次の方法で共有

サービス コネクタのアクセス許可に関する要件

  • [アーティクル]

サービス コネクタを使用して Azure サービス間の接続を作成する場合は、必要なアクセス許可が付与されていることを確認することが重要です。 このドキュメントでは、シームレスな接続の作成を容易にするために、さまざまな Azure リソースのアクセス許可要件について説明します。

サービス コネクタは、On-behalf-of トークンを使用して Azure サービス間の接続を作成します。

Azure リソースへの接続を作成するには、適切なアクセス許可が必要です。

App Service

アクション 説明
Microsoft.Web/sites/config/write Web アプリの構成設定を更新します。
Microsoft.web/sites/config/delete Web アプリの構成を削除します。
Microsoft.Web/sites/config/list/action Web アプリのセキュリティに関する設定 (発行資格情報、アプリ設定、接続文字列など) を一覧表示します。
Microsoft.Web/sites/config/Read Web アプリの構成設定を取得します。
Microsoft.Web/sites/write 新しい Web アプリを作成するか、既存の Web アプリを更新します。
Microsoft.Web/sites/read Web アプリのプロパティを取得します。

Webapp スロット

アクション 説明
Microsoft.Web/sites/slots/Write 新しい Web アプリ スロットを作成するか、既存の Web アプリ スロットを更新します。
Microsoft.Web/sites/slots/Read Web アプリのデプロイ スロットのプロパティを取得します。
Microsoft.Web/sites/slots/config/Read Web アプリ スロットの構成設定を取得します。
Microsoft.Web/sites/slots/config/Write Web アプリ スロットの構成設定を更新します。
microsoft.web/sites/slots/config/delete Web アプリとスロットの構成を削除します。
Microsoft.Web/sites/slots/config/list/Action Web アプリ スロットのセキュリティに関する設定 (発行資格情報、アプリ設定、接続文字列など) を一覧表示します。

Azure Spring App

アクション 説明
Microsoft.AppPlatform/Spring/read Azure Spring Apps サービス インスタンスを取得します
Microsoft.AppPlatform/Spring/apps/read 特定の Azure Spring Apps サービス インスタンスのアプリケーションを取得します
Microsoft.AppPlatform/Spring/apps/write 特定の Azure Spring Apps サービス インスタンスのアプリケーションを作成または更新します
Microsoft.AppPlatform/Spring/apps/deployments/*/read 特定のアプリケーションのデプロイを取得します
Microsoft.AppPlatform/Spring/apps/deployments/*/write 特定のアプリケーションのデプロイを作成または更新します
Microsoft.AppPlatform/Spring/apps/deployments/*/delete 特定のアプリケーションのデプロイを削除します

Azure Container Apps

アクション 説明
Microsoft.App/containerApps/read コンテナー アプリを取得する
Microsoft.App/containerApps/write コンテナー アプリを作成または更新する
Microsoft.App/containerApps/listsecrets/action コンテナー アプリのシークレットを一覧表示する
Microsoft.App/managedEnvironments/read マネージド環境を取得する
Microsoft.App/locations/managedEnvironmentOperationStatuses/read マネージド環境の実行時間の長い操作状態を取得する
microsoft.app/locations/containerappoperationstatuses/read コンテナー アプリの実行時間の長い操作状態を取得する
microsoft.app/locations/containerappoperationresults/read コンテナー アプリの実行時間の長い操作結果を取得する
microsoft.app/locations/managedenvironmentoperationresults/read マネージド環境の実行時間の長い操作結果を取得する

Azure Container Apps の Dapr

アクション 説明
Microsoft.App/managedEnvironments/daprComponents/read マネージド環境の Dapr コンポーネントを読む
Microsoft.App/managedEnvironments/daprComponents/write マネージド環境の Dapr コンポーネントを作成または更新する
Microsoft.App/managedEnvironments/daprComponents/delete マネージド環境の Dapr コンポーネントを削除する

Azure Cache for Redis

アクション 説明
Microsoft.Cache/redis/read 管理ポータルで Redis Cache の設定と構成を表示します。
Microsoft.Cache/redis/firewallRules/read Redis Cache の IP ファイアウォール規則を取得します。
Microsoft.Cache/redis/firewallRules/write Redis Cache の IP ファイアウォール規則を編集します。
Microsoft.Cache/redis/firewallRules/delete Redis Cache の IP ファイアウォール規則を削除します。
Microsoft.Cache/redis/listKeys/action 管理ポータルで Redis Cache のアクセス キーの値を表示します。

Azure Cache for Redis Enterprise

アクション 説明
Microsoft.Cache/redisEnterprise/read 管理ポータルで Redis Enterprise キャッシュの設定と構成を表示します
Microsoft.Cache/redisEnterprise/databases/read 管理ポータルで Redis Enterprise キャッシュ データベースの設定と構成を表示します
Microsoft.Cache/redisEnterprise/databases/listKeys/action 管理ポータルに Redis Enterprise データベースのアクセス キーの値を表示します

Azure Database for PostgreSQL

Azure Database for PostgreSQL

アクション 説明
Microsoft.DBforPostgreSQL/servers/firewallRules/read サーバーのファイアウォール規則の一覧を返すか、指定されたファイアウォール規則のプロパティを取得します。
Microsoft.DBforPostgreSQL/servers/firewallRules/write 指定されたパラメーターでファイアウォール規則を作成するか、既存の規則を更新します。
Microsoft.DBforPostgreSQL/servers/firewallRules/delete 既存のファイアウォール規則を削除します。
Microsoft.DBForPostgreSQL/servers/read サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。
Microsoft.DBForPostgreSQL/servers/databases/read PostgreSQL データベースの一覧を返すか、指定されたデータベースのプロパティを取得します。
Microsoft.DBforPostgreSQL/servers/write 指定されたパラメーターでサーバーを作成するか、指定されたサーバーのプロパティまたはタグを更新します。

Azure Database for PostgreSQL (サービス エンドポイント)

アクション 説明
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/read 仮想ネットワーク ルールの一覧を返すか、指定された仮想ネットワーク ルールのプロパティを取得します。
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/write 指定されたパラメーターで仮想ネットワーク規則を作成するか、指定された仮想ネットワーク規則のプロパティまたはタグを更新します。
Microsoft.DBforPostgreSQL/servers/virtualNetworkRules/delete 既存の仮想ネットワーク ルールを削除します。

Azure Database for PostgreSQL - フレキシブル サーバー

アクション 説明
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/read サーバーのファイアウォール規則の一覧を返すか、指定されたファイアウォール規則のプロパティを取得します。
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write 指定されたパラメーターでファイアウォール規則を作成するか、既存の規則を更新します。
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete 既存のファイアウォール規則を削除します。
Microsoft.DBForPostgreSQL/flexibleServers/read サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。
Microsoft.DBForPostgreSQL/flexibleServers/databases/read PostgreSQL サーバー データベースの一覧を返すか、指定されたサーバーのデータベースを取得します。
Microsoft.DBforPostgreSQL/flexibleServers/configurations/read PostgreSQL サーバーの構成の一覧を返すか、指定されたサーバーの構成を取得します。

Azure Database for MySQL

アクション 説明
Microsoft.DBforMySQL/servers/firewallRules/read サーバーのファイアウォール規則の一覧を返すか、指定されたファイアウォール規則のプロパティを取得します。
Microsoft.DBforMySQL/servers/firewallRules/write 指定されたパラメーターでファイアウォール規則を作成するか、既存の規則を更新します。
Microsoft.DBforMySQL/servers/firewallRules/delete 既存のファイアウォール規則を削除します。
Microsoft.DBforMySQL/servers/read サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。
Microsoft.DBforMySQL/servers/databases/read MySQL データベースの一覧を返すか、指定されたデータベースのプロパティを取得します。
Microsoft.DBforMySQL/servers/write 指定されたパラメーターでサーバーを作成するか、指定されたサーバーのプロパティまたはタグを更新します。

Azure Database for MySQL (サービス エンドポイント)

アクション 説明
Microsoft.DBforMySQL/servers/virtualNetworkRules/read 仮想ネットワーク ルールの一覧を返すか、指定された仮想ネットワーク ルールのプロパティを取得します。
Microsoft.DBforMySQL/servers/virtualNetworkRules/write 指定されたパラメーターで仮想ネットワーク規則を作成するか、指定された仮想ネットワーク規則のプロパティまたはタグを更新します。
Microsoft.DBforMySQL/servers/virtualNetworkRules/delete 既存の仮想ネットワーク ルールを削除します。

Azure Database for MySQL - フレキシブル サーバー

アクション 説明
Microsoft.DBforMySQL/flexibleServers/firewallRules/read サーバーのファイアウォール規則の一覧を返すか、指定されたファイアウォール規則のプロパティを取得します。
Microsoft.DBforMySQL/flexibleServers/firewallRules/write 指定されたパラメーターでファイアウォール規則を作成するか、既存の規則を更新します。
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete 既存のファイアウォール規則を削除します。
Microsoft.DBforMySQL/flexibleServers/read サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。
Microsoft.DBforMySQL/flexibleServers/databases/read サーバーのデータベースの一覧を返します。または、指定したデータベースのプロパティを取得します。
Microsoft.DBforMySQL/flexibleServers/configurations/read MySQL サーバーの構成の一覧を返すか、指定されたサーバーの構成を取得します。

Azure App Configuration

アクション 説明
Microsoft.AppConfiguration/configurationStores/ListKeys/action 指定された構成ストアの API キーを一覧表示します。
Microsoft.AppConfiguration/configurationStores/read 指定された構成ストアのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションにあるすべての構成ストアを一覧表示します。

Azure Event Hubs

アクション 説明
Microsoft.EventHub/namespaces/read 名前空間リソースの説明の一覧を取得します。
Microsoft.EventHub/namespaces/ipFilterRules/read IP フィルター リソースを取得します
Microsoft.EventHub/namespaces/ipFilterRules/write IP フィルター リソースを作成します
Microsoft.EventHub/namespaces/ipFilterRules/delete IP フィルター リソースを削除します
Microsoft.EventHub/namespaces/networkrulesets/read NetworkRuleSet リソースを取得します
Microsoft.EventHub/namespaces/networkrulesets/write VNET ルール リソースを作成します
Microsoft.EventHub/namespaces/authorizationRules/listkeys/action 名前空間への接続文字列を取得します。

Azure Service Bus

アクション 説明
Microsoft.ServiceBus/namespaces/read 名前空間リソースの説明の一覧を取得します。
Microsoft.ServiceBus/namespaces/ipFilterRules/read IP フィルター リソースを取得します
Microsoft.ServiceBus/namespaces/ipFilterRules/write IP フィルター リソースを作成します
Microsoft.ServiceBus/namespaces/ipFilterRules/delete IP フィルター リソースを削除します
Microsoft.ServiceBus/namespaces/authorizationRules/listkeys/action 名前空間への接続文字列を取得します。
Microsoft.ServiceBus/namespaces/networkrulesets/read NetworkRuleSet リソースを取得します
Microsoft.ServiceBus/namespaces/networkrulesets/write VNET ルール リソースを作成します

Azure Blob Storage

アクション 説明
Microsoft.Storage/storageAccounts/read ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。
Microsoft.Storage/storageAccounts/write 指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。
Microsoft.Storage/storageAccounts/listkeys/action 指定されたストレージ アカウントのアクセス キーを返します。

Azure SignalR Service

アクション 説明
Microsoft.SignalRService/SignalR/read 管理ポータルで、または API を介して SignalR の設定と構成を表示します。
Microsoft.SignalRService/SignalR/write 管理ポータルで、または API を介して SignalR の設定と構成を変更します。
Microsoft.SignalRService/locations/operationresults/signalr/read 場所に基づく非同期操作の結果のクエリを実行します
Microsoft.SignalRService/locations/operationStatuses/signalr/read 場所に基づく非同期操作の状態のクエリを実行します
Microsoft.SignalRService/SignalR/operationResults/read
Microsoft.SignalRService/SignalR/operationStatuses/read
Microsoft.SignalRService/SignalR/listkeys/action 管理ポータルで、または API を使用して SignalR のアクセス キーの値を表示します。

Azure Web PubSub サービス

アクション 説明
Microsoft.SignalRService/WebPubSub/read 管理ポータルで、または API を使用して WebPubSub の設定と構成を表示します
Microsoft.SignalRService/WebPubSub/write 管理ポータルで、または API を使用して WebPubSub の設定と構成を変更します
Microsoft.SignalRService/locations/operationresults/webpubsub/read 場所に基づく非同期操作の結果のクエリを実行します
Microsoft.SignalRService/locations/operationStatuses/webpubsub/read 場所に基づく非同期操作の状態のクエリを実行します
Microsoft.SignalRService/WebPubSub/operationResults/read
Microsoft.SignalRService/WebPubSub/operationStatuses/read 管理ポータルで、または API を使用して WebPubSub のアクセス キーの値を表示します
Microsoft.SignalRService/WebPubSub/listkeys/action 管理ポータルで、または API を使用して WebPubSub のアクセス キーの値を表示します

Azure Cosmos DB

警告

Microsoft では、使用可能な最も安全な認証フローを使用することをお勧めします。 この手順で説明されている認証フローでは、アプリケーションで非常に高い信頼度が要求されるため、他のフローには存在しないリスクが伴います。 このフローは、マネージド ID など、より安全なフローが実行可能ではない場合にのみ使用してください。

アクション 説明
Microsoft.DocumentDB/databaseAccounts/read データベース アカウントを読み取ります。
Microsoft.DocumentDB/databaseAccounts/write データベース アカウントを更新します。
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/action データベース アカウントの接続文字列を取得します。
Microsoft.DocumentDB/databaseAccounts/listKeys/action データベース アカウントのキーを一覧表示します。

Azure SQL データベース

アクション 説明
Microsoft.Sql/servers/firewallRules/read サーバー ファイアウォール規則の一覧を返すか、指定されたサーバー ファイアウォール規則のプロパティを取得します。
Microsoft.Sql/servers/firewallRules/write 指定されたパラメーターでサーバー ファイアウォール規則を作成するか、指定された規則のプロパティを更新するか、新しいサーバー ファイアウォール規則ですべての既存規則を上書きします。
Microsoft.Sql/servers/firewallRules/delete 既存のサーバー ファイアウォール規則を削除します。
Microsoft.Sql/servers/databases/read データベースの一覧を返すか、指定されたデータベースのプロパティを取得します。
Microsoft.Sql/servers/read サーバーの一覧を返すか、指定されたサーバーのプロパティを取得します。
Microsoft.Sql/servers/virtualNetworkRules/read 仮想ネットワーク ルールの一覧を返すか、指定された仮想ネットワーク ルールのプロパティを取得します。
Microsoft.Sql/servers/virtualNetworkRules/write 指定されたパラメーターで仮想ネットワーク規則を作成するか、指定された仮想ネットワーク規則のプロパティまたはタグを更新します。
Microsoft.Sql/servers/virtualNetworkRules/delete 既存の仮想ネットワーク ルールを削除します。

Azure Key Vault

アクション 説明
Microsoft.KeyVault/vaults/write 新しい Key Vault を作成するか、既存の Key Vault のプロパティを更新します。 プロパティによっては、より多くのアクセス許可が必要な場合があります。
Microsoft.KeyVault/vaults/read Key Vault のプロパティを表示します。
Microsoft.KeyVault/vaults/secrets/write 新しいシークレットを作成するか、既存のシークレットの値を更新します。
Microsoft.KeyVault/vaults/accessPolicies/write マージか置換によって既存のアクセス ポリシーを更新するか、Key Vault に新しいアクセス ポリシーを追加します。

Azure Cosmos DB

アクション 説明
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/read SQL ロールの定義を読み取ります
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write SQL ロールの定義を作成または更新します
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete SQL ロールの割り当てを削除します

接続が認証の種類として作成される場合、Service Connector はマネージド ID またはサービス プリンシパルにアクセス許可を付与する必要があります。 次の表には、このシナリオで接続を作成するために必要なアクセス許可が一覧表示されています。

アクション 説明
Microsoft.Authorization/roleAssignments/read ロールの割り当てに関する情報を取得します。
Microsoft.Authorization/roleAssignments/write 指定されたスコープのロールの割り当てを作成します。
Microsoft.Authorization/roleAssignments/delete 指定したスコープにおけるロールの割り当てを削除します。

ユーザー割り当て済みマネージド ID の接続

接続が認証の種類として作成される場合、Service Connector はユーザー割り当て済みマネージド ID にアクセス許可を付与する必要があります。 次の表には、このシナリオで接続を作成するために必要なアクセス許可が一覧表示されています。

アクション 説明
Microsoft.ManagedIdentity/userAssignedIdentities/read 既存のユーザー割り当て ID を取得します。
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action 既存のユーザー割り当て ID をリソースに割り当てるための RBAC アクションです。
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read フェデレーション ID 資格情報を取得または一覧表示する
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write フェデレーション ID 資格情報を追加または更新する
Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete フェデレーション ID 資格情報を削除する

ネットワーク ソリューションとしてプライベート エンドポイントまたはサービス エンドポイントで接続が作成された場合、Service Connector はお客様の ID にアクセス許可を付与する必要があります。 次の表には、このシナリオで接続を作成するために必要なアクセス許可が一覧表示されています。

アクション 説明
Microsoft.Network/publicIPAddresses/read パブリック IP アドレス定義を取得します。
Microsoft.Network/virtualNetworks/subnets/read 仮想ネットワーク サブネットの定義を取得します。
Microsoft.Network/virtualNetworks/subnets/write 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します。
Microsoft.Network/privateEndpoints/read プライベート エンドポイント リソースを取得します
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。
Microsoft.Network/networkSecurityGroups/join/action ネットワーク セキュリティ グループに参加します。 警告不可能です。
Microsoft.Network/serviceEndpointPolicies/join/action サービス エンドポイント ポリシーを結合します。 警告不可能です。
Microsoft.Network/natGateways/join/action NAT Gateway を結合します
Microsoft.Network/networkIntentPolicies/join/action ネットワーク インテント ポリシーに参加します。 警告不可能です。
Microsoft.Network/networkSecurityGroups/join/action ネットワーク セキュリティ グループに参加します。 警告不可能です。
Microsoft.Network/routeTables/join/action ルート テーブルを結合します。 警告不可能です。