Předdefinované role Azure pro kontejnery
Tento článek obsahuje seznam předdefinovaných rolí Azure v kategorii Kontejnery.
AcrDelete
Odstraňte úložiště, značky nebo manifesty z registru kontejneru.
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registry/artifacts/delete | Odstranění artefaktu v registru kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Nasdílení důvěryhodných imagí nebo vyžádání důvěryhodných imagí z registru kontejneru s povoleným vztahem důvěryhodnosti obsahu
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registry/sign/write | Metadata důvěryhodnosti obsahu push/pull pro registr kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registryies/trustedCollections/write | Povolí nabízení nebo publikování důvěryhodných kolekcí obsahu registru kontejneru. Podobá se akci Microsoft.ContainerRegistry/registry/sign/write s tím rozdílem, že se jedná o akci dat. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
Načtení artefaktů z registru kontejneru
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/pull/read | Načtení nebo získání imagí z registru kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
Nasdíleníartefaktch
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/pull/read | Načtení nebo získání imagí z registru kontejneru |
| Microsoft.ContainerRegistry/registryies/push/write | Nasdílení nebo zápis imagí do registru kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Načtení imagí v karanténě z registru kontejneru
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/quarantine/read | Načtení nebo získání imagí v karanténě z registru kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registryies/quarantinedArtifacts/read | Povolí vyžádání nebo získání artefaktů v karanténě z registru kontejneru. Podobá se tomu Microsoft.ContainerRegistry/registryies/quarantine/read s tím rozdílem, že se jedná o akci dat. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ZapisovatelDatKarantényACR
Nasdílení změn imagí v karanténě nebo jejich vyžádání z registru kontejneru
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/quarantine/read | Načtení nebo získání imagí v karanténě z registru kontejneru |
| Microsoft.ContainerRegistry/registry/quarantine/write | Zápis/úprava stavu karantény obrázků v karanténě |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registryies/quarantinedArtifacts/read | Povolí vyžádání nebo získání artefaktů v karanténě z registru kontejneru. Podobá se tomu Microsoft.ContainerRegistry/registryies/quarantine/read s tím rozdílem, že se jedná o akci dat. |
| Microsoft.ContainerRegistry/registryies/quarantinedArtifacts/write | Umožňuje zapisovat nebo aktualizovat stav karantény artefaktů v karanténě. To se podobá akci Microsoft.ContainerRegistry/registryies/quarantine/write s tím rozdílem, že se jedná o akci dat. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role uživatele clusteru Kubernetes s podporou Azure Arc
Vypsat akci přihlašovacích údajů uživatele clusteru
| Akce | Popis |
|---|---|
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | Výpis přihlašovacích údajů uživatele clusteru (Preview) |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Výpis přihlašovacích údajů uživatele clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce Kubernetes Azure Arc
Umožňuje spravovat všechny prostředky v rámci clusteru nebo oboru názvů s výjimkou aktualizací nebo odstranění kvót prostředků a oborů názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje localsubjectaccessreviews |
| Microsoft.Kubernetes/connectedClusters/autoscale/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Omezení čtení |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce clusteru Azure Arc Kubernetes
Umožňuje spravovat všechny prostředky v clusteru.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Prohlížeč Kubernetes Azure Arc
Umožňuje zobrazit všechny prostředky v clusteru nebo oboru názvů s výjimkou tajných kódů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | Čtení démonů |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | Čtení nasazení |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | Čtení sad replik |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | Čtení stavových sad |
| Microsoft.Kubernetes/connectedClusters/autoscale/horizontalpodautoscalers/read | Čtení horizontalpodautoscalers |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | Čtení cronjobs |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | Čtení úloh |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | Čtení konfiguračních map |
| Microsoft.Kubernetes/connectedClusters/endpoints/read | Čtení koncových bodů |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | Čtení démonů |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | Čtení nasazení |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | Čtení síťových zásad |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | Čtení sad replik |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Omezení čtení |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Čtení síťových zásad |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | Reads persistentvolumeclaims |
| Microsoft.Kubernetes/connectedClusters/pods/read | Čtení podů |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Čtení poddisruptionbudgets |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | Čtení účtů služby |
| Microsoft.Kubernetes/connectedClusters/services/read | Služby čtení |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes Writer
Umožňuje aktualizovat všechno v clusteru nebo oboru názvů s výjimkou vazeb rolí (clusteru) a (clusteru).
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/autoscale/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Omezení čtení |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel služby Azure Container Storage
Nainstalujte Službu Azure Container Storage a spravujte její prostředky úložiště. Zahrnuje podmínku ABAC pro omezení přiřazení rolí.
| Akce | Popis |
|---|---|
| Microsoft.KubernetesConfiguration/extensions/write | Vytvoří nebo aktualizuje prostředek rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/read | Získá prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/delete | Odstraní prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Získá stav asynchronní operace. |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Management/managementGroups/read | Zobrazí seznam skupin pro správu ověřeného uživatele. |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné | |
| Akce | |
| Microsoft.Authorization/roleAssignments/write | Vytvořte přiřazení role v zadaném oboru. |
| Microsoft.Authorization/roleAssignments/delete | Odstraňte přiřazení role v zadaném oboru. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné | |
| Condition (Podmínka) | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) NEBO (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | Přidejte nebo odeberte přiřazení rolí pro následující role: Operátor služby Azure Container Storage |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operátor služby Azure Container Storage
Povolte spravovanou identitu k provádění operací azure Container Storage, jako je správa virtuálních počítačů a správa virtuálních sítí.
| Akce | Popis |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Dotazuje stav asynchronní operace. |
| Microsoft.Network/routeTables/join/action | Spojí směrovací tabulku. Nelze upozorňovat. |
| Microsoft.Network/networkSecurityGroups/join/action | Připojí skupinu zabezpečení sítě. Nelze upozorňovat. |
| Microsoft.Network/virtualNetworks/write | Vytvoří virtuální síť nebo aktualizuje existující virtuální síť. |
| Microsoft.Network/virtualNetworks/delete | Odstraní virtuální síť. |
| Microsoft.Network/virtualNetworks/join/action | Připojí virtuální síť. Nelze upozorňovat. |
| Microsoft.Network/virtualNetworks/subnets/read | Získá definici podsítě virtuální sítě. |
| Microsoft.Network/virtualNetworks/subnets/write | Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě. |
| Microsoft.Compute/virtualMachines/read | Získání vlastností virtuálního počítače |
| Microsoft.Compute/virtualMachines/write | Vytvoří nový virtuální počítač nebo aktualizuje existující virtuální počítač. |
| Microsoft.Compute/virtualMachineScaleSets/read | Získání vlastností škálovací sady virtuálních počítačů |
| Microsoft.Compute/virtualMachineScaleSets/write | Vytvoří novou škálovací sadu virtuálních počítačů nebo aktualizuje existující sadu. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Aktualizuje vlastnosti virtuálního počítače ve škálovací sadě virtuálních počítačů. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Načte vlastnosti virtuálního počítače ve škálovací sadě virtuálních počítačů. |
| Microsoft.Resources/subscriptions/providers/read | Získá nebo zobrazí seznam poskytovatelů prostředků. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Network/virtualNetworks/read | Získání definice virtuální sítě |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Vlastník služby Azure Container Storage
Nainstalujte Službu Azure Container Storage, udělte přístup k prostředkům úložiště a nakonfigurujte síť SAN (Azure Elastic Storage Area Network). Zahrnuje podmínku ABAC pro omezení přiřazení rolí.
| Akce | Popis |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Dotazuje stav asynchronní operace. |
| Microsoft.KubernetesConfiguration/extensions/write | Vytvoří nebo aktualizuje prostředek rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/read | Získá prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/delete | Odstraní prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Získá stav asynchronní operace. |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Management/managementGroups/read | Zobrazí seznam skupin pro správu ověřeného uživatele. |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné | |
| Akce | |
| Microsoft.Authorization/roleAssignments/write | Vytvořte přiřazení role v zadaném oboru. |
| Microsoft.Authorization/roleAssignments/delete | Odstraňte přiřazení role v zadaném oboru. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné | |
| Condition (Podmínka) | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) NEBO (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | Přidejte nebo odeberte přiřazení rolí pro následující role: Operátor služby Azure Container Storage |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role přispěvatele Správce flotily Azure Kubernetes
Uděluje přístup pro čtení a zápis k prostředkům Azure, které poskytuje Azure Kubernetes Fleet Manager, včetně vozového parku, členů vozového parku, strategií aktualizací vozového parku, spuštění aktualizací vozového parku atd.
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce RBAC v Azure Kubernetes Fleet Manageru
Uděluje přístup pro čtení a zápis k prostředkům Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem – poskytuje oprávnění k zápisu u většiny objektů v rámci oboru názvů, s výjimkou objektu ResourceQuota a samotného objektu oboru názvů. Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/fleets/read | Získání flotily |
| Microsoft.ContainerService/fleets/listCredentials/action | Výpis přihlašovacích údajů pro flotilu |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje localsubjectaccessreviews |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/fleets/events/read | Čte události. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/fleets/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Čtení interního prostředku fleetu |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Přečtěte si prostředek fleetoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Čtení pracovního prostředku flotily |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce clusteru RBAC v Azure Kubernetes Fleet Manageru
Uděluje přístup pro čtení a zápis ke všem prostředkům Kubernetes v clusteru centra spravovaného vozovým parkem.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/fleets/read | Získání flotily |
| Microsoft.ContainerService/fleets/listCredentials/action | Výpis přihlašovacích údajů pro flotilu |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář RBAC v Azure Kubernetes Fleet Manageru
Uděluje přístup jen pro čtení k většině prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Nepovoluje zobrazování rolí nebo vazeb rolí. Tato role neumožňuje zobrazování tajných kódů, protože čtení obsahu tajných kódů umožňuje přístup k přihlašovacím údajům ServiceAccount v oboru názvů, což by umožnilo přístup rozhraní API jako jakýkoli účet ServiceAccount v oboru názvů (forma eskalace oprávnění). Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/fleets/read | Získání flotily |
| Microsoft.ContainerService/fleets/listCredentials/action | Výpis přihlašovacích údajů pro flotilu |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/fleets/apps/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Čtení stavových sad |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Čtení horizontalpodautoscalers |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Čtení cronjobs |
| Microsoft.ContainerService/fleets/batch/jobs/read | Čtení úloh |
| Microsoft.ContainerService/fleets/configmaps/read | Čtení konfiguračních map |
| Microsoft.ContainerService/fleets/endpoints/read | Čtení koncových bodů |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/fleets/events/read | Čte události. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/fleets/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/fleets/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Reads persistentvolumeclaims |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Čtení poddisruptionbudgets |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.ContainerService/fleets/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Čtení účtů služby |
| Microsoft.ContainerService/fleets/services/read | Služby čtení |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Čtení interního prostředku fleetu |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Čtení prostředku resourceoverride pro vozový park |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Přečtěte si prostředek fleetoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Čtení pracovního prostředku flotily |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager – zapisovač RBAC
Uděluje přístup pro čtení a zápis pro většinu prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Tato role neumožňuje zobrazení nebo úpravu rolí nebo vazeb rolí. Tato role však umožňuje přístup k tajným kódům jako jakémukoli účtu Služby v oboru názvů, takže ho můžete použít k získání úrovní přístupu rozhraní API libovolného účtu ServiceAccount v oboru názvů. Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/fleets/read | Získání flotily |
| Microsoft.ContainerService/fleets/listCredentials/action | Výpis přihlašovacích údajů pro flotilu |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/fleets/apps/daemonsets/write | Zapisuje démony. |
| Microsoft.ContainerService/fleets/apps/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/fleets/apps/deployments/write | Zapisuje nasazení. |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Čtení stavových sad |
| Microsoft.ContainerService/fleets/apps/statefulsets/write | Zapisuje stavové sady. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Čtení horizontalpodautoscalers |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write | Zapisuje horizontalpodautoscalers |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Čtení cronjobs |
| Microsoft.ContainerService/fleets/batch/cronjobs/write | Zapisuje cronjobs |
| Microsoft.ContainerService/fleets/batch/jobs/read | Čtení úloh |
| Microsoft.ContainerService/fleets/batch/jobs/write | Zápis úloh |
| Microsoft.ContainerService/fleets/configmaps/read | Čtení konfiguračních map |
| Microsoft.ContainerService/fleets/configmaps/write | Zapisuje mapy konfigurace. |
| Microsoft.ContainerService/fleets/endpoints/read | Čtení koncových bodů |
| Microsoft.ContainerService/fleets/endpoints/write | Zapisuje koncové body. |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/fleets/events/read | Čte události. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/fleets/extensions/daemonsets/write | Zapisuje démony. |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/fleets/extensions/deployments/write | Zapisuje nasazení. |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/fleets/extensions/ingresses/write | Zápisy příchozího přenosu dat |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/write | Zapisuje síťovépolicie. |
| Microsoft.ContainerService/fleets/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/fleets/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write | Zápisy příchozího přenosu dat |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write | Zapisuje síťovépolicie. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Reads persistentvolumeclaims |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/write | Zápisy trvalýchvolumeclaims |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Čtení poddisruptionbudgets |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write | Zapisuje poddisruptionbudgets |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.ContainerService/fleets/replicationcontrollers/write | Zapisuje ovládací prvek replikace. |
| Microsoft.ContainerService/fleets/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/fleets/secrets/read | Čte tajné kódy. |
| Microsoft.ContainerService/fleets/secrets/write | Zapisuje tajné kódy. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Čtení účtů služby |
| Microsoft.ContainerService/fleets/serviceaccounts/write | Zápisy účtů služby |
| Microsoft.ContainerService/fleets/services/read | Služby čtení |
| Microsoft.ContainerService/fleets/services/write | Zapisuje služby |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Čtení interního prostředku fleetu |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Čtení prostředku resourceoverride pro vozový park |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | Zápis prostředku pro vytváření prostředků vozového parku |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Přečtěte si prostředek fleetoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Čtení pracovního prostředku flotily |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role správce clusteru Azure Kubernetes Service Arc
Vypsat akci přihlašovacích údajů správce clusteru
| Akce | Popis |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Získá hybridní instance clusteru AKS přidružené k připojenému clusteru. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | Zobrazí přihlašovací údaje správce zřízené instance clusteru používané pouze v přímém režimu. |
| Microsoft.Kubernetes/connectedClusters/Read | Čtení connectedClusters |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role uživatele clusteru Azure Kubernetes Service Arc
Zobrazí seznam akcí přihlašovacích údajů uživatele clusteru.
| Akce | Popis |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Získá hybridní instance clusteru AKS přidružené k připojenému clusteru. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | Zobrazí seznam přihlašovacích údajů uživatele AAD zřízené instance clusteru používané pouze v přímém režimu. |
| Microsoft.Kubernetes/connectedClusters/Read | Čtení connectedClusters |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role přispěvatele arc služby Azure Kubernetes Service
Uděluje přístup k hybridním clusterům Azure Kubernetes Services pro čtení a zápis.
| Akce | Popis |
|---|---|
| Microsoft.HybridContainerService/Locations/operationStatuses/read | read operationStatuses |
| Microsoft.HybridContainerService/Operations/read | Operace čtení |
| Microsoft.HybridContainerService/kubernetesVersions/read | Uvádí seznam podporovaných verzí Kubernetes z podkladového vlastního umístění. |
| Microsoft.HybridContainerService/kubernetesVersions/write | Umístí typ prostředku verze Kubernetes. |
| Microsoft.HybridContainerService/kubernetesVersions/delete | Odstranění typu prostředku verze Kubernetes |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Získá hybridní instance clusteru AKS přidružené k připojenému clusteru. |
| Microsoft.HybridContainerService/provisionedClusterInstances/write | Vytvoří instanci clusteru zřízenou službou Hybrid AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | Odstraní instanci zřízeného clusteru Hybridní AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | Získá fondy agentů ve zřízené instanci hybridního clusteru AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | Aktualizuje fond agentů ve zřízené instanci hybridního clusteru AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete | Odstraní fond agentů v instanci clusteru zřízené službou Hybrid AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | Read upgradeProfiles |
| Microsoft.HybridContainerService/skus/read | Zobrazí seznam podporovaných skladových položek virtuálních počítačů z podkladového vlastního umístění. |
| Microsoft.HybridContainerService/skus/write | Umístí typ prostředku skladových položek virtuálního počítače. |
| Microsoft.HybridContainerService/skus/delete | Odstraní typ prostředku skladové položky virtuálního počítače. |
| Microsoft.HybridContainerService/virtualNetworks/read | Seznam hybridních virtuálních sítí AKS podle předplatného |
| Microsoft.HybridContainerService/virtualNetworks/write | Opraví hybridní virtuální síť AKS. |
| Microsoft.HybridContainerService/virtualNetworks/delete | Odstraní hybridní virtuální síť AKS. |
| Microsoft.ExtendedLocation/customLocations/deploy/action | Nasazení oprávnění k prostředku vlastního umístění |
| Microsoft.ExtendedLocation/customLocations/read | Získá prostředek vlastního umístění. |
| Microsoft.Kubernetes/connectedClusters/Read | Čtení connectedClusters |
| Microsoft.Kubernetes/connectedClusters/Write | Zápisy connectedClusters |
| Microsoft.Kubernetes/connectedClusters/Delete | Odstraní connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Výpis přihlašovacích údajů uživatele clusteru |
| Microsoft.AzureStackHCI/clusters/read | Získá clustery |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role správce clusteru Azure Kubernetes Service
Vypsat akci přihlašovacích údajů správce clusteru
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | Výpis přihlašovacích údajů správce clusteru spravovaného clusteru |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Získání profilu přístupu ke spravovanému clusteru podle názvu role pomocí přihlašovacích údajů seznamu |
| Microsoft.ContainerService/managedClusters/read | Získání spravovaného clusteru |
| Microsoft.ContainerService/managedClusters/runcommand/action | Spuštění příkazu vydaného uživatelem na spravovaném serveru Kubernetes |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel monitorování clusteru Azure Kubernetes Service
Zobrazení seznamu akcí monitorování přihlašovacích údajů uživatele monitorování clusteru
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Výpis přihlašovacích údajů clusterMonitoringUser spravovaného clusteru |
| Microsoft.ContainerService/managedClusters/read | Získání spravovaného clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role uživatele clusteru Azure Kubernetes Service
Zobrazí seznam akcí přihlašovacích údajů uživatele clusteru.
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Výpis přihlašovacích údajů uživatele clusteru spravovaného clusteru |
| Microsoft.ContainerService/managedClusters/read | Získání spravovaného clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role přispěvatele služby Azure Kubernetes
Uděluje přístup ke clusterům Azure Kubernetes Service pro čtení a zápis.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.ContainerService/locations/* | Umístění pro čtení dostupná pro prostředky ContainerService |
| Microsoft.ContainerService/managedClusters/* | Vytvoření a správa spravovaného clusteru |
| Microsoft.ContainerService/managedclustersnapshots/* | Vytvoření a správa snímku spravovaného clusteru |
| Microsoft.ContainerService/snapshots/* | Vytvoření a správa snímku |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce RBAC služby Azure Kubernetes Service
Umožňuje spravovat všechny prostředky v rámci clusteru nebo oboru názvů s výjimkou aktualizací nebo odstranění kvót prostředků a oborů názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Výpis přihlašovacích údajů uživatele clusteru spravovaného clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | Zapisuje prostředkyquotas. |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | Odstraní prostředekquotas. |
| Microsoft.ContainerService/managedClusters/namespaces/write | Zapisuje obory názvů. |
| Microsoft.ContainerService/managedClusters/namespaces/delete | Odstraní obory názvů. |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správce clusteru RBAC služby Azure Kubernetes Service
Umožňuje spravovat všechny prostředky v clusteru.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Výpis přihlašovacích údajů uživatele clusteru spravovaného clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář RBAC služby Azure Kubernetes Service
Umožňuje přístup jen pro čtení k zobrazení většiny objektů v oboru názvů. Nepovoluje zobrazování rolí nebo vazeb rolí. Tato role neumožňuje zobrazování tajných kódů, protože čtení obsahu tajných kódů umožňuje přístup k přihlašovacím údajům ServiceAccount v oboru názvů, což by umožnilo přístup rozhraní API jako jakýkoli účet ServiceAccount v oboru názvů (forma eskalace oprávnění). Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | Čtení sad replik |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Čtení stavových sad |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Čtení horizontalpodautoscalers |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | Čtení cronjobs |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | Čtení úloh |
| Microsoft.ContainerService/managedClusters/configmaps/read | Čtení konfiguračních map |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Čtení koncových bodů |
| Microsoft.ContainerService/managedClusters/endpoints/read | Čtení koncových bodů |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/managedClusters/events/read | Čte události. |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Čtení sad replik |
| Microsoft.ContainerService/managedClusters/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Čtení podů |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Čtení uzlů |
| Microsoft.ContainerService/managedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | Reads persistentvolumeclaims |
| Microsoft.ContainerService/managedClusters/pods/read | Čtení podů |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Čtení poddisruptionbudgets |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | Čtení účtů služby |
| Microsoft.ContainerService/managedClusters/services/read | Služby čtení |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC Writer
Umožňuje přístup pro čtení a zápis k většině objektů v oboru názvů. Tato role neumožňuje zobrazení nebo úpravu rolí nebo vazeb rolí. Tato role ale umožňuje přístup k tajným kódům a spouštění podů jako jakýkoli účet ServiceAccount v oboru názvů, takže se dá použít k získání úrovní přístupu rozhraní API libovolného účtu ServiceAccount v oboru názvů. Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscale/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | Čtení zapůjčení |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | Zápis zapůjčení |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | Odstraní zapůjčení. |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Čtení koncových bodů |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Čtení podů |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Čtení uzlů |
| Microsoft.ContainerService/managedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtečka CheckAccess spravované identity připojeného clusteru
Integrovaná role, která umožňuje spravované identitě připojeného clusteru volat rozhraní API checkAccess
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář konfigurace služby Container Registry a čtenář konfigurace přístupu k datům
Poskytuje oprávnění k výpisu registrů kontejnerů a vlastností konfigurace registru. Poskytuje oprávnění k výpisu konfigurace přístupu k datům, jako jsou přihlašovací údaje správce, mapy oborů a tokeny, které lze použít ke čtení, zápisu nebo odstraňování úložišť a imagí. Neposkytuje přímá oprávnění ke čtení, výpisu nebo zápisu obsahu registru včetně úložišť a imagí. Neposkytuje oprávnění k úpravě obsahu roviny dat, jako jsou importy, mezipaměť artefaktů nebo synchronizace a kanály přenosu. Neposkytuje oprávnění ke správě úkolů.
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/operationStatuses/read | Získá stav asynchronní operace registru. |
| Microsoft.ContainerRegistry/registry/read | Získá vlastnosti zadaného registru kontejneru nebo vypíše všechny registry kontejnerů v zadané skupině prostředků nebo předplatném. |
| Microsoft.ContainerRegistry/registryies/privateEndpointConnections/read | Získá vlastnosti připojení privátního koncového bodu nebo vypíše všechna připojení privátního koncového bodu pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/privateEndpointConnections/operationStatuses/read | Získání stavu asynchronní operace připojení privátního koncového bodu |
| Microsoft.ContainerRegistry/registryies/listCredentials/action | Zobrazí seznam přihlašovacích údajů pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/tokens/read | Získá vlastnosti zadaného tokenu nebo vypíše všechny tokeny pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/tokens/operationStatuses/read | Získá stav asynchronní operace tokenu. |
| Microsoft.ContainerRegistry/registryies/scopeMaps/read | Získá vlastnosti zadané mapování oboru nebo vypíše všechny mapy oboru pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/scopeMaps/operationStatuses/read | Získá stav asynchronní operace mapování oboru. |
| Microsoft.ContainerRegistry/registryies/webhooks/read | Získá vlastnosti zadaného webhooku nebo vypíše všechny webhooky pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/webhooks/getCallbackConfig/action | Získá konfiguraci identifikátoru URI služby a vlastních hlaviček pro webhook. |
| Microsoft.ContainerRegistry/registryies/webhooks/listEvents/action | Zobrazí seznam nedávných událostí pro zadaný webhook. |
| Microsoft.ContainerRegistry/registryies/webhooks/operationStatuses/read | Získá stav asynchronní operace webhooku. |
| Microsoft.ContainerRegistry/registry/replications/read | Získá vlastnosti zadané replikace nebo vypíše všechny replikace pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/replications/operationStatuses/read | Získá stav asynchronní operace replikace. |
| Microsoft.ContainerRegistry/registry/connectedRegistries/read | Získá vlastnosti zadaného připojeného registru nebo zobrazí seznam všech připojených registrů pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/providers/Microsoft.Insights/diagnosticSettings/read | Získá nastavení diagnostiky pro prostředek. |
| Microsoft.ContainerRegistry/registry/providers/Microsoft.Insights/diagnosticSettings/write | Vytvoří nebo aktualizuje nastavení diagnostiky pro prostředek. |
| Microsoft.ContainerRegistry/registryies/providers/Microsoft.Insights/logDefinitions/read | Získá dostupné protokoly pro Microsoft ContainerRegistry. |
| Microsoft.ContainerRegistry/registryies/providers/Microsoft.Insights/metricDefinitions/read | Získá dostupné metriky pro Microsoft ContainerRegistry. |
| Microsoft.Insights/AlertRules/Write | Vytvoření nebo aktualizace klasického upozornění na metriku |
| Microsoft.Insights/AlertRules/Delete | Odstranění klasického upozornění na metriku |
| Microsoft.Insights/AlertRules/Read | Čtení klasického upozornění na metriku |
| Microsoft.Insights/AlertRules/Activated/Action | Aktivované klasické upozornění na metriku |
| Microsoft.Insights/AlertRules/Resolved/Action | Řešení klasických upozornění na metriku |
| Microsoft.Insights/AlertRules/Throttled/Action | Omezení pravidla upozornění na klasickou metriku |
| Microsoft.Insights/AlertRules/Incidents/Read | Čtení klasického incidentu upozornění na metriky |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel služby Container Registry a správce konfigurace přístupu k datům
Poskytuje oprávnění k vytváření, výpisu a aktualizaci registrů kontejnerů a vlastností konfigurace registru. Poskytuje oprávnění ke konfiguraci přístupu k datům, jako jsou přihlašovací údaje správce, mapy oborů a tokeny, které se dají použít ke čtení, zápisu nebo odstraňování úložišť a imagí. Neposkytuje přímá oprávnění ke čtení, výpisu nebo zápisu obsahu registru včetně úložišť a imagí. Neposkytuje oprávnění k úpravě obsahu roviny dat, jako jsou importy, mezipaměť artefaktů nebo synchronizace a kanály přenosu. Neposkytuje oprávnění ke správě úkolů.
| Akce | Popis |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerRegistry/registryies/operationStatuses/read | Získá stav asynchronní operace registru. |
| Microsoft.ContainerRegistry/registry/read | Získá vlastnosti zadaného registru kontejneru nebo vypíše všechny registry kontejnerů v zadané skupině prostředků nebo předplatném. |
| Microsoft.ContainerRegistry/registry/write | Vytvoří nebo aktualizuje registr kontejneru se zadanými parametry. |
| Microsoft.ContainerRegistry/registry/delete | Odstraní registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/listCredentials/action | Zobrazí seznam přihlašovacích údajů pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/regenerateCredential/action | Znovu vygeneruje jednu z přihlašovacích údajů pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/generateCredentials/action | Vygenerujte klíče pro token zadaného registru kontejneru. |
| Microsoft.ContainerRegistry/registry/replications/read | Získá vlastnosti zadané replikace nebo vypíše všechny replikace pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registry/replications/write | Vytvoří nebo aktualizuje replikaci registru kontejneru se zadanými parametry. |
| Microsoft.ContainerRegistry/registry/replications/delete | Odstraní replikaci z registru kontejneru. |
| Microsoft.ContainerRegistry/registryies/replications/operationStatuses/read | Získá stav asynchronní operace replikace. |
| Microsoft.ContainerRegistry/registryies/privateEndpointConnectionsApproval/action | Automaticky schválí připojení privátního koncového bodu. |
| Microsoft.ContainerRegistry/registryies/privateEndpointConnections/read | Získá vlastnosti připojení privátního koncového bodu nebo vypíše všechna připojení privátního koncového bodu pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/privateEndpointConnections/write | Schválí nebo odmítne připojení privátního koncového bodu. |
| Microsoft.ContainerRegistry/registryies/privateEndpointConnections/delete | Odstraní připojení privátního koncového bodu. |
| Microsoft.ContainerRegistry/registryies/privateEndpointConnections/operationStatuses/read | Získání stavu asynchronní operace připojení privátního koncového bodu |
| Microsoft.ContainerRegistry/registryies/tokens/read | Získá vlastnosti zadaného tokenu nebo vypíše všechny tokeny pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/tokens/write | Vytvoří nebo aktualizuje token pro registr kontejneru se zadanými parametry. |
| Microsoft.ContainerRegistry/registry/tokens/delete | Odstraní token z registru kontejneru. |
| Microsoft.ContainerRegistry/registryies/tokens/operationStatuses/read | Získá stav asynchronní operace tokenu. |
| Microsoft.ContainerRegistry/registryies/scopeMaps/read | Získá vlastnosti zadané mapování oboru nebo vypíše všechny mapy oboru pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/scopeMaps/write | Vytvoří nebo aktualizuje mapu oboru pro registr kontejneru se zadanými parametry. |
| Microsoft.ContainerRegistry/registryies/scopeMaps/delete | Odstraní mapování oboru z registru kontejneru. |
| Microsoft.ContainerRegistry/registryies/scopeMaps/operationStatuses/read | Získá stav asynchronní operace mapování oboru. |
| Microsoft.ContainerRegistry/registryies/providers/Microsoft.Insights/diagnosticSettings/read | Získá nastavení diagnostiky pro prostředek. |
| Microsoft.ContainerRegistry/registry/providers/Microsoft.Insights/diagnosticSettings/write | Vytvoří nebo aktualizuje nastavení diagnostiky pro prostředek. |
| Microsoft.ContainerRegistry/registryies/providers/Microsoft.Insights/logDefinitions/read | Získá dostupné protokoly pro Microsoft ContainerRegistry. |
| Microsoft.ContainerRegistry/registryies/providers/Microsoft.Insights/metricDefinitions/read | Získá dostupné metriky pro Microsoft ContainerRegistry. |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.ContainerRegistry/registry/connectedRegistries/read | Získá vlastnosti zadaného připojeného registru nebo zobrazí seznam všech připojených registrů pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registry/connectedRegistries/write | Vytvoří nebo aktualizuje připojený registr pro registr kontejneru se zadanými parametry. |
| Microsoft.ContainerRegistry/registry/connectedRegistries/delete | Odstraní připojený registr z registru kontejneru. |
| Microsoft.ContainerRegistry/registry/connectedRegistries/deactivate/action | Deaktivuje připojený registr pro registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/webhooks/read | Získá vlastnosti zadaného webhooku nebo vypíše všechny webhooky pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registry/webhooks/write | Vytvoří nebo aktualizuje webhook pro registr kontejneru se zadanými parametry. |
| Microsoft.ContainerRegistry/registry/webhooks/delete | Odstraní webhook z registru kontejneru. |
| Microsoft.ContainerRegistry/registryies/webhooks/getCallbackConfig/action | Získá konfiguraci identifikátoru URI služby a vlastních hlaviček pro webhook. |
| Microsoft.ContainerRegistry/registryies/webhooks/ping/action | Aktivuje událost ping, která se odešle do webhooku. |
| Microsoft.ContainerRegistry/registryies/webhooks/listEvents/action | Zobrazí seznam nedávných událostí pro zadaný webhook. |
| Microsoft.ContainerRegistry/registryies/webhooks/operationStatuses/read | Získá stav asynchronní operace webhooku. |
| Microsoft.Insights/AlertRules/Write | Vytvoření nebo aktualizace klasického upozornění na metriku |
| Microsoft.Insights/AlertRules/Delete | Odstranění klasického upozornění na metriku |
| Microsoft.Insights/AlertRules/Read | Čtení klasického upozornění na metriku |
| Microsoft.Insights/AlertRules/Activated/Action | Aktivované klasické upozornění na metriku |
| Microsoft.Insights/AlertRules/Resolved/Action | Řešení klasických upozornění na metriku |
| Microsoft.Insights/AlertRules/Throttled/Action | Omezení pravidla upozornění na klasickou metriku |
| Microsoft.Insights/AlertRules/Incidents/Read | Čtení klasického incidentu upozornění na metriky |
| Microsoft.ContainerRegistry/locations/operationResults/read | Získá výsledek asynchronní operace. |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Připojí prostředek, jako je účet úložiště nebo databáze SQL, k podsíti. Nelze upozorňovat. |
| Microsoft.Network/virtualNetworks/subnets/read | Získá definici podsítě virtuální sítě. |
| Microsoft.Network/virtualNetworks/subnets/write | Vytvoří podsíť virtuální sítě nebo aktualizuje existující podsíť virtuální sítě. |
| Microsoft.Network/virtualNetworks/read | Získání definice virtuální sítě |
| Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write | Vytvoří nový proxy služby private link nebo aktualizuje existující proxy služby privátního propojení. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Data Importer a Čtenář dat
Umožňuje importovat image do registru prostřednictvím operace importu registru. Poskytuje možnost vypsat úložiště, zobrazit obrázky a značky, získat manifesty a vyžádat image. Neposkytuje oprávnění pro import imagí prostřednictvím konfigurace kanálů přenosu registru, jako jsou kanály importu a exportu. Neposkytuje oprávnění pro import prostřednictvím konfigurace pravidel mezipaměti artefaktů nebo synchronizace.
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/importImage/action | Import image do registru kontejneru se zadanými parametry |
| Microsoft.ContainerRegistry/registry/read | Získá vlastnosti zadaného registru kontejneru nebo vypíše všechny registry kontejnerů v zadané skupině prostředků nebo předplatném. |
| Microsoft.ContainerRegistry/registryies/pull/read | Načtení nebo získání imagí z registru kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Lister katalogu úložiště Container Registry
Umožňuje výpis všech úložišť ve službě Azure Container Registry. Tato role je ve verzi Preview a může se změnit.
| Akce | Popis |
|---|---|
| žádné | |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registry/catalog/read | Výpis úložišť v registru kontejneru |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel úložiště Container Registry
Umožňuje přístup ke čtení, zápisu a odstraňování přístupu k úložištím Azure Container Registry, ale s výjimkou výpisu katalogu. Tato role je ve verzi Preview a může se změnit.
| Akce | Popis |
|---|---|
| žádné | |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registry/repositories/metadata/read | Získá metadata konkrétního úložiště pro registr kontejneru. |
| Microsoft.ContainerRegistry/registry/repositories/content/read | Načtení nebo získání imagí z registru kontejneru |
| Microsoft.ContainerRegistry/registry/repositories/metadata/write | Aktualizuje metadata úložiště pro registr kontejneru. |
| Microsoft.ContainerRegistry/registry/repositories/content/write | Nasdílení nebo zápis imagí do registru kontejneru |
| Microsoft.ContainerRegistry/registry/repositories/metadata/delete | Odstranění metadat úložiště pro registr kontejneru |
| Microsoft.ContainerRegistry/registry/repositories/content/delete | Odstranění artefaktu v registru kontejneru |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář úložiště Container Registry
Umožňuje přístup pro čtení k úložištím Azure Container Registry, ale s výjimkou výpisu katalogu. Tato role je ve verzi Preview a může se změnit.
| Akce | Popis |
|---|---|
| žádné | |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registry/repositories/metadata/read | Získá metadata konkrétního úložiště pro registr kontejneru. |
| Microsoft.ContainerRegistry/registry/repositories/content/read | Načtení nebo získání imagí z registru kontejneru |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Zapisovač úložiště Container Registry
Umožňuje přístup ke čtení a zápisu do úložišť Služby Azure Container Registry, ale nezahrnuje výpis katalogu. Tato role je ve verzi Preview a může se změnit.
| Akce | Popis |
|---|---|
| žádné | |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registry/repositories/metadata/read | Získá metadata konkrétního úložiště pro registr kontejneru. |
| Microsoft.ContainerRegistry/registry/repositories/content/read | Načtení nebo získání imagí z registru kontejneru |
| Microsoft.ContainerRegistry/registry/repositories/metadata/write | Aktualizuje metadata úložiště pro registr kontejneru. |
| Microsoft.ContainerRegistry/registry/repositories/content/write | Nasdílení nebo zápis imagí do registru kontejneru |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel úloh služby Container Registry
Poskytuje oprávnění ke konfiguraci, čtení, výpisu, triggeru nebo zrušení úloh Služby Container Registry, spuštění úloh, protokolů úloh, rychlých spuštění, rychlých sestavení a fondů agentů úloh. Oprávnění udělená pro správu úkolů je možné použít pro úplná oprávnění roviny dat registru, včetně čtení, zápisu nebo odstraňování imagí kontejnerů v registrech. Oprávnění udělená pro správu úloh se dají použít také ke spouštění direktiv sestavení vytvořených zákazníkem a spouštění skriptů pro sestavování artefaktů softwaru.
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registry/agentpools/read | Získejte fond agentů pro registr kontejneru nebo vypíšete všechny fondy agentů. |
| Microsoft.ContainerRegistry/registryies/agentpools/write | Vytvořte nebo aktualizujte fond agentů pro registr kontejneru. |
| Microsoft.ContainerRegistry/registry/agentpools/delete | Odstraňte fond agentů pro registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/agentpools/listQueueStatus/action | Zobrazí seznam všech stavů fronty fondu agentů pro registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/agentpools/operationResults/status/read | Získá stav výsledku asynchronní operace fondu agentů. |
| Microsoft.ContainerRegistry/registryies/agentpools/operationStatuses/read | Získá stav asynchronní operace fondu agentů. |
| Microsoft.ContainerRegistry/registry/tasks/read | Získá úkol pro registr kontejneru nebo vypsat všechny úkoly. |
| Microsoft.ContainerRegistry/registry/tasks/write | Vytvoří nebo aktualizuje úlohu pro registr kontejneru. |
| Microsoft.ContainerRegistry/registry/tasks/delete | Odstraní úlohu pro registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/tasks/listDetails/action | Zobrazí seznam všech podrobností úlohy pro registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/scheduleRun/action | Naplánujte spuštění v registru kontejneru. |
| Microsoft.ContainerRegistry/registryies/listBuildSourceUploadUrl/action | Získejte umístění adresy URL pro nahrání zdroje pro registr kontejneru. |
| Microsoft.ContainerRegistry/registry/runs/read | Získá vlastnosti spuštění proti registru kontejneru nebo seznamu spuštění. |
| Microsoft.ContainerRegistry/registry/runs/write | Aktualizuje spuštění. |
| Microsoft.ContainerRegistry/registryies/runs/listLogSasUrl/action | Získá adresu URL SAS protokolu pro spuštění. |
| Microsoft.ContainerRegistry/registry/runs/cancel/action | Zrušte existující spuštění. |
| Microsoft.ContainerRegistry/registryies/taskruns/read | Získejte spuštění úkolu pro registr kontejneru nebo vypíšete všechna spuštění úloh. |
| Microsoft.ContainerRegistry/registryies/taskruns/write | Vytvoření nebo aktualizace spuštění úlohy pro registr kontejneru |
| Microsoft.ContainerRegistry/registryies/taskruns/delete | Odstraňte spuštění úlohy pro registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/taskruns/listDetails/action | Zobrazí seznam všech podrobností spuštění úlohy pro registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/taskruns/operationStatuses/read | Získá stav asynchronní operace spuštění úlohy. |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerRegistry/registry/read | Získá vlastnosti zadaného registru kontejneru nebo vypíše všechny registry kontejnerů v zadané skupině prostředků nebo předplatném. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel kanálu převodu služby Container Registry
Poskytuje možnost přenášet, importovat a exportovat artefakty prostřednictvím konfigurace kanálů přenosu registru, které zahrnují zprostředkující účty úložiště a trezory klíčů. Neposkytuje oprávnění k nasdílení nebo vyžádání imagí. Neposkytuje oprávnění k vytváření, správě nebo výpisu účtů úložiště nebo trezorů klíčů. Neposkytuje oprávnění k provádění přiřazení rolí.
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/exportPipelines/read | Získá vlastnosti zadaného kanálu exportu nebo vypíše všechny exportní kanály pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/exportPipelines/write | Vytvoří nebo aktualizuje kanál exportu pro registr kontejneru se zadanými parametry. |
| Microsoft.ContainerRegistry/registryies/exportPipelines/delete | Odstraní kanál exportu z registru kontejneru. |
| Microsoft.ContainerRegistry/registryies/importPipelines/read | Získá vlastnosti zadaného kanálu importu nebo zobrazí seznam všech kanálů importu pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/importPipelines/write | Vytvoří nebo aktualizuje kanál importu pro registr kontejneru se zadanými parametry. |
| Microsoft.ContainerRegistry/registryies/importPipelines/delete | Odstraní kanál importu z registru kontejneru. |
| Microsoft.ContainerRegistry/registryies/pipelineRuns/read | Získá vlastnosti zadaného spuštění kanálu nebo zobrazí seznam všech spuštění kanálu pro zadaný registr kontejneru. |
| Microsoft.ContainerRegistry/registryies/pipelineRuns/write | Vytvoří nebo aktualizuje spuštění kanálu pro registr kontejneru se zadanými parametry. |
| Microsoft.ContainerRegistry/registryies/pipelineRuns/delete | Odstraní spuštění kanálu z registru kontejneru. |
| Microsoft.ContainerRegistry/registryies/pipelineRuns/operationStatuses/read | Získá stav asynchronní operace spuštění kanálu. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operátor Kubernetes Agentless
Uděluje Microsoft Defenderu pro cloud přístup ke službám Azure Kubernetes Services.
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | Vytvoření nebo aktualizace vazeb rolí důvěryhodného přístupu pro spravovaný cluster |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | Získání vazeb role důvěryhodného přístupu pro spravovaný cluster |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | Odstranění vazeb rolí důvěryhodného přístupu pro spravovaný cluster |
| Microsoft.ContainerService/managedClusters/read | Získání spravovaného clusteru |
| Microsoft.Features/features/read | Získá funkce předplatného. |
| Microsoft.Features/providers/features/read | Získá funkci předplatného v daném poskytovateli prostředků. |
| Microsoft.Features/providers/features/register/action | Zaregistruje funkci pro předplatné v daném poskytovateli prostředků. |
| Microsoft.Security/pricings/securityoperators/read | Získá operátory zabezpečení pro obor. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cluster Kubernetes – Onboarding Azure Arc
Definice role k autorizaci libovolného uživatele nebo služby k vytvoření připojeného prostředkuClusters
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Kubernetes/connectedClusters/Write | Zápisy connectedClusters |
| Microsoft.Kubernetes/connectedClusters/read | Čtení connectedClusters |
| Microsoft.KubernetesConfiguration/extensions/write | Vytvoří nebo aktualizuje prostředek rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/read | Získá prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/delete | Odstraní prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Získá stav asynchronní operace. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel rozšíření Kubernetes
Může vytvářet, aktualizovat, získat, vypsat a odstranit rozšíření Kubernetes Extensions a získat asynchronní operace rozšíření.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.KubernetesConfiguration/extensions/write | Vytvoří nebo aktualizuje prostředek rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/read | Získá prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/delete | Odstraní prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Získá stav asynchronní operace. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel clusteru Service Fabric
Správa prostředků clusteru Service Fabric Zahrnuje clustery, typy aplikací, verze typů aplikací, aplikace a služby. Budete potřebovat další oprávnění k nasazení a správě základních prostředků clusteru, jako jsou škálovací sady virtuálních počítačů, účty úložiště, sítě atd.
| Akce | Popis |
|---|---|
| Microsoft.ServiceFabric/clusters/* | |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel spravovaného clusteru Service Fabric
Nasaďte a spravujte prostředky spravovaného clusteru Service Fabric. Zahrnuje spravované clustery, typy uzlů, typy aplikací, verze typů aplikací, aplikace a služby.
| Akce | Popis |
|---|---|
| Microsoft.ServiceFabric/managedclusters/* | |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Insights/alertRules/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}