連接器的Azure權限
建議變更
PDF
當BlueXP在Azure中啟動Connector VM時、它會將自訂角色附加至VM、讓Connector有權管理該Azure訂閱中的資源和程序。Connector會使用權限來撥打API呼叫數個Azure服務。
自訂角色權限
下列自訂角色提供Connector管理Azure網路中資源與程序所需的權限。
請注意下列事項:
-
直接從BlueXP建立連接器時、BlueXP會自動將此自訂角色套用至連接器。
-
如果您從Azure Marketplace部署Connector、或是在Linux主機上手動安裝Connector、則必須自行設定自訂角色。
-
無論是哪種情況、您都必須確保角色是在後續版本中新增權限時的最新狀態。如果需要新的權限、這些權限會列在版本資訊中。
-
若要檢視使用這些原則的逐步指示、請參閱下列頁面:
{
"Name": "BlueXP Operator",
"Actions": [
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/vmSizes/read",
"Microsoft.Resources/subscriptions/locations/read",
"Microsoft.Compute/operations/read",
"Microsoft.Compute/virtualMachines/instanceView/read",
"Microsoft.Compute/virtualMachines/powerOff/action",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/restart/action",
"Microsoft.Compute/virtualMachines/deallocate/action",
"Microsoft.Compute/virtualMachines/start/action",
"Microsoft.Compute/virtualMachines/vmSizes/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/images/read",
"Microsoft.Network/locations/operationResults/read",
"Microsoft.Network/locations/operations/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/subnets/virtualMachines/read",
"Microsoft.Network/virtualNetworks/virtualMachines/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourcegroups/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Storage/checknameavailability/read",
"Microsoft.Storage/operations/read",
"Microsoft.Storage/storageAccounts/listkeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/listAccountSas/action",
"Microsoft.Storage/usages/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/read",
"Microsoft.MarketplaceOrdering/offertypes/publishers/offers/plans/agreements/write",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/loadBalancers/delete",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/loadBalancingRules/read",
"Microsoft.Network/loadBalancers/probes/read",
"Microsoft.Network/loadBalancers/probes/join/action",
"Microsoft.Authorization/locks/*",
"Microsoft.Network/routeTables/join/action",
"Microsoft.NetApp/netAppAccounts/read",
"Microsoft.NetApp/netAppAccounts/capacityPools/read",
"Microsoft.NetApp/netAppAccounts/capacityPools/volumes/write",
"Microsoft.NetApp/netAppAccounts/capacityPools/volumes/read",
"Microsoft.NetApp/netAppAccounts/capacityPools/volumes/delete",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Storage/storageAccounts/privateEndpointConnections/read",
"Microsoft.Storage/storageAccounts/managementPolicies/read",
"Microsoft.Storage/storageAccounts/managementPolicies/write",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Resources/deployments/operationStatuses/read",
"Microsoft.Insights/Metrics/Read",
"Microsoft.Compute/virtualMachines/extensions/write",
"Microsoft.Compute/virtualMachines/extensions/delete",
"Microsoft.Compute/virtualMachines/extensions/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Resources/deployments/delete",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Network/privateEndpoints/delete",
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.KeyVault/vaults/read",
"Microsoft.KeyVault/vaults/accessPolicies/write",
"Microsoft.Compute/diskEncryptionSets/write",
"Microsoft.KeyVault/vaults/deploy/action",
"Microsoft.Compute/diskEncryptionSets/delete",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/tags/write",
"Microsoft.Resources/tags/delete",
"Microsoft.Network/applicationSecurityGroups/write",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action",
"Microsoft.Network/networkSecurityGroups/securityRules/write",
"Microsoft.Network/applicationSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/securityRules/delete",
"Microsoft.Synapse/workspaces/write",
"Microsoft.Synapse/workspaces/read",
"Microsoft.Synapse/workspaces/delete",
"Microsoft.Synapse/register/action",
"Microsoft.Synapse/checkNameAvailability/action",
"Microsoft.Synapse/workspaces/operationStatuses/read",
"Microsoft.Synapse/workspaces/firewallRules/read",
"Microsoft.Synapse/workspaces/replaceAllIpFirewallRules/action",
"Microsoft.Synapse/workspaces/operationResults/read",
"Microsoft.Synapse/workspaces/privateEndpointConnectionsApproval/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Compute/images/write",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/delete"
],
"NotActions": [],
"AssignableScopes": [],
"Description": "BlueXP Permissions",
"IsCustom": "true"
}Azure權限的使用方式
下列各節說明如何將權限用於每項 BlueXP 服務。如果您的企業原則規定只有在需要時才提供權限、此資訊就很有幫助。
Azure NetApp Files
當您使用 BlueXP 分類來掃描 Azure NetApp Files 資料時、 Connector 會提出下列 API 要求:
-
Microsoft.NetApp/netAppAccounts/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/write
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/read
-
Microsoft.NetApp/netAppAccounts/capacityPools/volumes/delete
備份與還原
Connector 會針對 BlueXP 備份與還原提出下列 API 要求:
-
Microsoft.Storage/storageAccounts/listkeys/action
-
Microsoft.Storage/storageAccounts/read
-
Microsoft.Storage/storageAccounts/write
-
Microsoft.Storage/storageAccounts/blobServices/contains/read
-
Microsoft.Storage/storageAccounts/listAccountSas /行動
-
Microsoft.KeyVault/Vault/Read
-
Microsoft.KeyVault/Vault/accessPolicys/write
-
Microsoft.Network/networkInterfaces/read
-
Microsoft.Resources /訂閱/位置/讀取
-
Microsoft.Network/virtualNetworks/read
-
Microsoft.Network/virtualNetworks/subnets/read
-
Microsoft.Resources /訂閱/資源群組/讀取
-
Microsoft.Resources /訂閱/資源群組/資源/讀取
-
Microsoft.Resources /訂閱/資源群組/寫入
-
Microsoft授權/鎖定/*
-
Microsoft.Network/privateEndpoints/write
-
Microsoft.Network/privateEndpoints/read
-
Microsoft.Network/privateDnsZones/virtualNetworkLinks/write
-
Microsoft.Network/virtualNetworks/join/action
-
Microsoft.Network/privateDnsZones/A/write
-
Microsoft.Network/privateDnsZones/read
-
Microsoft.Network/privateDnsZones/virtualNetworkLinks/read
-
Microsoft.Network/networkInterfaces/delete
-
Microsoft.Network/networkSecurityGroups/delete
-
Microsoft資源/部署/刪除
-
Microsoft.ManagedIdentity /使用者身分識別/指派/行動
使用搜尋與還原功能時、Connector會發出下列API要求:
-
Microsoft.Synapse /工作區/寫入
-
Microsoft.Synapse /工作區/讀取
-
Microsoft.Synapse /工作區/刪除
-
Microsoft.Synapse /登錄/行動
-
Microsoft.Synape/checksNameAvailability /行動
-
Microsoft.Synapse /工作區/作業狀態/讀取
-
Microsoft.Synapse /工作區/防火牆規則/讀取
-
Microsoft.Synapse /工作區/替代AllIpFiretallRules /行動
-
Microsoft.Synapse /工作區/作業結果/讀取
-
Microsoft.Synapse /工作區/私有端點連線核准/行動
分類
當您使用 BlueXP 分類時、 Connector 會提出下列 API 要求。
| 行動 | 用於設定? | 用於日常營運? |
|---|---|---|
Microsoft.Compute/locations/operations/read |
是的 |
是的 |
Microsoft.Compute/locations/vmSizes/read |
是的 |
是的 |
Microsoft.Compute/operations/read |
是的 |
是的 |
Microsoft.Compute/virtualMachines/instanceView/read |
是的 |
是的 |
Microsoft.Compute/virtualMachines/powerOff/action |
是的 |
否 |
Microsoft.Compute/virtualMachines/read |
是的 |
是的 |
Microsoft.Compute/virtualMachines/restart/action |
是的 |
否 |
Microsoft.Compute/virtualMachines/start/action |
是的 |
否 |
Microsoft.Compute/virtualMachines/vmSizes/read |
否 |
是的 |
Microsoft.Compute/virtualMachines/write |
是的 |
否 |
Microsoft.Compute/images/read |
是的 |
是的 |
Microsoft.Compute/disks/delete |
是的 |
否 |
Microsoft.Compute/disks/read |
是的 |
是的 |
Microsoft.Compute/disks/write |
是的 |
否 |
Microsoft.Storage/測試可用度/讀取 |
是的 |
是的 |
Microsoft.Storage/operations /讀取 |
是的 |
是的 |
Microsoft.Storage/storageAccounts/listkeys/action |
是的 |
否 |
Microsoft.Storage/storageAccounts/read |
是的 |
是的 |
Microsoft.Storage/storageAccounts/write |
是的 |
否 |
Microsoft.Storage/storageAccounts/blobServices/contains/read |
是的 |
是的 |
Microsoft.Network/networkInterfaces/read |
是的 |
是的 |
Microsoft.Network/networkInterfaces/write |
是的 |
否 |
Microsoft.Network/networkInterfaces/join/action |
是的 |
否 |
Microsoft.Network/networkSecurityGroups/read |
是的 |
是的 |
Microsoft.Network/networkSecurityGroups/write |
是的 |
否 |
Microsoft.Resources /訂閱/位置/讀取 |
是的 |
是的 |
Microsoft.Network/locations/operationResults/read |
是的 |
是的 |
Microsoft.Network/locations/operations/read |
是的 |
是的 |
Microsoft.Network/virtualNetworks/read |
是的 |
是的 |
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read |
是的 |
是的 |
Microsoft.Network/virtualNetworks/subnets/read |
是的 |
是的 |
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read |
是的 |
是的 |
Microsoft.Network/virtualNetworks/virtualMachines/read |
是的 |
是的 |
Microsoft.Network/virtualNetworks/subnets/join/action |
是的 |
否 |
Microsoft.Network/virtualNetworks/subnets/write |
是的 |
否 |
Microsoft.Network/routeTables/join/action |
是的 |
否 |
Microsoft.Resources /部署/作業/讀取 |
是的 |
是的 |
Microsoft.Resources /部署/讀取 |
是的 |
是的 |
Microsoft.Resources /部署/寫入 |
是的 |
否 |
Microsoft.Resources /資源/讀取 |
是的 |
是的 |
Microsoft.Resources /訂閱/作業結果/讀取 |
是的 |
是的 |
Microsoft.Resources /訂閱/資源群組/刪除 |
是的 |
否 |
Microsoft.Resources /訂閱/資源群組/讀取 |
是的 |
是的 |
Microsoft.Resources /訂閱/資源群組/資源/讀取 |
是的 |
是的 |
Microsoft.Resources /訂閱/資源群組/寫入 |
是的 |
否 |
Cloud Volumes ONTAP
Connector會提出下列API要求、要求在Cloud Volumes ONTAP Azure中部署及管理功能。
| 目的 | 行動 | 用於部署? | 用於日常營運? | 用於刪除? |
|---|---|---|---|---|
建立及管理VM |
Microsoft.Compute/locations/operations/read |
是的 |
是的 |
否 |
Microsoft.Compute/locations/vmSizes/read |
是的 |
是的 |
否 |
|
Microsoft.Resources /訂閱/位置/讀取 |
是的 |
否 |
否 |
|
Microsoft.Compute/operations/read |
是的 |
是的 |
否 |
|
Microsoft.Compute/virtualMachines/instanceView/read |
是的 |
是的 |
否 |
|
Microsoft.Compute/virtualMachines/powerOff/action |
是的 |
是的 |
否 |
|
Microsoft.Compute/virtualMachines/read |
是的 |
是的 |
否 |
|
Microsoft.Compute/virtualMachines/restart/action |
是的 |
是的 |
否 |
|
Microsoft.Compute/virtualMachines/start/action |
是的 |
是的 |
否 |
|
Microsoft.Compute/virtualMachines/deallocate/action |
否 |
是的 |
是的 |
|
Microsoft.Compute/virtualMachines/vmSizes/read |
否 |
是的 |
否 |
|
Microsoft.Compute/virtualMachines/write |
是的 |
是的 |
否 |
|
Microsoft.Compute/virtualMachines/delete |
是的 |
是的 |
是的 |
|
Microsoft資源/部署/刪除 |
是的 |
否 |
否 |
|
從VHD啟用部署 |
Microsoft.Compute/images/read |
是的 |
否 |
否 |
Microsoft.Compute/images/write |
是的 |
否 |
否 |
|
在目標子網路中建立及管理網路介面 |
Microsoft.Network/networkInterfaces/read |
是的 |
是的 |
否 |
Microsoft.Network/networkInterfaces/write |
是的 |
是的 |
否 |
|
Microsoft.Network/networkInterfaces/join/action |
是的 |
是的 |
否 |
|
Microsoft.Network/networkInterfaces/delete |
是的 |
是的 |
否 |
|
建立及管理網路安全群組 |
Microsoft.Network/networkSecurityGroups/read |
是的 |
是的 |
否 |
Microsoft.Network/networkSecurityGroups/write |
是的 |
是的 |
否 |
|
Microsoft.Network/networkSecurityGroups/join/action |
是的 |
否 |
否 |
|
Microsoft.Network/networkSecurityGroups/delete |
否 |
是的 |
是的 |
|
取得區域、目標Vnet和子網路的網路資訊、並將VM新增至VNets |
Microsoft.Network/locations/operationResults/read |
是的 |
是的 |
否 |
Microsoft.Network/locations/operations/read |
是的 |
是的 |
否 |
|
Microsoft.Network/virtualNetworks/read |
是的 |
否 |
否 |
|
Microsoft.Network/virtualNetworks/checkIpAddressAvailability/read |
是的 |
否 |
否 |
|
Microsoft.Network/virtualNetworks/subnets/read |
是的 |
是的 |
否 |
|
Microsoft.Network/virtualNetworks/subnets/virtualMachines/read |
是的 |
是的 |
否 |
|
Microsoft.Network/virtualNetworks/virtualMachines/read |
是的 |
是的 |
否 |
|
Microsoft.Network/virtualNetworks/subnets/join/action |
是的 |
是的 |
否 |
|
建立及管理資源群組 |
Microsoft.Resources /部署/作業/讀取 |
是的 |
是的 |
否 |
Microsoft.Resources /部署/讀取 |
是的 |
是的 |
否 |
|
Microsoft.Resources /部署/寫入 |
是的 |
是的 |
否 |
|
Microsoft.Resources /資源/讀取 |
是的 |
是的 |
否 |
|
Microsoft.Resources /訂閱/作業結果/讀取 |
是的 |
是的 |
否 |
|
Microsoft.Resources /訂閱/資源群組/刪除 |
是的 |
是的 |
是的 |
|
Microsoft.Resources /訂閱/資源群組/讀取 |
否 |
是的 |
否 |
|
Microsoft.Resources /訂閱/資源群組/資源/讀取 |
是的 |
是的 |
否 |
|
Microsoft.Resources /訂閱/資源群組/寫入 |
是的 |
是的 |
否 |
|
管理Azure儲存帳戶與磁碟 |
Microsoft.Compute/disks/read |
是的 |
是的 |
是的 |
Microsoft.Compute/disks/write |
是的 |
是的 |
否 |
|
Microsoft.Compute/disks/delete |
是的 |
是的 |
是的 |
|
Microsoft.Storage/測試可用度/讀取 |
是的 |
是的 |
否 |
|
Microsoft.Storage/operations /讀取 |
是的 |
是的 |
否 |
|
Microsoft.Storage/storageAccounts/listkeys/action |
是的 |
是的 |
否 |
|
Microsoft.Storage/storageAccounts/read |
是的 |
是的 |
否 |
|
Microsoft.Storage/storageAccounts/DELETE |
否 |
是的 |
是的 |
|
Microsoft.Storage/storageAccounts/write |
是的 |
是的 |
否 |
|
Microsoft.Storage/改 用/讀取 |
否 |
是的 |
否 |
|
可備份至Blob儲存設備、並加密儲存帳戶 |
Microsoft.Storage/storageAccounts/blobServices/contains/read |
是的 |
是的 |
否 |
Microsoft.KeyVault/Vault/Read |
是的 |
是的 |
否 |
|
Microsoft.KeyVault/Vault/accessPolicys/write |
是的 |
是的 |
否 |
|
啟用vnet服務端點以進行資料分層 |
Microsoft.Network/virtualNetworks/subnets/write |
是的 |
是的 |
否 |
Microsoft.Network/routeTables/join/action |
是的 |
是的 |
否 |
|
建立及管理Azure託管快照 |
Microsoft.Compute/snapshots/write |
是的 |
是的 |
否 |
Microsoft.Compute/snapshots/read |
是的 |
是的 |
否 |
|
Microsoft.Compute/snapshots/delete |
否 |
是的 |
是的 |
|
Microsoft.Compute/disks/beginGetAccess/action |
否 |
是的 |
否 |
|
建立及管理可用度集 |
Microsoft.Compute/availabilitySets/write |
是的 |
否 |
否 |
Microsoft.Compute/availabilitySets/read |
是的 |
否 |
否 |
|
從市場進行程式化部署 |
Microsoft.MarketplaceOrdination/offersTypes /出版商/優惠/計畫/協議/讀取 |
是的 |
否 |
否 |
Microsoft.MarketplaceOrder/OfferTypes /出版商/服務/計畫/協議/寫入 |
是的 |
是的 |
否 |
|
管理HA配對的負載平衡器 |
Microsoft.Network/loadBalancers/read |
是的 |
是的 |
否 |
Microsoft.Network/loadBalancers/write |
是的 |
否 |
否 |
|
Microsoft.Network/loadBalancers/delete |
否 |
是的 |
是的 |
|
Microsoft.Network/loadBalancers/backendAddressPools/read |
是的 |
否 |
否 |
|
Microsoft.Network/loadBalancers/backendAddressPools/join/action |
是的 |
否 |
否 |
|
Microsoft.Network/loadBalancers/frontendIPConfigurations/read |
是的 |
是的 |
否 |
|
Microsoft.Network/loadBalancers/loadBalancingRules/read |
是的 |
否 |
否 |
|
Microsoft.Network/loadBalancers/probes/read |
是的 |
否 |
否 |
|
Microsoft.Network/loadBalancers/probes/join/action |
是的 |
否 |
否 |
|
可管理Azure磁碟上的鎖定 |
Microsoft授權/鎖定/* |
是的 |
是的 |
否 |
在子網路外沒有連線時、為HA配對啟用私有端點 |
Microsoft.Network/privateEndpoints/write |
是的 |
是的 |
否 |
Microsoft儲存設備/儲存帳戶/權限端點連線核准/動作 |
是的 |
否 |
否 |
|
Microsoft.Storage/storageAccounts/privateEndpointConnections/read |
是的 |
是的 |
是的 |
|
Microsoft.Network/privateEndpoints/read |
是的 |
是的 |
是的 |
|
Microsoft.Network/privateDnsZones/write |
是的 |
是的 |
否 |
|
Microsoft.Network/privateDnsZones/virtualNetworkLinks/write |
是的 |
是的 |
否 |
|
Microsoft.Network/virtualNetworks/join/action |
是的 |
是的 |
否 |
|
Microsoft.Network/privateDnsZones/A/write |
是的 |
是的 |
否 |
|
Microsoft.Network/privateDnsZones/read |
是的 |
是的 |
否 |
|
Microsoft.Network/privateDnsZones/virtualNetworkLinks/read |
是的 |
是的 |
否 |
|
某些VM部署所需的資源、視基礎實體硬體而定 |
Microsoft.Resources /部署/作業狀態/讀取 |
是的 |
是的 |
否 |
如果部署失敗或刪除、請從資源群組移除資源 |
Microsoft.Network/privateEndpoints/delete |
是的 |
是的 |
否 |
Microsoft.Compute/availabilitySets/delete |
是的 |
是的 |
否 |
|
使用API時、可啟用客戶管理的加密金鑰 |
Microsoft.Compute/diskEncryptionSets/read |
是的 |
是的 |
是的 |
Microsoft.Compute/diskEncryptionSets/write |
是的 |
是的 |
否 |
|
Microsoft.KeyVault/Vault/Deploy /行動 |
是的 |
否 |
否 |
|
Microsoft.Compute/diskEncryptionSets/delete |
是的 |
是的 |
是的 |
|
設定HA配對的應用程式安全性群組、以隔離HA互連和叢集網路NIC |
Microsoft.Network/applicationSecurityGroups/write |
否 |
是的 |
否 |
Microsoft.Network/applicationSecurityGroups/read |
否 |
是的 |
否 |
|
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action |
否 |
是的 |
否 |
|
Microsoft.Network/networkSecurityGroups/securityRules/write |
是的 |
是的 |
否 |
|
Microsoft.Network/applicationSecurityGroups/delete |
否 |
是的 |
是的 |
|
Microsoft.Network/networkSecurityGroups/securityRules/delete |
否 |
是的 |
是的 |
|
讀取、寫入及刪除Cloud Volumes ONTAP 與資源相關的標記 |
Microsoft.Resources /標記/讀取 |
否 |
是的 |
否 |
Microsoft.Resources /標記/寫入 |
是的 |
是的 |
否 |
|
Microsoft.Resources /標記/刪除 |
是的 |
否 |
否 |
|
在建立期間加密儲存帳戶 |
Microsoft.ManagedIdentity /使用者身分識別/指派/行動 |
是的 |
是的 |
否 |
在彈性協調模式中使用虛擬機器擴充集、以指定 Cloud Volumes ONTAP 的特定區域 |
Microsoft 。 運算 / 虛擬機器擴充性集 / 寫入 |
是的 |
否 |
否 |
Microsoft 。 運算 / 虛擬機器擴充集 / 讀取 |
是的 |
否 |
否 |
|
Microsoft 。 運算 / 虛擬機器擴充性集 / 刪除 |
否 |
否 |
是的 |
分層
當您設定 BlueXP 分層時、 Connector 會發出下列 API 要求。
-
Microsoft.Storage/storageAccounts/listkeys/action
-
Microsoft.Resources /訂閱/資源群組/讀取
-
Microsoft.Resources /訂閱/位置/讀取
Connector會針對日常作業提出下列API要求。
-
Microsoft.Storage/storageAccounts/blobServices/contains/read
-
Microsoft.Storage/storageAccounts/managementPolicys/read
-
Microsoft.Storage/storageAccounts/managementPolicys/write
-
Microsoft.Storage/storageAccounts/read
變更記錄
新增和移除權限時、我們會在下方各節中加以註記。
2024 年 9 月 9 日
下列權限已從 JSON 原則中移除、因為 BlueXP 不再支援探索及管理 Kubernetes 叢集:
-
Microsoft.ContainerService/managedClusters/listClusterUserCredentials/action
-
Microsoft.ContainerService/管理叢集/讀取
2024 年 8 月 22 日
下列權限已新增至 JSON 原則、因為 Cloud Volumes ONTAP 支援虛擬機器磅秤集是必要的:
-
Microsoft 。 運算 / 虛擬機器擴充性集 / 寫入
-
Microsoft 。 運算 / 虛擬機器擴充集 / 讀取
-
Microsoft 。 運算 / 虛擬機器擴充性集 / 刪除
2023 年 12 月 5 日
將 Volume 資料備份至 Azure Blob 儲存設備時、 BlueXP 備份與還原不再需要下列權限:
-
Microsoft.Compute/virtualMachines/read
-
Microsoft.Compute/virtualMachines/start/action
-
Microsoft.Compute/virtualMachines/deallocate/action
-
Microsoft.Compute/virtualMachines/extensions/delete
-
Microsoft.Compute/virtualMachines/delete
其他 BlueXP 儲存服務需要這些權限、因此如果您使用其他儲存服務、這些權限仍會保留在 Connector 的自訂角色中。
2023 年 5 月 12 日
下列權限已新增至 JSON 原則、因為 Cloud Volumes ONTAP 管理需要這些權限:
-
Microsoft.Compute/images/write
-
Microsoft.Network/loadBalancers/frontendIPConfigurations/read
下列權限已從Json原則中移除、因為不再需要這些權限:
-
Microsoft.Storage/storageAccounts/blobServices/contains/write
-
Microsoft.Network/publicIPAddresses/delete
2023 年 3 月 23 日
BlueXP 分類不再需要「 Microsoft.Storage/storageAccounts/delete 」權限。
此權限仍為Cloud Volumes ONTAP 必填項目。
2023 年 1 月 5 日
下列權限已新增至Json原則:
-
Microsoft.Storage/storageAccounts/listAccountSas /行動
-
Microsoft.Synapse /工作區/私有端點連線核准/行動
BlueXP 備份與還原需要這些權限。
-
Microsoft.Network/loadBalancers/backendAddressPools/join/action
此權限是Cloud Volumes ONTAP 進行非必要部署所需的權限。