发行说明
Connector 的 Azure 权限
建议更改
PDF
当BlueXP在Azure中启动Connector VM时、它会将一个自定义角色附加到该VM、从而使Connector能够管理该Azure订阅中的资源和进程。Connector使用权限对多个Azure服务进行API调用。
是否需要为连接器创建此自定义角色取决于连接器的部署方式。
使用BlueXP 在Azure中部署Connector虚拟机时、它会在虚拟机上启用 "系统分配的受管身份"、创建自定义角色并将其分配给虚拟机。此角色为BlueXP提供了管理该Azure订阅中的资源和进程所需的权限。升级连接器时、角色的权限会保持最新。您不需要为连接器创建此角色或管理更新。
从Azure Marketplace部署Connector时、或者如果在Linux主机上手动安装Connector、则您需要自行设置自定义角色、并在进行任何更改时保持其权限。
在后续版本中添加新权限时、您需要确保角色处于最新状态。如果需要新的权限、这些权限将在发行说明中列出。
-
要查看使用这些策略的分步说明、请参见以下页面:
如何使用Azure权限
以下各节介绍了如何对每个BlueXP服务使用权限。如果您的公司策略规定仅在需要时提供权限、则此信息会很有用。
Azure NetApp Files
在使用BlueXP分类扫描Azure NetApp Files数据时、连接器会发出以下API请求:
-
Microsoft.NetApp/netAppAccounts/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/write
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/delete
备份和恢复
Connector会发出以下API请求以进行BlueXP备份和恢复:
-
microsoft.Storage/storageAccounts"/列表项/操作
-
microsoft.Storage/storageAccounts"或"Read"
-
microsoft.Storage/storageAccounts"或"write"
-
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/containers/read
-
microsoft.Storage/storageAccounts/ListAccountSAS/操作
-
microsoft.KeyVault/vauls/read
-
microsoft.KeyVault/vauls/accessPolicies/write
-
Microsoft.Network/networkInterfaces/read
-
microsoft.resources/subscriptions/locations/read
-
Microsoft.Network/virtualNetworks/read
-
Microsoft.Network/virtualNetworks/subnets/read
-
microsoft.resources/subscriptions/resources/read
-
microsoft.resources/subscriptions/resources/resources/read
-
microsoft.resources/subscriptions/resources/write
-
Microsoft授权/锁定/*
-
Microsoft.Network/privateEndpoints/write
-
Microsoft.Network/privateEndpoints/read
-
Microsoft.Network/privateDnsZones/virtualNetworkLinks/write
-
Microsoft.Network/virtualNetworks/join/action
-
Microsoft.Network/privateDnsZones/A/write
-
Microsoft.Network/privateDnsZones/read
-
Microsoft.Network/privateDnsZones/virtualNetworkLinks/read
-
Microsoft.Network/networkInterfaces/delete
-
Microsoft.Network/networkSecurityGroups/delete
-
microsoft.resources/deployments/delete
-
microsoft.ManagedIdentity/userAssignedIdentities/assign/action
在使用搜索和还原功能时、Connector会发出以下API请求:
-
microsoft.Synape/工作空间/写入
-
microsoft.Synape/工作空间/读取
-
microsoft.Synape/workworkeds/delete
-
microsoft.Synape/register/action
-
microsoft.Synape/checkNameAvailability /操作
-
microsoft.Synape/workworkeds/operationStatuss/Read
-
microsoft.Synape/workscales/firewallRules/read
-
microsoft.Synape/workflows/replaceAllIpFirewallRules/action.
-
microsoft.Synape/workworkeds/operationResults/Read
-
microsoft.Synape/workworkworks/privateEndpointConnectionsApproval/操作
分类
使用BlueXP分类时、Connector会发出以下API请求。
| Action | 用于设置? | 用于日常操作? |
|---|---|---|
Microsoft.Compute/locations/operations/read |
是的。 |
是的。 |
Microsoft.Compute/locations/vmSizes/read |
是的。 |
是的。 |
Microsoft.Compute/operations/read |
是的。 |
是的。 |
Microsoft.Compute/virtualMachines/instanceView/read |
是的。 |
是的。 |
Microsoft.Compute/virtualMachines/powerOff/action |
是的。 |
否 |
Microsoft.Compute/virtualMachines/read |
是的。 |
是的。 |
Microsoft.Compute/virtualMachines/restart/action |
是的。 |
否 |
Microsoft.Compute/virtualMachines/start/action |
是的。 |
否 |
Microsoft.Compute/virtualMachines/vmSizes/read |
否 |
是的。 |
Microsoft.Compute/virtualMachines/write |
是的。 |
否 |
Microsoft.Compute/images/read |
是的。 |
是的。 |
Microsoft.Compute/disks/delete |
是的。 |
否 |
Microsoft.Compute/disks/read |
是的。 |
是的。 |
Microsoft.Compute/disks/write |
是的。 |
否 |
microsoft.Storage/测试可用性/读取 |
是的。 |
是的。 |
microsoft.Storage/operations/read |
是的。 |
是的。 |
microsoft.Storage/storageAccounts"/列表项/操作 |
是的。 |
否 |
microsoft.Storage/storageAccounts"或"Read" |
是的。 |
是的。 |
microsoft.Storage/storageAccounts"或"write" |
是的。 |
否 |
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/containers/read |
是的。 |
是的。 |
Microsoft.Network/networkInterfaces/read |
是的。 |
是的。 |
Microsoft.Network/networkInterfaces/write |
是的。 |
否 |
Microsoft.Network/networkInterfaces/join/action |
是的。 |
否 |
Microsoft.Network/networkSecurityGroups/read |
是的。 |
是的。 |
Microsoft.Network/networkSecurityGroups/write |
是的。 |
否 |
microsoft.resources/subscriptions/locations/read |
是的。 |
是的。 |
Microsoft.Network/locations/operationResults/read |
是的。 |
是的。 |
Microsoft.Network/locations/operations/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/subnets/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/virtualMachines/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/subnets/join/action |
是的。 |
否 |
Microsoft.Network/virtualNetworks/subnets/write |
是的。 |
否 |
Microsoft.Network/routeTables/join/action |
是的。 |
否 |
microsoft.resources/deployments/operations/read |
是的。 |
是的。 |
microsoft.resources/deployments/read |
是的。 |
是的。 |
microsoft.resources/deployments/write |
是的。 |
否 |
microsoft.resources/resources/read |
是的。 |
是的。 |
microsoft.resources/subscriptions/operationresults/read |
是的。 |
是的。 |
microsoft.resources/subscriptions/resources/delete |
是的。 |
否 |
microsoft.resources/subscriptions/resources/read |
是的。 |
是的。 |
microsoft.resources/subscriptions/resources/resources/read |
是的。 |
是的。 |
microsoft.resources/subscriptions/resources/write |
是的。 |
否 |
Cloud Volumes ONTAP
Connector会发出以下API请求以在Azure中部署和管理Cloud Volumes ONTAP。
| 目的 | Action | 用于部署? | 用于日常操作? | 用于删除? |
|---|---|---|---|---|
创建和管理VM |
Microsoft.Compute/locations/operations/read |
是的。 |
是的。 |
否 |
Microsoft.Compute/locations/vmSizes/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/subscriptions/locations/read |
是的。 |
否 |
否 |
|
Microsoft.Compute/operations/read |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/instanceView/read |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/powerOff/action |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/read |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/restart/action |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/start/action |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/deallocate/action |
否 |
是的。 |
是的。 |
|
Microsoft.Compute/virtualMachines/vmSizes/read |
否 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/write |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/delete |
是的。 |
是的。 |
是的。 |
|
microsoft.resources/deployments/delete |
是的。 |
否 |
否 |
|
启用从VHD部署 |
Microsoft.Compute/images/read |
是的。 |
否 |
否 |
Microsoft.Compute/images/write |
是的。 |
否 |
否 |
|
在目标子网中创建和管理网络接口 |
Microsoft.Network/networkInterfaces/read |
是的。 |
是的。 |
否 |
Microsoft.Network/networkInterfaces/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/networkInterfaces/join/action |
是的。 |
是的。 |
否 |
|
Microsoft.Network/networkInterfaces/delete |
是的。 |
是的。 |
否 |
|
创建和管理网络安全组 |
Microsoft.Network/networkSecurityGroups/read |
是的。 |
是的。 |
否 |
Microsoft.Network/networkSecurityGroups/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/networkSecurityGroups/join/action |
是的。 |
否 |
否 |
|
Microsoft.Network/networkSecurityGroups/delete |
否 |
是的。 |
是的。 |
|
获取有关区域、目标vNet和子网的网络信息、并将VM添加到VNets |
Microsoft.Network/locations/operationResults/read |
是的。 |
是的。 |
否 |
Microsoft.Network/locations/operations/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/read |
是的。 |
否 |
否 |
|
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read |
是的。 |
否 |
否 |
|
Microsoft.Network/virtualNetworks/subnets/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/virtualMachines/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/subnets/join/action |
是的。 |
是的。 |
否 |
|
创建和管理资源组 |
microsoft.resources/deployments/operations/read |
是的。 |
是的。 |
否 |
microsoft.resources/deployments/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/deployments/write |
是的。 |
是的。 |
否 |
|
microsoft.resources/resources/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/subscriptions/operationresults/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/subscriptions/resources/delete |
是的。 |
是的。 |
是的。 |
|
microsoft.resources/subscriptions/resources/read |
否 |
是的。 |
否 |
|
microsoft.resources/subscriptions/resources/resources/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/subscriptions/resources/write |
是的。 |
是的。 |
否 |
|
管理Azure存储帐户和磁盘 |
Microsoft.Compute/disks/read |
是的。 |
是的。 |
是的。 |
Microsoft.Compute/disks/write |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/disks/delete |
是的。 |
是的。 |
是的。 |
|
microsoft.Storage/测试可用性/读取 |
是的。 |
是的。 |
否 |
|
microsoft.Storage/operations/read |
是的。 |
是的。 |
否 |
|
microsoft.Storage/storageAccounts"/列表项/操作 |
是的。 |
是的。 |
否 |
|
microsoft.Storage/storageAccounts"或"Read" |
是的。 |
是的。 |
否 |
|
microsoft.Storage/storageAccounts"或"delete" |
否 |
是的。 |
是的。 |
|
microsoft.Storage/storageAccounts"或"write" |
是的。 |
是的。 |
否 |
|
microsoft.Storage/使用 情况/读取 |
否 |
是的。 |
否 |
|
启用Blob存储备份和存储帐户加密 |
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/containers/read |
是的。 |
是的。 |
否 |
microsoft.KeyVault/vauls/read |
是的。 |
是的。 |
否 |
|
microsoft.KeyVault/vauls/accessPolicies/write |
是的。 |
是的。 |
否 |
|
为数据分层启用vNet服务端点 |
Microsoft.Network/virtualNetworks/subnets/write |
是的。 |
是的。 |
否 |
Microsoft.Network/routeTables/join/action |
是的。 |
是的。 |
否 |
|
创建和管理Azure托管快照 |
Microsoft.Compute/snapshots/write |
是的。 |
是的。 |
否 |
Microsoft.Compute/snapshots/read |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/snapshots/delete |
否 |
是的。 |
是的。 |
|
Microsoft.Compute/disks/beginGetAccess/action |
否 |
是的。 |
否 |
|
创建和管理可用性集 |
Microsoft.Compute/availabilitySets/write |
是的。 |
否 |
否 |
Microsoft.Compute/availabilitySets/read |
是的。 |
否 |
否 |
|
支持从市场进行编程部署 |
microsoft.MarketplaceOrered/OfferTypes/Publishers/Offers/Plans/agreements/Read |
是的。 |
否 |
否 |
microsoft.MarketplaceOrered/OfferTypes/Publishers/Offers/Plans/agreements/write |
是的。 |
是的。 |
否 |
|
管理HA对的负载平衡器 |
Microsoft.Network/loadBalancers/read |
是的。 |
是的。 |
否 |
Microsoft.Network/loadBalancers/write |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/delete |
否 |
是的。 |
是的。 |
|
Microsoft.Network/loadBalancers/backendAddressPools/read |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/backendAddressPools/join/action |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/loadBalancers/loadBalancingRules/read |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/probes/read |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/probes/join/action |
是的。 |
否 |
否 |
|
启用对Azure磁盘上的锁定的管理 |
Microsoft授权/锁定/* |
是的。 |
是的。 |
否 |
当子网外部没有连接时、为HA对启用私有端点 |
Microsoft.Network/privateEndpoints/write |
是的。 |
是的。 |
否 |
microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/操作 |
是的。 |
否 |
否 |
|
microsoft.Storage/storageAccounts/privateEndpointConnections/Read |
是的。 |
是的。 |
是的。 |
|
Microsoft.Network/privateEndpoints/read |
是的。 |
是的。 |
是的。 |
|
Microsoft.Network/privateDnsZones/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/privateDnsZones/virtualNetworkLinks/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/join/action |
是的。 |
是的。 |
否 |
|
Microsoft.Network/privateDnsZones/A/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/privateDnsZones/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/privateDnsZones/virtualNetworkLinks/read |
是的。 |
是的。 |
否 |
|
某些虚拟机部署需要此功能、具体取决于底层物理硬件 |
microsoft.resources/deployments/operationStatuss/Read |
是的。 |
是的。 |
否 |
如果部署失败或删除、请从资源组中删除资源 |
Microsoft.Network/privateEndpoints/delete |
是的。 |
是的。 |
否 |
Microsoft.Compute/availabilitySets/delete |
是的。 |
是的。 |
否 |
|
使用API时、启用使用客户管理的加密密钥 |
Microsoft.Compute/diskEncryptionSets/read |
是的。 |
是的。 |
是的。 |
Microsoft.Compute/diskEncryptionSets/write |
是的。 |
是的。 |
否 |
|
microsoft.KeyVault/vauls/deploy/action |
是的。 |
否 |
否 |
|
Microsoft.Compute/diskEncryptionSets/delete |
是的。 |
是的。 |
是的。 |
|
为HA对配置应用程序安全组、以隔离HA互连和集群网络NIC |
Microsoft.Network/applicationSecurityGroups/write |
否 |
是的。 |
否 |
Microsoft.Network/applicationSecurityGroups/read |
否 |
是的。 |
否 |
|
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action |
否 |
是的。 |
否 |
|
Microsoft.Network/networkSecurityGroups/securityRules/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/applicationSecurityGroups/delete |
否 |
是的。 |
是的。 |
|
Microsoft.Network/networkSecurityGroups/securityRules/delete |
否 |
是的。 |
是的。 |
|
读取、写入和删除与Cloud Volumes ONTAP 资源关联的标记 |
microsoft.resources/tags或read |
否 |
是的。 |
否 |
microsoft.resources/tags或write |
是的。 |
是的。 |
否 |
|
microsoft.resources/tags或delete |
是的。 |
否 |
否 |
|
在创建期间对存储帐户进行加密 |
microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
是的。 |
是的。 |
否 |
在灵活的流程编排模式下使用虚拟机扩展集、以便为Cloud Volumes ONTAP指定特定分区 |
Microsoft。 计算/虚拟MachineScaleSets/Write |
是的。 |
否 |
否 |
Microsoft。 计算/虚拟MachineScaleSets/Read |
是的。 |
否 |
否 |
|
Microsoft。 计算/虚拟MachineScaleSets/delete |
否 |
否 |
是的。 |
分层
在设置BlueXP层时、Connector会发出以下API请求。
-
microsoft.Storage/storageAccounts"/列表项/操作
-
microsoft.resources/subscriptions/resources/read
-
microsoft.resources/subscriptions/locations/read
Connector会为日常操作发出以下API请求。
-
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/containers/read
-
microsoft.Storage/storageAccounts/managementPolicies/Read
-
microsoft.Storage/storageAccounts/managementPolicies/write
-
microsoft.Storage/storageAccounts"或"Read"
更改日志
添加和删除权限后、我们将在以下各节中记录这些权限。
2024年9月9日
已从JSON策略中删除以下权限、因为BlueXP 不再支持发现和管理Kubnetes集群:
-
microsoft.ContainerService/managedClusters/ListClusterUserCredential/action
-
microsoft.ContainerService/managedClusters/Read
2024年8月22日
以下权限已添加到JSON策略中、因为Cloud Volumes ONTAP支持虚拟机扩展集需要这些权限:
-
Microsoft。 计算/虚拟MachineScaleSets/Write
-
Microsoft。 计算/虚拟MachineScaleSets/Read
-
Microsoft。 计算/虚拟MachineScaleSets/delete
2023年12月5日
将卷数据备份到Azure Blb存储时、BlueXP备份和恢复不再需要以下权限:
-
Microsoft.Compute/virtualMachines/read
-
Microsoft.Compute/virtualMachines/start/action
-
Microsoft.Compute/virtualMachines/deallocate/action
-
Microsoft.Compute/virtualMachines/extensions/delete
-
Microsoft.Compute/virtualMachines/delete
其他BlueXP存储服务需要这些权限、因此、如果您正在使用这些其他存储服务、这些权限仍将保留在Connector的自定义角色中。
2023年5月12日
以下权限已添加到JSON策略中、因为Cloud Volumes ONTAP 管理需要这些权限:
-
Microsoft.Compute/images/write
-
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
已从JSON策略中删除以下权限、因为不再需要这些权限:
-
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/容器/写入
-
Microsoft.Network/publicIPAddresses/delete
2023年3月23日
BlueXP分类不再需要"Microsoft.Storage/StorageAccounts/delete"权限。
Cloud Volumes ONTAP 仍需要此权限。
2023年1月5日
已向JSON策略添加以下权限:
-
microsoft.Storage/storageAccounts/ListAccountSAS/操作
-
microsoft.Synape/workworkworks/privateEndpointConnectionsApproval/操作
BlueXP备份和恢复需要这些权限。
-
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Cloud Volumes ONTAP 部署需要此权限。
