Ruoli predefiniti di Azure per gli utenti con privilegi
Questo articolo elenca i ruoli predefiniti di Azure nella categoria Privileged.
Collaboratore
Concede l'accesso completo per la gestione di tutte le risorse, ma non consente di assegnare ruoli in Controllo degli accessi in base al ruolo Azure, gestire le assegnazioni in Azure Blueprints o condividere raccolte di immagini.
Azioni | Descrizione |
---|---|
* | È in grado di creare e gestire ogni tipo di risorsa |
NotActions | |
Microsoft.Authorization/*/Delete | Eliminazione di ruoli, assegnazioni di criteri, definizioni dei criteri e definizioni dei set di criteri |
Microsoft.Authorization/*/Write | Creazione di ruoli, assegnazioni di ruoli, assegnazioni di criteri, definizioni dei criteri e definizioni dei set di criteri |
Microsoft.Authorization/elevateAccess/Action | Concede al chiamante l'accesso di tipo Amministratore Accesso utenti a livello dell'ambito del tenant |
Microsoft.Blueprint/blueprintAssignments/write | Crea o aggiorna eventuali assegnazioni del progetto |
Microsoft.Blueprint/blueprintAssignments/delete | Elimina eventuali assegnazioni del progetto |
Microsoft.Compute/galleries/share/action | Condivide una raccolta con ambiti diversi |
Microsoft.Purview/consents/write | Creare o aggiornare una risorsa di consenso. |
Microsoft.Purview/consents/delete | Eliminare la risorsa di consenso. |
Microsoft.Resources/deploymentStacks/manageDenySetting/action | Gestire la proprietà denySettings di uno stack di distribuzione. |
Microsoft.Subscription/cancel/action | Annulla la sottoscrizione |
Microsoft.Subscription/enable/action | Riattiva la sottoscrizione |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, but does not allow you to assign roles in Azure RBAC, manage assignments in Azure Blueprints, or share image galleries.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"name": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"permissions": [
{
"actions": [
"*"
],
"notActions": [
"Microsoft.Authorization/*/Delete",
"Microsoft.Authorization/*/Write",
"Microsoft.Authorization/elevateAccess/Action",
"Microsoft.Blueprint/blueprintAssignments/write",
"Microsoft.Blueprint/blueprintAssignments/delete",
"Microsoft.Compute/galleries/share/action",
"Microsoft.Purview/consents/write",
"Microsoft.Purview/consents/delete",
"Microsoft.Resources/deploymentStacks/manageDenySetting/action",
"Microsoft.Subscription/cancel/action",
"Microsoft.Subscription/enable/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Proprietario
Concede l'accesso completo per la gestione di tutte le risorse, inclusa la possibilità di assegnare ruoli in Controllo degli accessi in base al ruolo di Azure.
Azioni | Descrizione |
---|---|
* | È in grado di creare e gestire ogni tipo di risorsa |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants full access to manage all resources, including the ability to assign roles in Azure RBAC.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"name": "8e3af657-a8ff-443c-a75c-2fe8c4bcb635",
"permissions": [
{
"actions": [
"*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Amministratore prenotazioni
Consente di leggere e gestire tutte le prenotazioni in un tenant
Azioni | Descrizione |
---|---|
Microsoft.Capacity/*/read | |
Microsoft.Capacity/*/action | |
Microsoft.Capacity/*/write | |
Microsoft.Authorization/roleAssignments/read | Ottiene informazioni su un'assegnazione di ruolo. |
Microsoft.Authorization/roleDefinitions/read | Ottiene informazioni su una definizione di ruolo. |
Microsoft.Authorization/roleAssignments/write | Crea un'assegnazione di ruolo per l'ambito specificato. |
Microsoft.Authorization/roleAssignments/delete | È possibile eliminare un'assegnazione di ruolo nell'ambito specificato. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/providers/Microsoft.Capacity"
],
"description": "Lets one read and manage all the reservations in a tenant",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a8889054-8d42-49c9-bc1c-52486c10e7cd",
"name": "a8889054-8d42-49c9-bc1c-52486c10e7cd",
"permissions": [
{
"actions": [
"Microsoft.Capacity/*/read",
"Microsoft.Capacity/*/action",
"Microsoft.Capacity/*/write",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Reservations Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Amministratore controllo degli accessi in base al ruolo
Consente di gestire l'accesso alle risorse di Azure assegnando ruoli con il controllo degli accessi in base al ruolo di Azure. Questo ruolo non consente di gestire l'accesso in altri modi, ad esempio con Criteri di Azure.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/roleAssignments/write | Crea un'assegnazione di ruolo per l'ambito specificato. |
Microsoft.Authorization/roleAssignments/delete | È possibile eliminare un'assegnazione di ruolo nell'ambito specificato. |
*/lettura | Legge risorse di tutti i tipi, eccetto i segreti. |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure resources by assigning roles using Azure RBAC. This role does not allow you to manage access using other ways, such as Azure Policy.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"name": "f58310d9-a9f6-439a-9e8d-f62e7b41a168",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"*/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Role Based Access Control Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Amministratore accessi utente
Consente di gestire gli accessi utente alle risorse di Azure.
Azioni | Descrizione |
---|---|
*/lettura | Legge risorse di tutti i tipi, eccetto i segreti. |
Microsoft.Authorization/* | Gestire l'autorizzazione |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage user access to Azure resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"name": "18d7d88d-d35e-4fb5-a5c3-7773c20a72d9",
"permissions": [
{
"actions": [
"*/read",
"Microsoft.Authorization/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "User Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}