发行说明
Connector 的 Azure 权限
建议更改
PDF
当BlueXP在Azure中启动Connector VM时、它会将一个自定义角色附加到该VM、从而使Connector能够管理该Azure订阅中的资源和进程。Connector使用权限对多个Azure服务进行API调用。
自定义角色权限
下面显示的自定义角色提供了Connector管理Azure网络中的资源和进程所需的权限。
请注意以下事项:
-
直接从BlueXP创建Connector时、BlueXP会自动将此自定义角色应用于Connector。
-
如果您从Azure Marketplace部署Connector、或者在Linux主机上手动安装Connector、则需要您自己设置自定义角色。
-
无论哪种情况、您都需要确保角色在后续版本中添加新权限时处于最新状态。如果需要新的权限、这些权限将在发行说明中列出。
-
要查看使用这些策略的分步说明、请参见以下页面:
{
"Name": "BlueXP Operator",
"Actions": [
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/vmSizes/read",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Compute/operations/read",
"Microsoft.Compute/virtualMachines/instanceView/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/vmSizes/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/images/read",
"Microsoft.Network/locations/operationResults/read",
"Microsoft.Network/locations/operations/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/virtualMachines/read",
"Microsoft.Network/virtualNetworks/virtualMachines/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourcegroups/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Storage/checknameavailability/read",
"Microsoft.Storage/operations/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/usages/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read",
"Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/loadBalancers/delete",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/loadBalancingRules/read",
"Microsoft.Network/loadBalancers/probes/read",
"Microsoft.Network/loadBalancers/probes/join/action",
"Microsoft.Authorization/locks/*",
"Microsoft.Network/routeTables/join/action",
"Microsoft.NetApp/netAppAccounts/read",
"Microsoft.NetApp/netAppAccounts/capacityPools/read",
"Microsoft.NetApp/netAppAccounts/capacityPools/volumes/write",
"Microsoft.NetApp/netAppAccounts/capacityPools/volumes/read",
"Microsoft.NetApp/netAppAccounts/capacityPools/volumes/delete",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Storage/storageAccounts/privateEndpointConnections/read",
"Microsoft.Storage/storageAccounts/managementPolicies/read",
"Microsoft.Storage/storageAccounts/managementPolicies/write",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Resources/deployments/operationStatuses/read",
"Microsoft.Insights/Metrics/Read",
"Microsoft.Compute/virtualMachines/extensions/write",
"Microsoft.Compute/virtualMachines/extensions/delete",
"Microsoft.Compute/virtualMachines/extensions/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Resources/deployments/delete",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Network/privateEndpoints/delete",
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.Compute/diskEncryptionSets/delete",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/tags/write",
"Microsoft.Resources/tags/delete",
"Microsoft.Network/applicationSecurityGroups/write",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action",
"Microsoft.Network/networkSecurityGroups/securityRules/write",
"Microsoft.Network/applicationSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/securityRules/delete",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Synapse/workspaces/write",
"Microsoft.Synapse/workspaces/read",
"Microsoft.Synapse/workspaces/delete",
"Microsoft.Synapse/register/action",
"Microsoft.Synapse/checkNameAvailability/action",
"Microsoft.Synapse/workspaces/operationStatuses/read",
"Microsoft.Synapse/workspaces/firewallRules/read",
"Microsoft.Synapse/workspaces/replaceAllIpFirewallRules/action",
"Microsoft.Synapse/workspaces/operationResults/read",
"Microsoft.Synapse/workspaces/privateEndpointConnectionsApproval/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Compute/images/write",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/read"
],
"NotActions": [],
"AssignableScopes": [],
"Description": "BlueXP Permissions",
"IsCustom": "true"
}如何使用Azure权限
以下各节介绍了如何对每个BlueXP服务使用权限。如果您的公司策略规定仅在需要时提供权限、则此信息会很有用。
Azure NetApp Files
在使用BlueXP分类扫描Azure NetApp Files数据时、连接器会发出以下API请求:
-
Microsoft.NetApp/netAppAccounts/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/write
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/delete
备份和恢复
Connector会发出以下API请求以进行BlueXP备份和恢复:
-
microsoft.Storage/storageAccounts"/列表项/操作
-
microsoft.Storage/storageAccounts"或"Read"
-
microsoft.Storage/storageAccounts"或"write"
-
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/containers/read
-
microsoft.Storage/storageAccounts/ListAccountSAS/操作
-
microsoft.KeyVault/vauls/read
-
microsoft.KeyVault/vauls/accessPolicies/write
-
Microsoft.Network/networkInterfaces/read
-
microsoft.resources/subscriptions/locations/read
-
Microsoft.Network/virtualNetworks/read
-
Microsoft.Network/virtualNetworks/subnets/read
-
microsoft.resources/subscriptions/resources/read
-
microsoft.resources/subscriptions/resources/resources/read
-
microsoft.resources/subscriptions/resources/write
-
Microsoft授权/锁定/*
-
Microsoft.Network/privateEndpoints/write
-
Microsoft.Network/privateEndpoints/read
-
Microsoft.Network/privateDnsZones/virtualNetworkLinks/write
-
Microsoft.Network/virtualNetworks/join/action
-
Microsoft.Network/privateDnsZones/A/write
-
Microsoft.Network/privateDnsZones/read
-
Microsoft.Network/privateDnsZones/virtualNetworkLinks/read
-
Microsoft.Network/networkInterfaces/delete
-
Microsoft.Network/networkSecurityGroups/delete
-
microsoft.resources/deployments/delete
-
microsoft.ManagedIdentity/userAssignedIdentities/assign/action
在使用搜索和还原功能时、Connector会发出以下API请求:
-
microsoft.Synape/工作空间/写入
-
microsoft.Synape/工作空间/读取
-
microsoft.Synape/workworkeds/delete
-
microsoft.Synape/register/action
-
microsoft.Synape/checkNameAvailability /操作
-
microsoft.Synape/workworkeds/operationStatuss/Read
-
microsoft.Synape/workscales/firewallRules/read
-
microsoft.Synape/workflows/replaceAllIpFirewallRules/action.
-
microsoft.Synape/workworkeds/operationResults/Read
-
microsoft.Synape/workworkworks/privateEndpointConnectionsApproval/操作
分类
使用BlueXP分类时、Connector会发出以下API请求。
| Action | 用于设置? | 用于日常操作? |
|---|---|---|
Microsoft.Compute/locations/operations/read |
是的。 |
是的。 |
Microsoft.Compute/locations/vmSizes/read |
是的。 |
是的。 |
Microsoft.Compute/operations/read |
是的。 |
是的。 |
Microsoft.Compute/virtualMachines/instanceView/read |
是的。 |
是的。 |
Microsoft.Compute/virtualMachines/powerOff/action |
是的。 |
否 |
Microsoft.Compute/virtualMachines/read |
是的。 |
是的。 |
Microsoft.Compute/virtualMachines/restart/action |
是的。 |
否 |
Microsoft.Compute/virtualMachines/start/action |
是的。 |
否 |
Microsoft.Compute/virtualMachines/vmSizes/read |
否 |
是的。 |
Microsoft.Compute/virtualMachines/write |
是的。 |
否 |
Microsoft.Compute/images/read |
是的。 |
是的。 |
Microsoft.Compute/disks/delete |
是的。 |
否 |
Microsoft.Compute/disks/read |
是的。 |
是的。 |
Microsoft.Compute/disks/write |
是的。 |
否 |
microsoft.Storage/测试可用性/读取 |
是的。 |
是的。 |
microsoft.Storage/operations/read |
是的。 |
是的。 |
microsoft.Storage/storageAccounts"/列表项/操作 |
是的。 |
否 |
microsoft.Storage/storageAccounts"或"Read" |
是的。 |
是的。 |
microsoft.Storage/storageAccounts"或"write" |
是的。 |
否 |
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/containers/read |
是的。 |
是的。 |
Microsoft.Network/networkInterfaces/read |
是的。 |
是的。 |
Microsoft.Network/networkInterfaces/write |
是的。 |
否 |
Microsoft.Network/networkInterfaces/join/action |
是的。 |
否 |
Microsoft.Network/networkSecurityGroups/read |
是的。 |
是的。 |
Microsoft.Network/networkSecurityGroups/write |
是的。 |
否 |
microsoft.resources/subscriptions/locations/read |
是的。 |
是的。 |
Microsoft.Network/locations/operationResults/read |
是的。 |
是的。 |
Microsoft.Network/locations/operations/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/subnets/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/virtualMachines/read |
是的。 |
是的。 |
Microsoft.Network/virtualNetworks/subnets/join/action |
是的。 |
否 |
Microsoft.Network/virtualNetworks/subnets/write |
是的。 |
否 |
Microsoft.Network/routeTables/join/action |
是的。 |
否 |
microsoft.resources/deployments/operations/read |
是的。 |
是的。 |
microsoft.resources/deployments/read |
是的。 |
是的。 |
microsoft.resources/deployments/write |
是的。 |
否 |
microsoft.resources/resources/read |
是的。 |
是的。 |
microsoft.resources/subscriptions/operationresults/read |
是的。 |
是的。 |
microsoft.resources/subscriptions/resources/delete |
是的。 |
否 |
microsoft.resources/subscriptions/resources/read |
是的。 |
是的。 |
microsoft.resources/subscriptions/resources/resources/read |
是的。 |
是的。 |
microsoft.resources/subscriptions/resources/write |
是的。 |
否 |
Cloud Volumes ONTAP
Connector会发出以下API请求以在Azure中部署和管理Cloud Volumes ONTAP。
| 目的 | Action | 用于部署? | 用于日常操作? | 用于删除? |
|---|---|---|---|---|
创建和管理VM |
Microsoft.Compute/locations/operations/read |
是的。 |
是的。 |
否 |
Microsoft.Compute/locations/vmSizes/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/subscriptions/locations/read |
是的。 |
否 |
否 |
|
Microsoft.Compute/operations/read |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/instanceView/read |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/powerOff/action |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/read |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/restart/action |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/start/action |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/deallocate/action |
否 |
是的。 |
是的。 |
|
Microsoft.Compute/virtualMachines/vmSizes/read |
否 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/write |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/virtualMachines/delete |
是的。 |
是的。 |
是的。 |
|
microsoft.resources/deployments/delete |
是的。 |
否 |
否 |
|
启用从VHD部署 |
Microsoft.Compute/images/read |
是的。 |
否 |
否 |
Microsoft.Compute/images/write |
是的。 |
否 |
否 |
|
在目标子网中创建和管理网络接口 |
Microsoft.Network/networkInterfaces/read |
是的。 |
是的。 |
否 |
Microsoft.Network/networkInterfaces/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/networkInterfaces/join/action |
是的。 |
是的。 |
否 |
|
Microsoft.Network/networkInterfaces/delete |
是的。 |
是的。 |
否 |
|
创建和管理网络安全组 |
Microsoft.Network/networkSecurityGroups/read |
是的。 |
是的。 |
否 |
Microsoft.Network/networkSecurityGroups/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/networkSecurityGroups/join/action |
是的。 |
否 |
否 |
|
Microsoft.Network/networkSecurityGroups/delete |
否 |
是的。 |
是的。 |
|
获取有关区域、目标vNet和子网的网络信息、并将VM添加到VNets |
Microsoft.Network/locations/operationResults/read |
是的。 |
是的。 |
否 |
Microsoft.Network/locations/operations/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/read |
是的。 |
否 |
否 |
|
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read |
是的。 |
否 |
否 |
|
Microsoft.Network/virtualNetworks/subnets/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/virtualMachines/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/subnets/join/action |
是的。 |
是的。 |
否 |
|
创建和管理资源组 |
microsoft.resources/deployments/operations/read |
是的。 |
是的。 |
否 |
microsoft.resources/deployments/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/deployments/write |
是的。 |
是的。 |
否 |
|
microsoft.resources/resources/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/subscriptions/operationresults/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/subscriptions/resources/delete |
是的。 |
是的。 |
是的。 |
|
microsoft.resources/subscriptions/resources/read |
否 |
是的。 |
否 |
|
microsoft.resources/subscriptions/resources/resources/read |
是的。 |
是的。 |
否 |
|
microsoft.resources/subscriptions/resources/write |
是的。 |
是的。 |
否 |
|
管理Azure存储帐户和磁盘 |
Microsoft.Compute/disks/read |
是的。 |
是的。 |
是的。 |
Microsoft.Compute/disks/write |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/disks/delete |
是的。 |
是的。 |
是的。 |
|
microsoft.Storage/测试可用性/读取 |
是的。 |
是的。 |
否 |
|
microsoft.Storage/operations/read |
是的。 |
是的。 |
否 |
|
microsoft.Storage/storageAccounts"/列表项/操作 |
是的。 |
是的。 |
否 |
|
microsoft.Storage/storageAccounts"或"Read" |
是的。 |
是的。 |
否 |
|
microsoft.Storage/storageAccounts"或"delete" |
否 |
是的。 |
是的。 |
|
microsoft.Storage/storageAccounts"或"write" |
是的。 |
是的。 |
否 |
|
microsoft.Storage/使用 情况/读取 |
否 |
是的。 |
否 |
|
启用Blob存储备份和存储帐户加密 |
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/containers/read |
是的。 |
是的。 |
否 |
microsoft.KeyVault/vauls/read |
是的。 |
是的。 |
否 |
|
microsoft.KeyVault/vauls/accessPolicies/write |
是的。 |
是的。 |
否 |
|
为数据分层启用vNet服务端点 |
Microsoft.Network/virtualNetworks/subnets/write |
是的。 |
是的。 |
否 |
Microsoft.Network/routeTables/join/action |
是的。 |
是的。 |
否 |
|
创建和管理Azure托管快照 |
Microsoft.Compute/snapshots/write |
是的。 |
是的。 |
否 |
Microsoft.Compute/snapshots/read |
是的。 |
是的。 |
否 |
|
Microsoft.Compute/snapshots/delete |
否 |
是的。 |
是的。 |
|
Microsoft.Compute/disks/beginGetAccess/action |
否 |
是的。 |
否 |
|
创建和管理可用性集 |
Microsoft.Compute/availabilitySets/write |
是的。 |
否 |
否 |
Microsoft.Compute/availabilitySets/read |
是的。 |
否 |
否 |
|
支持从市场进行编程部署 |
microsoft.MarketplaceOrered/OfferTypes/Publishers/Offers/Plans/agreements/Read |
是的。 |
否 |
否 |
microsoft.MarketplaceOrered/OfferTypes/Publishers/Offers/Plans/agreements/write |
是的。 |
是的。 |
否 |
|
管理HA对的负载平衡器 |
Microsoft.Network/loadBalancers/read |
是的。 |
是的。 |
否 |
Microsoft.Network/loadBalancers/write |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/delete |
否 |
是的。 |
是的。 |
|
Microsoft.Network/loadBalancers/backendAddressPools/read |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/backendAddressPools/join/action |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/loadBalancers/loadBalancingRules/read |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/probes/read |
是的。 |
否 |
否 |
|
Microsoft.Network/loadBalancers/probes/join/action |
是的。 |
否 |
否 |
|
启用对Azure磁盘上的锁定的管理 |
Microsoft授权/锁定/* |
是的。 |
是的。 |
否 |
当子网外部没有连接时、为HA对启用私有端点 |
Microsoft.Network/privateEndpoints/write |
是的。 |
是的。 |
否 |
microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/操作 |
是的。 |
否 |
否 |
|
microsoft.Storage/storageAccounts/privateEndpointConnections/Read |
是的。 |
是的。 |
是的。 |
|
Microsoft.Network/privateEndpoints/read |
是的。 |
是的。 |
是的。 |
|
Microsoft.Network/privateDnsZones/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/privateDnsZones/virtualNetworkLinks/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/virtualNetworks/join/action |
是的。 |
是的。 |
否 |
|
Microsoft.Network/privateDnsZones/A/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/privateDnsZones/read |
是的。 |
是的。 |
否 |
|
Microsoft.Network/privateDnsZones/virtualNetworkLinks/read |
是的。 |
是的。 |
否 |
|
某些虚拟机部署需要此功能、具体取决于底层物理硬件 |
microsoft.resources/deployments/operationStatuss/Read |
是的。 |
是的。 |
否 |
如果部署失败或删除、请从资源组中删除资源 |
Microsoft.Network/privateEndpoints/delete |
是的。 |
是的。 |
否 |
Microsoft.Compute/availabilitySets/delete |
是的。 |
是的。 |
否 |
|
使用API时、启用使用客户管理的加密密钥 |
Microsoft.Compute/diskEncryptionSets/read |
是的。 |
是的。 |
是的。 |
Microsoft.Compute/diskEncryptionSets/write |
是的。 |
是的。 |
否 |
|
microsoft.KeyVault/vauls/deploy/action |
是的。 |
否 |
否 |
|
Microsoft.Compute/diskEncryptionSets/delete |
是的。 |
是的。 |
是的。 |
|
为HA对配置应用程序安全组、以隔离HA互连和集群网络NIC |
Microsoft.Network/applicationSecurityGroups/write |
否 |
是的。 |
否 |
Microsoft.Network/applicationSecurityGroups/read |
否 |
是的。 |
否 |
|
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action |
否 |
是的。 |
否 |
|
Microsoft.Network/networkSecurityGroups/securityRules/write |
是的。 |
是的。 |
否 |
|
Microsoft.Network/applicationSecurityGroups/delete |
否 |
是的。 |
是的。 |
|
Microsoft.Network/networkSecurityGroups/securityRules/delete |
否 |
是的。 |
是的。 |
|
读取、写入和删除与Cloud Volumes ONTAP 资源关联的标记 |
microsoft.resources/tags或read |
否 |
是的。 |
否 |
microsoft.resources/tags或write |
是的。 |
是的。 |
否 |
|
microsoft.resources/tags或delete |
是的。 |
否 |
否 |
|
在创建期间对存储帐户进行加密 |
microsoft.ManagedIdentity/userAssignedIdentities/assign/action |
是的。 |
是的。 |
否 |
边缘缓存
使用BlueXP边缘缓存时、Connector会发出以下API请求:
-
microsoft.Insights /指标/读取
-
Microsoft.Compute/virtualMachines/extensions/write
-
Microsoft.Compute/virtualMachines/extensions/read
-
Microsoft.Compute/virtualMachines/extensions/delete
-
Microsoft.Compute/virtualMachines/delete
-
Microsoft.Network/networkInterfaces/delete
-
Microsoft.Network/networkSecurityGroups/delete
-
microsoft.resources/deployments/delete
Kubernetes
Connector发出以下API请求、以发现和管理Azure Kubernetes Service (AKS)中运行的集群:
-
Microsoft.Compute/virtualMachines/read
-
microsoft.resources/subscriptions/locations/read
-
microsoft.resources/subscriptions/operationresults/read
-
microsoft.resources/subscriptions/resources/read
-
microsoft.resources/subscriptions/resources/resources/read
-
microsoft.ContainerService/managedClusters/Read
-
microsoft.ContainerService/managedClusters/ListClusterUserCredential/action
分层
在设置BlueXP层时、Connector会发出以下API请求。
-
microsoft.Storage/storageAccounts"/列表项/操作
-
microsoft.resources/subscriptions/resources/read
-
microsoft.resources/subscriptions/locations/read
Connector会为日常操作发出以下API请求。
-
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/containers/read
-
microsoft.Storage/storageAccounts/managementPolicies/Read
-
microsoft.Storage/storageAccounts/managementPolicies/write
-
microsoft.Storage/storageAccounts"或"Read"
更改日志
添加和删除权限后、我们将在以下各节中记录这些权限。
2023年12月5日
将卷数据备份到Azure Blb存储时、BlueXP备份和恢复不再需要以下权限:
-
Microsoft.Compute/virtualMachines/read
-
Microsoft.Compute/virtualMachines/start/action
-
Microsoft.Compute/virtualMachines/deallocate/action
-
Microsoft.Compute/virtualMachines/extensions/delete
-
Microsoft.Compute/virtualMachines/delete
其他BlueXP存储服务需要这些权限、因此、如果您正在使用这些其他存储服务、这些权限仍将保留在Connector的自定义角色中。
2023年5月12日
以下权限已添加到JSON策略中、因为Cloud Volumes ONTAP 管理需要这些权限:
-
Microsoft.Compute/images/write
-
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
已从JSON策略中删除以下权限、因为不再需要这些权限:
-
microsoft.Storage/storageAccounts"(存储帐户)/blobServices/容器/写入
-
Microsoft.Network/publicIPAddresses/delete
2023年3月23日
BlueXP分类不再需要"Microsoft.Storage/StorageAccounts/delete"权限。
Cloud Volumes ONTAP 仍需要此权限。
2023年1月5日
已向JSON策略添加以下权限:
-
microsoft.Storage/storageAccounts/ListAccountSAS/操作
-
microsoft.Synape/workworkworks/privateEndpointConnectionsApproval/操作
BlueXP备份和恢复需要这些权限。
-
Microsoft.Network/loadBalancers/backendAddressPools/join/action
Cloud Volumes ONTAP 部署需要此权限。