Sdílet prostřednictvím


Předdefinované role Azure pro kontejnery

Tento článek obsahuje seznam předdefinovaných rolí Azure v kategorii Kontejnery.

AcrDelete

Odstraňte úložiště, značky nebo manifesty z registru kontejneru.

Další informace

Akce Popis
Microsoft.ContainerRegistry/registry/artifacts/delete Odstranění artefaktu v registru kontejneru
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr delete",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
  "name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/artifacts/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrDelete",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrImageSigner

Nasdílení důvěryhodných imagí nebo vyžádání důvěryhodných imagí z registru kontejneru s povoleným vztahem důvěryhodnosti obsahu

Další informace

Akce Popis
Microsoft.ContainerRegistry/registry/sign/write Metadata důvěryhodnosti obsahu push/pull pro registr kontejneru
NotActions
žádné
Akce dat
Microsoft.ContainerRegistry/registryies/trustedCollections/write Povolí nabízení nebo publikování důvěryhodných kolekcí obsahu registru kontejneru. Podobá se akci Microsoft.ContainerRegistry/registry/sign/write s tím rozdílem, že se jedná o akci dat.
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr image signer",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
  "name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/sign/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/trustedCollections/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrImageSigner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrPull

Načtení artefaktů z registru kontejneru

Další informace

Akce Popis
Microsoft.ContainerRegistry/registryies/pull/read Načtení nebo získání imagí z registru kontejneru
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr pull",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
  "name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/pull/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrPull",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrPush

Nasdíleníartefaktch

Další informace

Akce Popis
Microsoft.ContainerRegistry/registryies/pull/read Načtení nebo získání imagí z registru kontejneru
Microsoft.ContainerRegistry/registryies/push/write Nasdílení nebo zápis imagí do registru kontejneru
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr push",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
  "name": "8311e382-0749-4cb8-b61a-304f252e45ec",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/pull/read",
        "Microsoft.ContainerRegistry/registries/push/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrPush",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrQuarantineReader

Načtení imagí v karanténě z registru kontejneru

Další informace

Akce Popis
Microsoft.ContainerRegistry/registryies/quarantine/read Načtení nebo získání imagí v karanténě z registru kontejneru
NotActions
žádné
Akce dat
Microsoft.ContainerRegistry/registryies/quarantinedArtifacts/read Povolí vyžádání nebo získání artefaktů v karanténě z registru kontejneru. Podobá se tomu Microsoft.ContainerRegistry/registryies/quarantine/read s tím rozdílem, že se jedná o akci dat.
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr quarantine data reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
  "name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/quarantine/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrQuarantineReader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

ZapisovatelDatKarantényACR

Nasdílení změn imagí v karanténě nebo jejich vyžádání z registru kontejneru

Další informace

Akce Popis
Microsoft.ContainerRegistry/registryies/quarantine/read Načtení nebo získání imagí v karanténě z registru kontejneru
Microsoft.ContainerRegistry/registry/quarantine/write Zápis/úprava stavu karantény obrázků v karanténě
NotActions
žádné
Akce dat
Microsoft.ContainerRegistry/registryies/quarantinedArtifacts/read Povolí vyžádání nebo získání artefaktů v karanténě z registru kontejneru. Podobá se tomu Microsoft.ContainerRegistry/registryies/quarantine/read s tím rozdílem, že se jedná o akci dat.
Microsoft.ContainerRegistry/registryies/quarantinedArtifacts/write Umožňuje zapisovat nebo aktualizovat stav karantény artefaktů v karanténě. To se podobá akci Microsoft.ContainerRegistry/registryies/quarantine/write s tím rozdílem, že se jedná o akci dat.
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr quarantine data writer",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
  "name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/quarantine/read",
        "Microsoft.ContainerRegistry/registries/quarantine/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrQuarantineWriter",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Role uživatele clusteru Kubernetes s podporou Azure Arc

Vypsat akci přihlašovacích údajů uživatele clusteru

Akce Popis
Microsoft.Resources/deployments/write Vytvoří nebo aktualizuje nasazení.
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action Výpis přihlašovacích údajů uživatele clusteru (Preview)
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Support/* Vytvoření a aktualizace lístku podpory
Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action Výpis přihlašovacích údajů uživatele clusteru
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credentials action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
  "name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Support/*",
        "Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Správce Kubernetes Azure Arc

Umožňuje spravovat všechny prostředky v rámci clusteru nebo oboru názvů s výjimkou aktualizací nebo odstranění kvót prostředků a oborů názvů.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/write Vytvoří nebo aktualizuje nasazení.
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Support/* Vytvoření a aktualizace lístku podpory
NotActions
žádné
Akce dat
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read Čtení kontroleru
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*
Microsoft.Kubernetes/connectedClusters/apps/deployments/*
Microsoft.Kubernetes/connectedClusters/apps/replicasets/*
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*
Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write Zapisuje localsubjectaccessreviews
Microsoft.Kubernetes/connectedClusters/autoscale/horizontalpodautoscalers/*
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*
Microsoft.Kubernetes/connectedClusters/batch/jobs/*
Microsoft.Kubernetes/connectedClusters/configmaps/*
Microsoft.Kubernetes/connectedClusters/endpoints/*
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read Čte události.
Microsoft.Kubernetes/connectedClusters/events/read Čte události.
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*
Microsoft.Kubernetes/connectedClusters/extensions/deployments/*
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*
Microsoft.Kubernetes/connectedClusters/limitranges/read Omezení čtení
Microsoft.Kubernetes/connectedClusters/namespaces/read Čtení oborů názvů
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*
Microsoft.Kubernetes/connectedClusters/pods/*
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/resourcequotas/read Přečte zdrojquotas.
Microsoft.Kubernetes/connectedClusters/secrets/*
Microsoft.Kubernetes/connectedClusters/serviceaccounts/*
Microsoft.Kubernetes/connectedClusters/services/*
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
  "name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
        "Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
        "Microsoft.Kubernetes/connectedClusters/configmaps/*",
        "Microsoft.Kubernetes/connectedClusters/endpoints/*",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
        "Microsoft.Kubernetes/connectedClusters/pods/*",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
        "Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/secrets/*",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
        "Microsoft.Kubernetes/connectedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Správce clusteru Azure Arc Kubernetes

Umožňuje spravovat všechny prostředky v clusteru.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/write Vytvoří nebo aktualizuje nasazení.
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Support/* Vytvoření a aktualizace lístku podpory
NotActions
žádné
Akce dat
Microsoft.Kubernetes/connectedClusters/*
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources in the cluster.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
  "name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Prohlížeč Kubernetes Azure Arc

Umožňuje zobrazit všechny prostředky v clusteru nebo oboru názvů s výjimkou tajných kódů.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/write Vytvoří nebo aktualizuje nasazení.
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Support/* Vytvoření a aktualizace lístku podpory
NotActions
žádné
Akce dat
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read Čtení kontroleru
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read Čtení démonů
Microsoft.Kubernetes/connectedClusters/apps/deployments/read Čtení nasazení
Microsoft.Kubernetes/connectedClusters/apps/replicasets/read Čtení sad replik
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read Čtení stavových sad
Microsoft.Kubernetes/connectedClusters/autoscale/horizontalpodautoscalers/read Čtení horizontalpodautoscalers
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read Čtení cronjobs
Microsoft.Kubernetes/connectedClusters/batch/jobs/read Čtení úloh
Microsoft.Kubernetes/connectedClusters/configmaps/read Čtení konfiguračních map
Microsoft.Kubernetes/connectedClusters/endpoints/read Čtení koncových bodů
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read Čte události.
Microsoft.Kubernetes/connectedClusters/events/read Čte události.
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read Čtení démonů
Microsoft.Kubernetes/connectedClusters/extensions/deployments/read Čtení nasazení
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read Čtení příchozího přenosu dat
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read Čtení síťových zásad
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read Čtení sad replik
Microsoft.Kubernetes/connectedClusters/limitranges/read Omezení čtení
Microsoft.Kubernetes/connectedClusters/namespaces/read Čtení oborů názvů
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read Čtení příchozího přenosu dat
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read Čtení síťových zásad
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read Reads persistentvolumeclaims
Microsoft.Kubernetes/connectedClusters/pods/read Čtení podů
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read Čtení poddisruptionbudgets
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read Reads replicationcontrollers
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read Reads replicationcontrollers
Microsoft.Kubernetes/connectedClusters/resourcequotas/read Přečte zdrojquotas.
Microsoft.Kubernetes/connectedClusters/serviceaccounts/read Čtení účtů služby
Microsoft.Kubernetes/connectedClusters/services/read Služby čtení
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you view all resources in cluster/namespace, except secrets.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
  "name": "63f0a09d-1495-4db4-a681-037d84835eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
        "Microsoft.Kubernetes/connectedClusters/configmaps/read",
        "Microsoft.Kubernetes/connectedClusters/endpoints/read",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
        "Microsoft.Kubernetes/connectedClusters/pods/read",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
        "Microsoft.Kubernetes/connectedClusters/services/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Viewer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Arc Kubernetes Writer

Umožňuje aktualizovat všechno v clusteru nebo oboru názvů s výjimkou vazeb rolí (clusteru) a (clusteru).

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/write Vytvoří nebo aktualizuje nasazení.
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Support/* Vytvoření a aktualizace lístku podpory
NotActions
žádné
Akce dat
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read Čtení kontroleru
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*
Microsoft.Kubernetes/connectedClusters/apps/deployments/*
Microsoft.Kubernetes/connectedClusters/apps/replicasets/*
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*
Microsoft.Kubernetes/connectedClusters/autoscale/horizontalpodautoscalers/*
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*
Microsoft.Kubernetes/connectedClusters/batch/jobs/*
Microsoft.Kubernetes/connectedClusters/configmaps/*
Microsoft.Kubernetes/connectedClusters/endpoints/*
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read Čte události.
Microsoft.Kubernetes/connectedClusters/events/read Čte události.
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*
Microsoft.Kubernetes/connectedClusters/extensions/deployments/*
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*
Microsoft.Kubernetes/connectedClusters/limitranges/read Omezení čtení
Microsoft.Kubernetes/connectedClusters/namespaces/read Čtení oborů názvů
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*
Microsoft.Kubernetes/connectedClusters/pods/*
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/resourcequotas/read Přečte zdrojquotas.
Microsoft.Kubernetes/connectedClusters/secrets/*
Microsoft.Kubernetes/connectedClusters/serviceaccounts/*
Microsoft.Kubernetes/connectedClusters/services/*
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
  "name": "5b999177-9696-4545-85c7-50de3797e5a1",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
        "Microsoft.Kubernetes/connectedClusters/configmaps/*",
        "Microsoft.Kubernetes/connectedClusters/endpoints/*",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
        "Microsoft.Kubernetes/connectedClusters/pods/*",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/secrets/*",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
        "Microsoft.Kubernetes/connectedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Přispěvatel služby Azure Container Storage

Nainstalujte Službu Azure Container Storage a spravujte její prostředky úložiště. Zahrnuje podmínku ABAC pro omezení přiřazení rolí.

Akce Popis
Microsoft.KubernetesConfiguration/extensions/write Vytvoří nebo aktualizuje prostředek rozšíření.
Microsoft.KubernetesConfiguration/extensions/read Získá prostředek instance rozšíření.
Microsoft.KubernetesConfiguration/extensions/delete Odstraní prostředek instance rozšíření.
Microsoft.KubernetesConfiguration/extensions/operations/read Získá stav asynchronní operace.
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Management/managementGroups/read Zobrazí seznam skupin pro správu ověřeného uživatele.
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Support/* Vytvoření a aktualizace lístku podpory
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
Akce
Microsoft.Authorization/roleAssignments/write Vytvořte přiřazení role v zadaném oboru.
Microsoft.Authorization/roleAssignments/delete Odstraňte přiřazení role v zadaném oboru.
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
Condition (Podmínka)
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) NEBO (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) Přidejte nebo odeberte přiřazení rolí pro následující role:
Operátor služby Azure Container Storage
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you install Azure Container Storage and manage its storage resources",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
  "name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
  "permissions": [
    {
      "actions": [
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    },
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
    }
  ],
  "roleName": "Azure Container Storage Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Operátor služby Azure Container Storage

Povolte spravovanou identitu k provádění operací azure Container Storage, jako je správa virtuálních počítačů a správa virtuálních sítí.

Akce Popis
Microsoft.ElasticSan/elasticSans/*
Microsoft.ElasticSan/locations/asyncoperations/read Dotazuje stav asynchronní operace.
Microsoft.Network/routeTables/join/action Spojí směrovací tabulku. Nelze upozorňovat.
Microsoft.Network/networkSecurityGroups/join/action Připojí skupinu zabezpečení sítě. Nelze upozorňovat.
Microsoft.Network/virtualNetworks/write Vytvoří virtuální síť nebo aktualizuje existující virtuální síť.
Microsoft.Network/virtualNetworks/delete Odstraní virtuální síť.
Microsoft.Network/virtualNetworks/join/action Připojí virtuální síť. Nelze upozorňovat.
Microsoft.Network/virtualNetworks/subnets/read Získá definici podsítě virtuální sítě.
Microsoft.Network/virtualNetworks/subnets/write Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě.
Microsoft.Compute/virtualMachines/read Získání vlastností virtuálního počítače
Microsoft.Compute/virtualMachines/write Vytvoří nový virtuální počítač nebo aktualizuje existující virtuální počítač.
Microsoft.Compute/virtualMachineScaleSets/read Získání vlastností škálovací sady virtuálních počítačů
Microsoft.Compute/virtualMachineScaleSets/write Vytvoří novou škálovací sadu virtuálních počítačů nebo aktualizuje existující sadu.
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write Aktualizuje vlastnosti virtuálního počítače ve škálovací sadě virtuálních počítačů.
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read Načte vlastnosti virtuálního počítače ve škálovací sadě virtuálních počítačů.
Microsoft.Resources/subscriptions/providers/read Získá nebo zobrazí seznam poskytovatelů prostředků.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Network/virtualNetworks/read Získání definice virtuální sítě
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role required by a Managed Identity for Azure Container Storage operations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
  "name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
  "permissions": [
    {
      "actions": [
        "Microsoft.ElasticSan/elasticSans/*",
        "Microsoft.ElasticSan/locations/asyncoperations/read",
        "Microsoft.Network/routeTables/join/action",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/virtualNetworks/write",
        "Microsoft.Network/virtualNetworks/delete",
        "Microsoft.Network/virtualNetworks/join/action",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/write",
        "Microsoft.Compute/virtualMachines/read",
        "Microsoft.Compute/virtualMachines/write",
        "Microsoft.Compute/virtualMachineScaleSets/read",
        "Microsoft.Compute/virtualMachineScaleSets/write",
        "Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
        "Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
        "Microsoft.Resources/subscriptions/providers/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Network/virtualNetworks/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Container Storage Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Vlastník služby Azure Container Storage

Nainstalujte Službu Azure Container Storage, udělte přístup k prostředkům úložiště a nakonfigurujte síť SAN (Azure Elastic Storage Area Network). Zahrnuje podmínku ABAC pro omezení přiřazení rolí.

Akce Popis
Microsoft.ElasticSan/elasticSans/*
Microsoft.ElasticSan/locations/*
Microsoft.ElasticSan/elasticSans/volumeGroups/*
Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*
Microsoft.ElasticSan/locations/asyncoperations/read Dotazuje stav asynchronní operace.
Microsoft.KubernetesConfiguration/extensions/write Vytvoří nebo aktualizuje prostředek rozšíření.
Microsoft.KubernetesConfiguration/extensions/read Získá prostředek instance rozšíření.
Microsoft.KubernetesConfiguration/extensions/delete Odstraní prostředek instance rozšíření.
Microsoft.KubernetesConfiguration/extensions/operations/read Získá stav asynchronní operace.
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Management/managementGroups/read Zobrazí seznam skupin pro správu ověřeného uživatele.
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Support/* Vytvoření a aktualizace lístku podpory
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
Akce
Microsoft.Authorization/roleAssignments/write Vytvořte přiřazení role v zadaném oboru.
Microsoft.Authorization/roleAssignments/delete Odstraňte přiřazení role v zadaném oboru.
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
Condition (Podmínka)
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) NEBO (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) Přidejte nebo odeberte přiřazení rolí pro následující role:
Operátor služby Azure Container Storage
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you install Azure Container Storage and grants access to its storage resources",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
  "name": "95de85bd-744d-4664-9dde-11430bc34793",
  "permissions": [
    {
      "actions": [
        "Microsoft.ElasticSan/elasticSans/*",
        "Microsoft.ElasticSan/locations/*",
        "Microsoft.ElasticSan/elasticSans/volumeGroups/*",
        "Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
        "Microsoft.ElasticSan/locations/asyncoperations/read",
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    },
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
    }
  ],
  "roleName": "Azure Container Storage Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Role přispěvatele Správce flotily Azure Kubernetes

Uděluje přístup pro čtení a zápis k prostředkům Azure, které poskytuje Azure Kubernetes Fleet Manager, včetně vozového parku, členů vozového parku, strategií aktualizací vozového parku, spuštění aktualizací vozového parku atd.

Akce Popis
Microsoft.ContainerService/fleets/*
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
  "name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/fleets/*",
        "Microsoft.Resources/deployments/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager Contributor Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Správce RBAC v Azure Kubernetes Fleet Manageru

Uděluje přístup pro čtení a zápis k prostředkům Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem – poskytuje oprávnění k zápisu u většiny objektů v rámci oboru názvů, s výjimkou objektu ResourceQuota a samotného objektu oboru názvů. Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.ContainerService/fleets/read Získání flotily
Microsoft.ContainerService/fleets/listCredentials/action Výpis přihlašovacích údajů pro flotilu
NotActions
žádné
Akce dat
Microsoft.ContainerService/fleets/apps/controllerrevisions/read Čtení kontroleru
Microsoft.ContainerService/fleets/apps/daemonsets/*
Microsoft.ContainerService/fleets/apps/deployments/*
Microsoft.ContainerService/fleets/apps/statefulsets/*
Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write Zapisuje localsubjectaccessreviews
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*
Microsoft.ContainerService/fleets/batch/cronjobs/*
Microsoft.ContainerService/fleets/batch/jobs/*
Microsoft.ContainerService/fleets/configmaps/*
Microsoft.ContainerService/fleets/endpoints/*
Microsoft.ContainerService/fleets/events.k8s.io/events/read Čte události.
Microsoft.ContainerService/fleets/events/read Čte události.
Microsoft.ContainerService/fleets/extensions/daemonsets/*
Microsoft.ContainerService/fleets/extensions/deployments/*
Microsoft.ContainerService/fleets/extensions/ingresses/*
Microsoft.ContainerService/fleets/extensions/networkpolicies/*
Microsoft.ContainerService/fleets/limitranges/read Omezení čtení
Microsoft.ContainerService/fleets/namespaces/read Čtení oborů názvů
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*
Microsoft.ContainerService/fleets/persistentvolumeclaims/*
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/resourcequotas/read Přečte zdrojquotas.
Microsoft.ContainerService/fleets/secrets/*
Microsoft.ContainerService/fleets/serviceaccounts/*
Microsoft.ContainerService/fleets/services/*
Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read Čtení interního prostředku fleetu
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read Přečtěte si prostředek fleetoverridesnapshot
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read Čtení pracovního prostředku flotily
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
  "name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/*",
        "Microsoft.ContainerService/fleets/apps/deployments/*",
        "Microsoft.ContainerService/fleets/apps/statefulsets/*",
        "Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.ContainerService/fleets/batch/cronjobs/*",
        "Microsoft.ContainerService/fleets/batch/jobs/*",
        "Microsoft.ContainerService/fleets/configmaps/*",
        "Microsoft.ContainerService/fleets/endpoints/*",
        "Microsoft.ContainerService/fleets/events.k8s.io/events/read",
        "Microsoft.ContainerService/fleets/events/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/*",
        "Microsoft.ContainerService/fleets/extensions/deployments/*",
        "Microsoft.ContainerService/fleets/extensions/ingresses/*",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
        "Microsoft.ContainerService/fleets/limitranges/read",
        "Microsoft.ContainerService/fleets/namespaces/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
        "Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
        "Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/resourcequotas/read",
        "Microsoft.ContainerService/fleets/secrets/*",
        "Microsoft.ContainerService/fleets/serviceaccounts/*",
        "Microsoft.ContainerService/fleets/services/*",
        "Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Správce clusteru RBAC v Azure Kubernetes Fleet Manageru

Uděluje přístup pro čtení a zápis ke všem prostředkům Kubernetes v clusteru centra spravovaného vozovým parkem.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.ContainerService/fleets/read Získání flotily
Microsoft.ContainerService/fleets/listCredentials/action Výpis přihlašovacích údajů pro flotilu
NotActions
žádné
Akce dat
Microsoft.ContainerService/fleets/*
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
  "name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Čtenář RBAC v Azure Kubernetes Fleet Manageru

Uděluje přístup jen pro čtení k většině prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Nepovoluje zobrazování rolí nebo vazeb rolí. Tato role neumožňuje zobrazování tajných kódů, protože čtení obsahu tajných kódů umožňuje přístup k přihlašovacím údajům ServiceAccount v oboru názvů, což by umožnilo přístup rozhraní API jako jakýkoli účet ServiceAccount v oboru názvů (forma eskalace oprávnění). Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.ContainerService/fleets/read Získání flotily
Microsoft.ContainerService/fleets/listCredentials/action Výpis přihlašovacích údajů pro flotilu
NotActions
žádné
Akce dat
Microsoft.ContainerService/fleets/apps/controllerrevisions/read Čtení kontroleru
Microsoft.ContainerService/fleets/apps/daemonsets/read Čtení démonů
Microsoft.ContainerService/fleets/apps/deployments/read Čtení nasazení
Microsoft.ContainerService/fleets/apps/statefulsets/read Čtení stavových sad
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read Čtení horizontalpodautoscalers
Microsoft.ContainerService/fleets/batch/cronjobs/read Čtení cronjobs
Microsoft.ContainerService/fleets/batch/jobs/read Čtení úloh
Microsoft.ContainerService/fleets/configmaps/read Čtení konfiguračních map
Microsoft.ContainerService/fleets/endpoints/read Čtení koncových bodů
Microsoft.ContainerService/fleets/events.k8s.io/events/read Čte události.
Microsoft.ContainerService/fleets/events/read Čte události.
Microsoft.ContainerService/fleets/extensions/daemonsets/read Čtení démonů
Microsoft.ContainerService/fleets/extensions/deployments/read Čtení nasazení
Microsoft.ContainerService/fleets/extensions/ingresses/read Čtení příchozího přenosu dat
Microsoft.ContainerService/fleets/extensions/networkpolicies/read Čtení síťových zásad
Microsoft.ContainerService/fleets/limitranges/read Omezení čtení
Microsoft.ContainerService/fleets/namespaces/read Čtení oborů názvů
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read Čtení příchozího přenosu dat
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read Čtení síťových zásad
Microsoft.ContainerService/fleets/persistentvolumeclaims/read Reads persistentvolumeclaims
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read Čtení poddisruptionbudgets
Microsoft.ContainerService/fleets/replicationcontrollers/read Reads replicationcontrollers
Microsoft.ContainerService/fleets/replicationcontrollers/read Reads replicationcontrollers
Microsoft.ContainerService/fleets/resourcequotas/read Přečte zdrojquotas.
Microsoft.ContainerService/fleets/serviceaccounts/read Čtení účtů služby
Microsoft.ContainerService/fleets/services/read Služby čtení
Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read Čtení interního prostředku fleetu
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read Čtení prostředku resourceoverride pro vozový park
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read Přečtěte si prostředek fleetoverridesnapshot
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read Čtení pracovního prostředku flotily
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation).  Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
  "name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/read",
        "Microsoft.ContainerService/fleets/apps/deployments/read",
        "Microsoft.ContainerService/fleets/apps/statefulsets/read",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.ContainerService/fleets/batch/cronjobs/read",
        "Microsoft.ContainerService/fleets/batch/jobs/read",
        "Microsoft.ContainerService/fleets/configmaps/read",
        "Microsoft.ContainerService/fleets/endpoints/read",
        "Microsoft.ContainerService/fleets/events.k8s.io/events/read",
        "Microsoft.ContainerService/fleets/events/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/read",
        "Microsoft.ContainerService/fleets/extensions/deployments/read",
        "Microsoft.ContainerService/fleets/extensions/ingresses/read",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
        "Microsoft.ContainerService/fleets/limitranges/read",
        "Microsoft.ContainerService/fleets/namespaces/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
        "Microsoft.ContainerService/fleets/replicationcontrollers/read",
        "Microsoft.ContainerService/fleets/replicationcontrollers/read",
        "Microsoft.ContainerService/fleets/resourcequotas/read",
        "Microsoft.ContainerService/fleets/serviceaccounts/read",
        "Microsoft.ContainerService/fleets/services/read",
        "Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Fleet Manager – zapisovač RBAC

Uděluje přístup pro čtení a zápis pro většinu prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Tato role neumožňuje zobrazení nebo úpravu rolí nebo vazeb rolí. Tato role však umožňuje přístup k tajným kódům jako jakémukoli účtu Služby v oboru názvů, takže ho můžete použít k získání úrovní přístupu rozhraní API libovolného účtu ServiceAccount v oboru názvů.  Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.ContainerService/fleets/read Získání flotily
Microsoft.ContainerService/fleets/listCredentials/action Výpis přihlašovacích údajů pro flotilu
NotActions
žádné
Akce dat
Microsoft.ContainerService/fleets/apps/controllerrevisions/read Čtení kontroleru
Microsoft.ContainerService/fleets/apps/daemonsets/read Čtení démonů
Microsoft.ContainerService/fleets/apps/daemonsets/write Zapisuje démony.
Microsoft.ContainerService/fleets/apps/deployments/read Čtení nasazení
Microsoft.ContainerService/fleets/apps/deployments/write Zapisuje nasazení.
Microsoft.ContainerService/fleets/apps/statefulsets/read Čtení stavových sad
Microsoft.ContainerService/fleets/apps/statefulsets/write Zapisuje stavové sady.
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read Čtení horizontalpodautoscalers
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write Zapisuje horizontalpodautoscalers
Microsoft.ContainerService/fleets/batch/cronjobs/read Čtení cronjobs
Microsoft.ContainerService/fleets/batch/cronjobs/write Zapisuje cronjobs
Microsoft.ContainerService/fleets/batch/jobs/read Čtení úloh
Microsoft.ContainerService/fleets/batch/jobs/write Zápis úloh
Microsoft.ContainerService/fleets/configmaps/read Čtení konfiguračních map
Microsoft.ContainerService/fleets/configmaps/write Zapisuje mapy konfigurace.
Microsoft.ContainerService/fleets/endpoints/read Čtení koncových bodů
Microsoft.ContainerService/fleets/endpoints/write Zapisuje koncové body.
Microsoft.ContainerService/fleets/events.k8s.io/events/read Čte události.
Microsoft.ContainerService/fleets/events/read Čte události.
Microsoft.ContainerService/fleets/extensions/daemonsets/read Čtení démonů
Microsoft.ContainerService/fleets/extensions/daemonsets/write Zapisuje démony.
Microsoft.ContainerService/fleets/extensions/deployments/read Čtení nasazení
Microsoft.ContainerService/fleets/extensions/deployments/write Zapisuje nasazení.
Microsoft.ContainerService/fleets/extensions/ingresses/read Čtení příchozího přenosu dat
Microsoft.ContainerService/fleets/extensions/ingresses/write Zápisy příchozího přenosu dat
Microsoft.ContainerService/fleets/extensions/networkpolicies/read Čtení síťových zásad
Microsoft.ContainerService/fleets/extensions/networkpolicies/write Zapisuje síťovépolicie.
Microsoft.ContainerService/fleets/limitranges/read Omezení čtení
Microsoft.ContainerService/fleets/namespaces/read Čtení oborů názvů
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read Čtení příchozího přenosu dat
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write Zápisy příchozího přenosu dat
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read Čtení síťových zásad
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write Zapisuje síťovépolicie.
Microsoft.ContainerService/fleets/persistentvolumeclaims/read Reads persistentvolumeclaims
Microsoft.ContainerService/fleets/persistentvolumeclaims/write Zápisy trvalýchvolumeclaims
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read Čtení poddisruptionbudgets
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write Zapisuje poddisruptionbudgets
Microsoft.ContainerService/fleets/replicationcontrollers/read Reads replicationcontrollers
Microsoft.ContainerService/fleets/replicationcontrollers/write Zapisuje ovládací prvek replikace.
Microsoft.ContainerService/fleets/resourcequotas/read Přečte zdrojquotas.
Microsoft.ContainerService/fleets/secrets/read Čte tajné kódy.
Microsoft.ContainerService/fleets/secrets/write Zapisuje tajné kódy.
Microsoft.ContainerService/fleets/serviceaccounts/read Čtení účtů služby
Microsoft.ContainerService/fleets/serviceaccounts/write Zápisy účtů služby
Microsoft.ContainerService/fleets/services/read Služby čtení
Microsoft.ContainerService/fleets/services/write Zapisuje služby
Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read Čtení interního prostředku fleetu
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read Čtení prostředku resourceoverride pro vozový park
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write Zápis prostředku pro vytváření prostředků vozového parku
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read Přečtěte si prostředek fleetoverridesnapshot
Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read Čtení pracovního prostředku flotily
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace.  Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
  "name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/write",
        "Microsoft.ContainerService/fleets/apps/deployments/read",
        "Microsoft.ContainerService/fleets/apps/deployments/write",
        "Microsoft.ContainerService/fleets/apps/statefulsets/read",
        "Microsoft.ContainerService/fleets/apps/statefulsets/write",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
        "Microsoft.ContainerService/fleets/batch/cronjobs/read",
        "Microsoft.ContainerService/fleets/batch/cronjobs/write",
        "Microsoft.ContainerService/fleets/batch/jobs/read",
        "Microsoft.ContainerService/fleets/batch/jobs/write",
        "Microsoft.ContainerService/fleets/configmaps/read",
        "Microsoft.ContainerService/fleets/configmaps/write",
        "Microsoft.ContainerService/fleets/endpoints/read",
        "Microsoft.ContainerService/fleets/endpoints/write",
        "Microsoft.ContainerService/fleets/events.k8s.io/events/read",
        "Microsoft.ContainerService/fleets/events/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/write",
        "Microsoft.ContainerService/fleets/extensions/deployments/read",
        "Microsoft.ContainerService/fleets/extensions/deployments/write",
        "Microsoft.ContainerService/fleets/extensions/ingresses/read",
        "Microsoft.ContainerService/fleets/extensions/ingresses/write",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
        "Microsoft.ContainerService/fleets/limitranges/read",
        "Microsoft.ContainerService/fleets/namespaces/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
        "Microsoft.ContainerService/fleets/replicationcontrollers/read",
        "Microsoft.ContainerService/fleets/replicationcontrollers/write",
        "Microsoft.ContainerService/fleets/resourcequotas/read",
        "Microsoft.ContainerService/fleets/secrets/read",
        "Microsoft.ContainerService/fleets/secrets/write",
        "Microsoft.ContainerService/fleets/serviceaccounts/read",
        "Microsoft.ContainerService/fleets/serviceaccounts/write",
        "Microsoft.ContainerService/fleets/services/read",
        "Microsoft.ContainerService/fleets/services/write",
        "Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
        "Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Role správce clusteru Azure Kubernetes Service Arc

Vypsat akci přihlašovacích údajů správce clusteru

Další informace

Akce Popis
Microsoft.HybridContainerService/provisionedClusterInstances/read Získá hybridní instance clusteru AKS přidružené k připojenému clusteru.
Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action Zobrazí přihlašovací údaje správce zřízené instance clusteru používané pouze v přímém režimu.
Microsoft.Kubernetes/connectedClusters/Read Čtení connectedClusters
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster admin credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
  "name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
  "permissions": [
    {
      "actions": [
        "Microsoft.HybridContainerService/provisionedClusterInstances/read",
        "Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
        "Microsoft.Kubernetes/connectedClusters/Read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Role uživatele clusteru Azure Kubernetes Service Arc

Zobrazí seznam akcí přihlašovacích údajů uživatele clusteru.

Další informace

Akce Popis
Microsoft.HybridContainerService/provisionedClusterInstances/read Získá hybridní instance clusteru AKS přidružené k připojenému clusteru.
Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action Zobrazí seznam přihlašovacích údajů uživatele AAD zřízené instance clusteru používané pouze v přímém režimu.
Microsoft.Kubernetes/connectedClusters/Read Čtení connectedClusters
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
  "name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
  "permissions": [
    {
      "actions": [
        "Microsoft.HybridContainerService/provisionedClusterInstances/read",
        "Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
        "Microsoft.Kubernetes/connectedClusters/Read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Arc Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Role přispěvatele arc služby Azure Kubernetes Service

Uděluje přístup k hybridním clusterům Azure Kubernetes Services pro čtení a zápis.

Další informace

Akce Popis
Microsoft.HybridContainerService/Locations/operationStatuses/read read operationStatuses
Microsoft.HybridContainerService/Operations/read Operace čtení
Microsoft.HybridContainerService/kubernetesVersions/read Uvádí seznam podporovaných verzí Kubernetes z podkladového vlastního umístění.
Microsoft.HybridContainerService/kubernetesVersions/write Umístí typ prostředku verze Kubernetes.
Microsoft.HybridContainerService/kubernetesVersions/delete Odstranění typu prostředku verze Kubernetes
Microsoft.HybridContainerService/provisionedClusterInstances/read Získá hybridní instance clusteru AKS přidružené k připojenému clusteru.
Microsoft.HybridContainerService/provisionedClusterInstances/write Vytvoří instanci clusteru zřízenou službou Hybrid AKS.
Microsoft.HybridContainerService/provisionedClusterInstances/delete Odstraní instanci zřízeného clusteru Hybridní AKS.
Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read Získá fondy agentů ve zřízené instanci hybridního clusteru AKS.
Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write Aktualizuje fond agentů ve zřízené instanci hybridního clusteru AKS.
Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete Odstraní fond agentů v instanci clusteru zřízené službou Hybrid AKS.
Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read Read upgradeProfiles
Microsoft.HybridContainerService/skus/read Zobrazí seznam podporovaných skladových položek virtuálních počítačů z podkladového vlastního umístění.
Microsoft.HybridContainerService/skus/write Umístí typ prostředku skladových položek virtuálního počítače.
Microsoft.HybridContainerService/skus/delete Odstraní typ prostředku skladové položky virtuálního počítače.
Microsoft.HybridContainerService/virtualNetworks/read Seznam hybridních virtuálních sítí AKS podle předplatného
Microsoft.HybridContainerService/virtualNetworks/write Opraví hybridní virtuální síť AKS.
Microsoft.HybridContainerService/virtualNetworks/delete Odstraní hybridní virtuální síť AKS.
Microsoft.ExtendedLocation/customLocations/deploy/action Nasazení oprávnění k prostředku vlastního umístění
Microsoft.ExtendedLocation/customLocations/read Získá prostředek vlastního umístění.
Microsoft.Kubernetes/connectedClusters/Read Čtení connectedClusters
Microsoft.Kubernetes/connectedClusters/Write Zápisy connectedClusters
Microsoft.Kubernetes/connectedClusters/Delete Odstraní connectedClusters.
Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action Výpis přihlašovacích údajů uživatele clusteru
Microsoft.AzureStackHCI/clusters/read Získá clustery
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
  "name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
  "permissions": [
    {
      "actions": [
        "Microsoft.HybridContainerService/Locations/operationStatuses/read",
        "Microsoft.HybridContainerService/Operations/read",
        "Microsoft.HybridContainerService/kubernetesVersions/read",
        "Microsoft.HybridContainerService/kubernetesVersions/write",
        "Microsoft.HybridContainerService/kubernetesVersions/delete",
        "Microsoft.HybridContainerService/provisionedClusterInstances/read",
        "Microsoft.HybridContainerService/provisionedClusterInstances/write",
        "Microsoft.HybridContainerService/provisionedClusterInstances/delete",
        "Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
        "Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
        "Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
        "Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
        "Microsoft.HybridContainerService/skus/read",
        "Microsoft.HybridContainerService/skus/write",
        "Microsoft.HybridContainerService/skus/delete",
        "Microsoft.HybridContainerService/virtualNetworks/read",
        "Microsoft.HybridContainerService/virtualNetworks/write",
        "Microsoft.HybridContainerService/virtualNetworks/delete",
        "Microsoft.ExtendedLocation/customLocations/deploy/action",
        "Microsoft.ExtendedLocation/customLocations/read",
        "Microsoft.Kubernetes/connectedClusters/Read",
        "Microsoft.Kubernetes/connectedClusters/Write",
        "Microsoft.Kubernetes/connectedClusters/Delete",
        "Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
        "Microsoft.AzureStackHCI/clusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Arc Contributor Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Role správce clusteru Azure Kubernetes Service

Vypsat akci přihlašovacích údajů správce clusteru

Další informace

Akce Popis
Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action Výpis přihlašovacích údajů správce clusteru spravovaného clusteru
Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action Získání profilu přístupu ke spravovanému clusteru podle názvu role pomocí přihlašovacích údajů seznamu
Microsoft.ContainerService/managedClusters/read Získání spravovaného clusteru
Microsoft.ContainerService/managedClusters/runcommand/action Spuštění příkazu vydaného uživatelem na spravovaném serveru Kubernetes
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster admin credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
  "name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
        "Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
        "Microsoft.ContainerService/managedClusters/read",
        "Microsoft.ContainerService/managedClusters/runcommand/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster Admin Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Uživatel monitorování clusteru Azure Kubernetes Service

Zobrazení seznamu akcí monitorování přihlašovacích údajů uživatele monitorování clusteru

Akce Popis
Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action Výpis přihlašovacích údajů clusterMonitoringUser spravovaného clusteru
Microsoft.ContainerService/managedClusters/read Získání spravovaného clusteru
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster monitoring user credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
  "name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
        "Microsoft.ContainerService/managedClusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster Monitoring User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Role uživatele clusteru Azure Kubernetes Service

Zobrazí seznam akcí přihlašovacích údajů uživatele clusteru.

Další informace

Akce Popis
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Výpis přihlašovacích údajů uživatele clusteru spravovaného clusteru
Microsoft.ContainerService/managedClusters/read Získání spravovaného clusteru
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
  "name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
        "Microsoft.ContainerService/managedClusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Role přispěvatele služby Azure Kubernetes

Uděluje přístup ke clusterům Azure Kubernetes Service pro čtení a zápis.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.ContainerService/locations/* Umístění pro čtení dostupná pro prostředky ContainerService
Microsoft.ContainerService/managedClusters/* Vytvoření a správa spravovaného clusteru
Microsoft.ContainerService/managedclustersnapshots/* Vytvoření a správa snímku spravovaného clusteru
Microsoft.ContainerService/snapshots/* Vytvoření a správa snímku
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants access to read and write Azure Kubernetes Service clusters",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
  "name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ContainerService/locations/*",
        "Microsoft.ContainerService/managedClusters/*",
        "Microsoft.ContainerService/managedclustersnapshots/*",
        "Microsoft.ContainerService/snapshots/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Contributor Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Správce RBAC služby Azure Kubernetes Service

Umožňuje spravovat všechny prostředky v rámci clusteru nebo oboru názvů s výjimkou aktualizací nebo odstranění kvót prostředků a oborů názvů.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Výpis přihlašovacích údajů uživatele clusteru spravovaného clusteru
NotActions
žádné
Akce dat
Microsoft.ContainerService/managedClusters/*
NotDataActions
Microsoft.ContainerService/managedClusters/resourcequotas/write Zapisuje prostředkyquotas.
Microsoft.ContainerService/managedClusters/resourcequotas/delete Odstraní prostředekquotas.
Microsoft.ContainerService/managedClusters/namespaces/write Zapisuje obory názvů.
Microsoft.ContainerService/managedClusters/namespaces/delete Odstraní obory názvů.
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
  "name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/*"
      ],
      "notDataActions": [
        "Microsoft.ContainerService/managedClusters/resourcequotas/write",
        "Microsoft.ContainerService/managedClusters/resourcequotas/delete",
        "Microsoft.ContainerService/managedClusters/namespaces/write",
        "Microsoft.ContainerService/managedClusters/namespaces/delete"
      ]
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Správce clusteru RBAC služby Azure Kubernetes Service

Umožňuje spravovat všechny prostředky v clusteru.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Výpis přihlašovacích údajů uživatele clusteru spravovaného clusteru
NotActions
žádné
Akce dat
Microsoft.ContainerService/managedClusters/*
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources in the cluster.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
  "name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Čtenář RBAC služby Azure Kubernetes Service

Umožňuje přístup jen pro čtení k zobrazení většiny objektů v oboru názvů. Nepovoluje zobrazování rolí nebo vazeb rolí. Tato role neumožňuje zobrazování tajných kódů, protože čtení obsahu tajných kódů umožňuje přístup k přihlašovacím údajům ServiceAccount v oboru názvů, což by umožnilo přístup rozhraní API jako jakýkoli účet ServiceAccount v oboru názvů (forma eskalace oprávnění). Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Akce dat
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read Čtení kontroleru
Microsoft.ContainerService/managedClusters/apps/daemonsets/read Čtení démonů
Microsoft.ContainerService/managedClusters/apps/deployments/read Čtení nasazení
Microsoft.ContainerService/managedClusters/apps/replicasets/read Čtení sad replik
Microsoft.ContainerService/managedClusters/apps/statefulsets/read Čtení stavových sad
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read Čtení horizontalpodautoscalers
Microsoft.ContainerService/managedClusters/batch/cronjobs/read Čtení cronjobs
Microsoft.ContainerService/managedClusters/batch/jobs/read Čtení úloh
Microsoft.ContainerService/managedClusters/configmaps/read Čtení konfiguračních map
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read Čtení koncových bodů
Microsoft.ContainerService/managedClusters/endpoints/read Čtení koncových bodů
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read Čte události.
Microsoft.ContainerService/managedClusters/events/read Čte události.
Microsoft.ContainerService/managedClusters/extensions/daemonsets/read Čtení démonů
Microsoft.ContainerService/managedClusters/extensions/deployments/read Čtení nasazení
Microsoft.ContainerService/managedClusters/extensions/ingresses/read Čtení příchozího přenosu dat
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read Čtení síťových zásad
Microsoft.ContainerService/managedClusters/extensions/replicasets/read Čtení sad replik
Microsoft.ContainerService/managedClusters/limitranges/read Omezení čtení
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read Čtení podů
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read Čtení uzlů
Microsoft.ContainerService/managedClusters/namespaces/read Čtení oborů názvů
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read Čtení příchozího přenosu dat
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read Čtení síťových zásad
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read Reads persistentvolumeclaims
Microsoft.ContainerService/managedClusters/pods/read Čtení podů
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read Čtení poddisruptionbudgets
Microsoft.ContainerService/managedClusters/replicationcontrollers/read Reads replicationcontrollers
Microsoft.ContainerService/managedClusters/resourcequotas/read Přečte zdrojquotas.
Microsoft.ContainerService/managedClusters/serviceaccounts/read Čtení účtů služby
Microsoft.ContainerService/managedClusters/services/read Služby čtení
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
  "name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
        "Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
        "Microsoft.ContainerService/managedClusters/apps/deployments/read",
        "Microsoft.ContainerService/managedClusters/apps/replicasets/read",
        "Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
        "Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
        "Microsoft.ContainerService/managedClusters/batch/jobs/read",
        "Microsoft.ContainerService/managedClusters/configmaps/read",
        "Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
        "Microsoft.ContainerService/managedClusters/endpoints/read",
        "Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
        "Microsoft.ContainerService/managedClusters/events/read",
        "Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
        "Microsoft.ContainerService/managedClusters/extensions/deployments/read",
        "Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
        "Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
        "Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
        "Microsoft.ContainerService/managedClusters/limitranges/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
        "Microsoft.ContainerService/managedClusters/namespaces/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
        "Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
        "Microsoft.ContainerService/managedClusters/pods/read",
        "Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
        "Microsoft.ContainerService/managedClusters/resourcequotas/read",
        "Microsoft.ContainerService/managedClusters/serviceaccounts/read",
        "Microsoft.ContainerService/managedClusters/services/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service RBAC Writer

Umožňuje přístup pro čtení a zápis k většině objektů v oboru názvů. Tato role neumožňuje zobrazení nebo úpravu rolí nebo vazeb rolí. Tato role ale umožňuje přístup k tajným kódům a spouštění podů jako jakýkoli účet ServiceAccount v oboru názvů, takže se dá použít k získání úrovní přístupu rozhraní API libovolného účtu ServiceAccount v oboru názvů. Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Akce dat
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read Čtení kontroleru
Microsoft.ContainerService/managedClusters/apps/daemonsets/*
Microsoft.ContainerService/managedClusters/apps/deployments/*
Microsoft.ContainerService/managedClusters/apps/replicasets/*
Microsoft.ContainerService/managedClusters/apps/statefulsets/*
Microsoft.ContainerService/managedClusters/autoscale/horizontalpodautoscalers/*
Microsoft.ContainerService/managedClusters/batch/cronjobs/*
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read Čtení zapůjčení
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write Zápis zapůjčení
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete Odstraní zapůjčení.
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read Čtení koncových bodů
Microsoft.ContainerService/managedClusters/batch/jobs/*
Microsoft.ContainerService/managedClusters/configmaps/*
Microsoft.ContainerService/managedClusters/endpoints/*
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read Čte události.
Microsoft.ContainerService/managedClusters/events/*
Microsoft.ContainerService/managedClusters/extensions/daemonsets/*
Microsoft.ContainerService/managedClusters/extensions/deployments/*
Microsoft.ContainerService/managedClusters/extensions/ingresses/*
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*
Microsoft.ContainerService/managedClusters/extensions/replicasets/*
Microsoft.ContainerService/managedClusters/limitranges/read Omezení čtení
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read Čtení podů
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read Čtení uzlů
Microsoft.ContainerService/managedClusters/namespaces/read Čtení oborů názvů
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*
Microsoft.ContainerService/managedClusters/pods/*
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*
Microsoft.ContainerService/managedClusters/replicationcontrollers/*
Microsoft.ContainerService/managedClusters/resourcequotas/read Přečte zdrojquotas.
Microsoft.ContainerService/managedClusters/secrets/*
Microsoft.ContainerService/managedClusters/serviceaccounts/*
Microsoft.ContainerService/managedClusters/services/*
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
  "name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
        "Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
        "Microsoft.ContainerService/managedClusters/apps/deployments/*",
        "Microsoft.ContainerService/managedClusters/apps/replicasets/*",
        "Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
        "Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
        "Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
        "Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
        "Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
        "Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
        "Microsoft.ContainerService/managedClusters/batch/jobs/*",
        "Microsoft.ContainerService/managedClusters/configmaps/*",
        "Microsoft.ContainerService/managedClusters/endpoints/*",
        "Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
        "Microsoft.ContainerService/managedClusters/events/*",
        "Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
        "Microsoft.ContainerService/managedClusters/extensions/deployments/*",
        "Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
        "Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
        "Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
        "Microsoft.ContainerService/managedClusters/limitranges/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
        "Microsoft.ContainerService/managedClusters/namespaces/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
        "Microsoft.ContainerService/managedClusters/pods/*",
        "Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
        "Microsoft.ContainerService/managedClusters/resourcequotas/read",
        "Microsoft.ContainerService/managedClusters/secrets/*",
        "Microsoft.ContainerService/managedClusters/serviceaccounts/*",
        "Microsoft.ContainerService/managedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Čtečka CheckAccess spravované identity připojeného clusteru

Integrovaná role, která umožňuje spravované identitě připojeného clusteru volat rozhraní API checkAccess

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
  "name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Connected Cluster Managed Identity CheckAccess Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Operátor Kubernetes Agentless

Uděluje Microsoft Defenderu pro cloud přístup ke službám Azure Kubernetes Services.

Další informace

Akce Popis
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write Vytvoření nebo aktualizace vazeb rolí důvěryhodného přístupu pro spravovaný cluster
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read Získání vazeb role důvěryhodného přístupu pro spravovaný cluster
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete Odstranění vazeb rolí důvěryhodného přístupu pro spravovaný cluster
Microsoft.ContainerService/managedClusters/read Získání spravovaného clusteru
Microsoft.Features/features/read Získá funkce předplatného.
Microsoft.Features/providers/features/read Získá funkci předplatného v daném poskytovateli prostředků.
Microsoft.Features/providers/features/register/action Zaregistruje funkci pro předplatné v daném poskytovateli prostředků.
Microsoft.Security/pricings/securityoperators/read Získá operátory zabezpečení pro obor.
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
  "name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
        "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
        "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
        "Microsoft.ContainerService/managedClusters/read",
        "Microsoft.Features/features/read",
        "Microsoft.Features/providers/features/read",
        "Microsoft.Features/providers/features/register/action",
        "Microsoft.Security/pricings/securityoperators/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Kubernetes Agentless Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Cluster Kubernetes – Onboarding Azure Arc

Definice role k autorizaci libovolného uživatele nebo služby k vytvoření připojeného prostředkuClusters

Další informace

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/write Vytvoří nebo aktualizuje nasazení.
Microsoft.Resources/subscriptions/operationresults/read Získejte výsledky operace předplatného.
Microsoft.Resources/subscriptions/read Získá seznam předplatných.
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.Kubernetes/connectedClusters/Write Zápisy connectedClusters
Microsoft.Kubernetes/connectedClusters/read Čtení connectedClusters
Microsoft.KubernetesConfiguration/extensions/write Vytvoří nebo aktualizuje prostředek rozšíření.
Microsoft.KubernetesConfiguration/extensions/read Získá prostředek instance rozšíření.
Microsoft.KubernetesConfiguration/extensions/delete Odstraní prostředek instance rozšíření.
Microsoft.KubernetesConfiguration/extensions/operations/read Získá stav asynchronní operace.
Microsoft.Support/* Vytvoření a aktualizace lístku podpory
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role definition to authorize any user/service to create connectedClusters resource",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
  "name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Kubernetes/connectedClusters/Write",
        "Microsoft.Kubernetes/connectedClusters/read",
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Kubernetes Cluster - Azure Arc Onboarding",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Přispěvatel rozšíření Kubernetes

Může vytvářet, aktualizovat, získat, vypsat a odstranit rozšíření Kubernetes Extensions a získat asynchronní operace rozšíření.

Akce Popis
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
Microsoft.KubernetesConfiguration/extensions/write Vytvoří nebo aktualizuje prostředek rozšíření.
Microsoft.KubernetesConfiguration/extensions/read Získá prostředek instance rozšíření.
Microsoft.KubernetesConfiguration/extensions/delete Odstraní prostředek instance rozšíření.
Microsoft.KubernetesConfiguration/extensions/operations/read Získá stav asynchronní operace.
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
  "name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Kubernetes Extension Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Přispěvatel clusteru Service Fabric

Správa prostředků clusteru Service Fabric Zahrnuje clustery, typy aplikací, verze typů aplikací, aplikace a služby. Budete potřebovat další oprávnění k nasazení a správě základních prostředků clusteru, jako jsou škálovací sady virtuálních počítačů, účty úložiště, sítě atd.

Akce Popis
Microsoft.ServiceFabric/clusters/*
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
  "name": "b6efc156-f0da-4e90-a50a-8c000140b017",
  "permissions": [
    {
      "actions": [
        "Microsoft.ServiceFabric/clusters/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Service Fabric Cluster Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Přispěvatel spravovaného clusteru Service Fabric

Nasaďte a spravujte prostředky spravovaného clusteru Service Fabric. Zahrnuje spravované clustery, typy uzlů, typy aplikací, verze typů aplikací, aplikace a služby.

Akce Popis
Microsoft.ServiceFabric/managedclusters/*
Microsoft.Authorization/*/read Čtení rolí a přiřazení rolí
Microsoft.Insights/alertRules/* Vytvoření a správa klasického upozornění na metriky
Microsoft.Resources/deployments/* Vytvoření a správa nasazení
Microsoft.Resources/subscriptions/resourceGroups/read Získá nebo zobrazí seznam skupin prostředků.
NotActions
žádné
Akce dat
žádné
NotDataActions
žádné
{
  "assignableScopes": [
    "/"
  ],
  "description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
  "name": "83f80186-3729-438c-ad2d-39e94d718838",
  "permissions": [
    {
      "actions": [
        "Microsoft.ServiceFabric/managedclusters/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Service Fabric Managed Cluster Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Další kroky