource de règle de réseau virtuel
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action Obtenir la chaîne de connexion à la ressource Namespace.

Azure Service Bus

Action Description
Microsoft.ServiceBus/namespaces/read Obtenir la liste des descriptions des ressources Namespace.
Microsoft.ServiceBus/namespaces/ipFilterRules/read Obtenir une ressource de filtre IP
Microsoft.ServiceBus/namespaces/ipFilterRules/write Créer une ressource de filtre IP
Microsoft.ServiceBus/namespaces/ipFilterRules/delete Supprimer une ressource de filtre IP
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action Obtenir la chaîne de connexion à la ressource Namespace.
Microsoft.ServiceBus/namespaces/networkrulesets/read Obtient la ressource NetworkRuleSet
Microsoft.ServiceBus/namespaces/networkrulesets/write Créer une ressource de règle de réseau virtuel

Stockage Blob Azure

Action Description
Microsoft.Storage/storageAccounts/read Retourne la liste des comptes de stockage ou récupère les propriétés du compte de stockage spécifié.
Microsoft.Storage/storageAccounts/write Crée un compte de stockage avec les paramètres spécifiés ou met à jour les propriétés ou les balises, ou ajoute un domaine personnalisé pour le compte de stockage spécifié.
Microsoft.Storage/storageAccounts/listkeys/action Retourne les clés d’accès au compte de stockage spécifié.

Service Azure SignalR

Action Description
Microsoft.SignalRService/SignalR/read Affiche les paramètres et les configurations de SignalR dans le portail de gestion ou par le biais de l’API
Microsoft.SignalRService/SignalR/write Modifie les paramètres et les configurations de SignalR dans le portail de gestion ou par le biais de l’API
Microsoft.SignalRService/locations/operationresults/signalr/read Interroge le résultat d’une opération asynchrone basée sur un emplacement
Microsoft.SignalRService/locations/operationStatuses/signalr/read Interroge l’état d’une opération asynchrone basée sur un emplacement
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action Afficher la valeur des clés d’accès SignalR dans le portail de gestion ou par le biais d’une API

Service Azure Web PubSub

Action Description
Microsoft.SignalRService/WebPubSub/read Affiche les paramètres et les configurations de WebPubSub dans le portail de gestion ou par le biais de l’API
Microsoft.SignalRService/WebPubSub/write Modifie les paramètres et les configurations de WebPubSub dans le portail de gestion ou par le biais de l’API
Microsoft.SignalRService/locations/operationresults/webpubsub/read Interroge le résultat d’une opération asynchrone basée sur un emplacement
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read Interroge l’état d’une opération asynchrone basée sur un emplacement
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read Affiche la valeur des clés d’accès WebPubSub dans le portail de gestion ou par le biais d’une API
Microsoft.SignalRService/WebPubSub/listkeys/action Affiche la valeur des clés d’accès WebPubSub dans le portail de gestion ou par le biais d’une API

Azure Cosmos DB

Avertissement

Microsoft vous recommande d’utiliser le flux d’authentification le plus sécurisé disponible. Le flux d'authentification décrit dans cette procédure demande un degré de confiance très élevé dans l'application et comporte des risques qui ne sont pas présents dans d'autres flux. Vous ne devez utiliser ce flux que si d’autres flux plus sécurisés, tels que les identités managées, ne sont pas viables.

Action Description
Microsoft.DocumentDB/databaseAccounts/read Lire un compte de base de données.
Microsoft.DocumentDB/databaseAccounts/write Mettre à jour les comptes de base de données.
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action Obtenir les chaînes de connexion d’un compte de base de données.
Microsoft.DocumentDB/databaseAccounts/listKeys/action Répertorier les clés d’un compte de base de données.

Azure SQL Database

Action Description
Microsoft.Sql/servers/firewallRules/read Retourne la liste des règles de pare-feu de serveur ou obtient les propriétés pour la règle de pare-feu du serveur spécifié.
Microsoft.Sql/servers/firewallRules/write Crée une règle de pare-feu de serveur avec les paramètres spécifiés, met à jour les propriétés de la règle spécifiée, ou remplace toutes les règles existantes par des règles de pare-feu de serveur plus récentes.
Microsoft.Sql/servers/firewallRules/delete Supprime une règle de pare-feu de serveur existante.
Microsoft.Sql/servers/databases/read Retourner la liste des bases de données ou obtenir les propriétés pour la base de données spécifiée.
Microsoft.Sql/servers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.Sql/servers/virtualNetworkRules/read Retourne la liste des règles de réseau virtuel ou obtient les propriétés de la règle de réseau virtuel spécifiée.
Microsoft.Sql/servers/virtualNetworkRules/write Crée une règle de réseau virtuel avec les paramètres spécifiés ou met à jour les propriétés ou balises de la règle de réseau virtuel spécifiée.
Microsoft.Sql/servers/virtualNetworkRules/delete Supprime une règle de réseau virtuel existante

Azure Key Vault

Action Description
Microsoft.KeyVault/vaults/write Crée un coffre Key Vault ou met à jour les propriétés d’un coffre Key Vault existant. Certaines propriétés peuvent nécessiter plus d’autorisations.
Microsoft.KeyVault/vaults/read Afficher les propriétés d’un coffre Key Vault
Microsoft.KeyVault/vaults/secrets/write Crée un secret ou met à jour la valeur d’un secret existant.
Microsoft.KeyVault/vaults/accessPolicies/write Met à jour une stratégie d’accès existante via la fusion ou le remplacement, ou ajoute une nouvelle stratégie d’accès au coffre Key Vault.

Azure Cosmos DB

Action Description
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read Lit une définition de rôle SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Crée ou met à jour une définition de rôle SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Supprimer une attribution de rôle SQL

Il se peut que Service Connector doive accorder des autorisations à Managed Identity ou Service Principal si une connexion est créée avec ces types d'authentification. Le tableau suivant répertorie les autorisations requises pour créer une connexion dans ce scénario.

Action Description
Microsoft.Authorization/roleAssignments/read Obtenez des informations sur une affectation de rôle.
Microsoft.Authorization/roleAssignments/write Créez une affectation de rôle au niveau de la portée spécifiée.
Microsoft.Authorization/roleAssignments/delete Supprimez une affectation de rôle au niveau de la portée spécifiée.

Connexion aux identités managées affectées par l’utilisateur

Il se peut que Service Connector doive accorder des autorisations à une identité managée affectée par l'utilisateur si une connexion est créée avec ce type d'authentification. Le tableau suivant répertorie les autorisations requises pour créer une connexion dans ce scénario.

Action Description
Microsoft.ManagedIdentity/userAssignedIdentities/read Obtient l’identité assignée d’un utilisateur existant
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Action RBAC pour l’affectation de l’identité assignée d’un utilisateur existant à une ressource
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read Obtenir ou répertorier les informations d’identification de l’identité fédérée
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write Ajouter ou mettre à jour des informations d’identification d’identité fédérée
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete Suppression des informations d’identification d’une identité fédérée

Service Connector peut avoir besoin d'accorder des autorisations à votre identité si une connexion est créée avec un point de terminaison privé ou un point de terminaison de service en tant que solution réseau. Le tableau suivant répertorie les autorisations requises pour créer une connexion dans ce scénario.

Action Description
Microsoft.Network/publicIPAddresses/read Obtient une définition de l’adresse IP publique.
Microsoft.Network/virtualNetworks/subnets/read Obtient une définition de sous-réseau de réseau virtuel.
Microsoft.Network/virtualNetworks/subnets/write Crée un sous-réseau de réseau virtuel ou met à jour un sous-réseau de réseau virtuel existant.
Microsoft.Network/privateEndpoints/read Obtient une ressource de point de terminaison privé.
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Joint des ressources telles qu’un compte de stockage ou une base de données SQL à un sous-réseau. Impossible à alerter.
Microsoft.Network/networkSecurityGroups/join/action Joint un groupe de sécurité réseau. Impossible à alerter.
Microsoft.Network/serviceEndpointPolicies/join/action Joint une stratégie de point de terminaison de service. Impossible à alerter.
Microsoft.Network/natGateways/join/action Joint une instance NAT Gateway
Microsoft.Network/networkIntentPolicies/join/action Joint une stratégie d’intention de réseau. Impossible à alerter.
Microsoft.Network/networkSecurityGroups/join/action Joint un groupe de sécurité réseau. Impossible à alerter.
Microsoft.Network/routeTables/join/action Joint une table de routage. Impossible à alerter.

Haute disponibilité