次の方法で共有


コンテナー用の Azure 組み込みロール

この記事では、コンテナー カテゴリの Azure 組み込みロールの一覧を示します。

AcrDelete

コンテナー レジストリからリポジトリ、タグ、またはマニフェストを削除します。

詳細情報

アクション 説明
Microsoft.ContainerRegistry/registries/artifacts/delete コンテナー レジストリの成果物を削除します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr delete",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
  "name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/artifacts/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrDelete",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrImageSigner

コンテンツの信頼が有効になっているコンテナー レジストリに信頼済みのイメージをプッシュしたり、信頼済みのイメージをプルしたりします。

詳細情報

アクション 説明
Microsoft.ContainerRegistry/registries/sign/write コンテナー レジストリのコンテンツの信頼メタデータをプッシュ/プルします。
NotActions
なし
DataActions
Microsoft.ContainerRegistry/registries/trustedCollections/write コンテナー レジストリ コンテンツの信頼されたコレクションのプッシュまたは公開を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/sign/write アクションに似ています。
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr image signer",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
  "name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/sign/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/trustedCollections/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrImageSigner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrPull

コンテナー レジストリから成果物をプルします。

詳細情報

アクション 説明
Microsoft.ContainerRegistry/registries/pull/read コンテナー レジストリからイメージをプルまたは取得します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr pull",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
  "name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/pull/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrPull",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrPush

コンテナー レジストリに成果物をプッシュしたり、成果物をプルしたりします。

詳細情報

アクション 説明
Microsoft.ContainerRegistry/registries/pull/read コンテナー レジストリからイメージをプルまたは取得します。
Microsoft.ContainerRegistry/registries/push/write コンテナー レジストリにイメージをプッシュするか書き込みます。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr push",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
  "name": "8311e382-0749-4cb8-b61a-304f252e45ec",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/pull/read",
        "Microsoft.ContainerRegistry/registries/push/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrPush",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrQuarantineReader

コンテナー レジストリから検疫済みのイメージをプルします。

詳細情報

アクション 説明
Microsoft.ContainerRegistry/registries/quarantine/read コンテナー レジストリから検疫済みのイメージをプルまたは取得します
NotActions
なし
DataActions
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています。
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr quarantine data reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
  "name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/quarantine/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrQuarantineReader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrQuarantineWriter

検疫済みのイメージをコンテナー レジストリにプッシュしたり、検疫済みイメージをプルしたりします。

詳細情報

アクション 説明
Microsoft.ContainerRegistry/registries/quarantine/read コンテナー レジストリから検疫済みのイメージをプルまたは取得します
Microsoft.ContainerRegistry/registries/quarantine/write 検疫済みイメージの検疫状態を書き込むか変更します
NotActions
なし
DataActions
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています。
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write 検疫済み成果物の検疫状態の書き込みまたは更新を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/write アクションに似ています。
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr quarantine data writer",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
  "name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/quarantine/read",
        "Microsoft.ContainerRegistry/registries/quarantine/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrQuarantineWriter",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Arc 対応 Kubernetes クラスター ユーザー ロール

クラスター ユーザーの資格情報アクションを一覧表示します。

アクション 説明
Microsoft.Resources/deployments/write デプロイを作成または更新します。
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action clusterUser 資格情報を一覧表示します (プレビュー)。
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Support/* サポート チケットの作成と更新
Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action clusterUser 資格情報を一覧表示します
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credentials action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
  "name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Support/*",
        "Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Arc Kubernetes 管理者

リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/write デプロイを作成または更新します。
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
NotActions
なし
DataActions
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read controllerrevisions を読み取ります
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*
Microsoft.Kubernetes/connectedClusters/apps/deployments/*
Microsoft.Kubernetes/connectedClusters/apps/replicasets/*
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*
Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write localsubjectaccessreviews を書き込みます
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*
Microsoft.Kubernetes/connectedClusters/batch/jobs/*
Microsoft.Kubernetes/connectedClusters/configmaps/*
Microsoft.Kubernetes/connectedClusters/endpoints/*
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read イベントを読み取ります
Microsoft.Kubernetes/connectedClusters/events/read イベントを読み取ります
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*
Microsoft.Kubernetes/connectedClusters/extensions/deployments/*
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*
Microsoft.Kubernetes/connectedClusters/limitranges/read limitranges を読み取ります
Microsoft.Kubernetes/connectedClusters/namespaces/read 名前空間を読み取ります
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*
Microsoft.Kubernetes/connectedClusters/pods/*
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/resourcequotas/read resourcequotas を読み取ります
Microsoft.Kubernetes/connectedClusters/secrets/*
Microsoft.Kubernetes/connectedClusters/serviceaccounts/*
Microsoft.Kubernetes/connectedClusters/services/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
  "name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
        "Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
        "Microsoft.Kubernetes/connectedClusters/configmaps/*",
        "Microsoft.Kubernetes/connectedClusters/endpoints/*",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
        "Microsoft.Kubernetes/connectedClusters/pods/*",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
        "Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/secrets/*",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
        "Microsoft.Kubernetes/connectedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Arc Kubernetes クラスター管理者

クラスター内のすべてのリソースを管理できます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/write デプロイを作成または更新します。
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
NotActions
なし
DataActions
Microsoft.Kubernetes/connectedClusters/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources in the cluster.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
  "name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Arc Kubernetes ビューアー

クラスターおよび名前空間内のすべてのリソース (シークレットを除く) を表示できます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/write デプロイを作成または更新します。
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
NotActions
なし
DataActions
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read controllerrevisions を読み取ります
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read デーモンセットを読み取ります
Microsoft.Kubernetes/connectedClusters/apps/deployments/read デプロイを読み取ります
Microsoft.Kubernetes/connectedClusters/apps/replicasets/read レプリカセットを読み取ります
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read ステートフルセットを読み取ります
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read horizontalpodautoscalers を読み取ります
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read cronjobs を読み取ります
Microsoft.Kubernetes/connectedClusters/batch/jobs/read ジョブを読み取ります
Microsoft.Kubernetes/connectedClusters/configmaps/read configmaps を読み取ります
Microsoft.Kubernetes/connectedClusters/endpoints/read エンドポイントを読み取ります
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read イベントを読み取ります
Microsoft.Kubernetes/connectedClusters/events/read イベントを読み取ります
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read デーモンセットを読み取ります
Microsoft.Kubernetes/connectedClusters/extensions/deployments/read デプロイを読み取ります
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read イングレスを読み取ります
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read networkpolicies を読み取ります
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read レプリカセットを読み取ります
Microsoft.Kubernetes/connectedClusters/limitranges/read limitranges を読み取ります
Microsoft.Kubernetes/connectedClusters/namespaces/read 名前空間を読み取ります
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read イングレスを読み取ります
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read networkpolicies を読み取ります
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read persistentvolumeclaims を読み取ります
Microsoft.Kubernetes/connectedClusters/pods/read ポッドを読み取ります
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read poddisruptionbudgets を読み取ります
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read replicationcontrollers を読み取ります
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read replicationcontrollers を読み取ります
Microsoft.Kubernetes/connectedClusters/resourcequotas/read resourcequotas を読み取ります
Microsoft.Kubernetes/connectedClusters/serviceaccounts/read serviceaccounts を読み取ります
Microsoft.Kubernetes/connectedClusters/services/read サービスを読み取ります
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you view all resources in cluster/namespace, except secrets.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
  "name": "63f0a09d-1495-4db4-a681-037d84835eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
        "Microsoft.Kubernetes/connectedClusters/configmaps/read",
        "Microsoft.Kubernetes/connectedClusters/endpoints/read",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
        "Microsoft.Kubernetes/connectedClusters/pods/read",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
        "Microsoft.Kubernetes/connectedClusters/services/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Viewer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Arc Kubernetes ライター

(クラスター) ロール、(クラスター) ロール バインドを除く、クラスターおよび名前空間内のすべてを更新できます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/write デプロイを作成または更新します。
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Support/* サポート チケットの作成と更新
NotActions
なし
DataActions
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read controllerrevisions を読み取ります
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*
Microsoft.Kubernetes/connectedClusters/apps/deployments/*
Microsoft.Kubernetes/connectedClusters/apps/replicasets/*
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*
Microsoft.Kubernetes/connectedClusters/batch/jobs/*
Microsoft.Kubernetes/connectedClusters/configmaps/*
Microsoft.Kubernetes/connectedClusters/endpoints/*
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read イベントを読み取ります
Microsoft.Kubernetes/connectedClusters/events/read イベントを読み取ります
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*
Microsoft.Kubernetes/connectedClusters/extensions/deployments/*
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*
Microsoft.Kubernetes/connectedClusters/limitranges/read limitranges を読み取ります
Microsoft.Kubernetes/connectedClusters/namespaces/read 名前空間を読み取ります
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*
Microsoft.Kubernetes/connectedClusters/pods/*
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/resourcequotas/read resourcequotas を読み取ります
Microsoft.Kubernetes/connectedClusters/secrets/*
Microsoft.Kubernetes/connectedClusters/serviceaccounts/*
Microsoft.Kubernetes/connectedClusters/services/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
  "name": "5b999177-9696-4545-85c7-50de3797e5a1",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
        "Microsoft.Kubernetes/connectedClusters/configmaps/*",
        "Microsoft.Kubernetes/connectedClusters/endpoints/*",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
        "Microsoft.Kubernetes/connectedClusters/pods/*",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/secrets/*",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
        "Microsoft.Kubernetes/connectedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Container Storage 共同作成者

Azure Container Storage をインストールし、そのストレージ リソースを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。

アクション 説明
Microsoft.KubernetesConfiguration/extensions/write 拡張機能リソースを作成または更新します。
Microsoft.KubernetesConfiguration/extensions/read 拡張機能インスタンス リソースを取得します。
Microsoft.KubernetesConfiguration/extensions/delete 拡張機能インスタンス リソースを削除します。
Microsoft.KubernetesConfiguration/extensions/operations/read 非同期操作の状態を取得します。
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Management/managementGroups/read 認証済みユーザーの管理グループを一覧表示します。
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Support/* サポート チケットの作成と更新
NotActions
なし
DataActions
なし
NotDataActions
なし
アクション
Microsoft.Authorization/roleAssignments/write 指定されたスコープのロールの割り当てを作成します。
Microsoft.Authorization/roleAssignments/delete 指定したスコープにおけるロールの割り当てを削除します。
NotActions
なし
DataActions
なし
NotDataActions
なし
Condition
((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}))OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})AND (!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) 以下のロールでロールの割り当てを追加または削除します:
Azure Container Storage オペレーター
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you install Azure Container Storage and manage its storage resources",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
  "name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
  "permissions": [
    {
      "actions": [
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    },
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
    }
  ],
  "roleName": "Azure Container Storage Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Container Storage オペレーター

マネージド ID で、仮想マシンの管理や仮想ネットワークの管理などの Azure Container Storage 操作を実行できるようにします。

アクション 説明
Microsoft.ElasticSan/elasticSans/*
Microsoft.ElasticSan/locations/asyncoperations/read 非同期操作の状態をポーリングします。
Microsoft.Network/routeTables/join/action ルート テーブルを結合します。 警告不可能です。
Microsoft.Network/networkSecurityGroups/join/action ネットワーク セキュリティ グループに参加します。 警告不可能です。
Microsoft.Network/virtualNetworks/write 仮想ネットワークを作成するか、既存の仮想ネットワークを更新します。
Microsoft.Network/virtualNetworks/delete 仮想ネットワークを削除します。
Microsoft.Network/virtualNetworks/join/action 仮想ネットワークに参加します。 警告不可能です。
Microsoft.Network/virtualNetworks/subnets/read 仮想ネットワーク サブネットの定義を取得します。
Microsoft.Network/virtualNetworks/subnets/write 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します。
Microsoft.Compute/virtualMachines/read 仮想マシンのプロパティを取得する
Microsoft.Compute/virtualMachines/write 新しい仮想マシンを作成するか、既存の仮想マシンを更新します。
Microsoft.Compute/virtualMachineScaleSets/read 仮想マシン スケール セットのプロパティを取得します。
Microsoft.Compute/virtualMachineScaleSets/write 新しい仮想マシン スケール セットを作成するか、既存のものを更新します。
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write VM スケール セット内の仮想マシンのプロパティを更新します。
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read VM スケール セット内の仮想マシンのプロパティを取得します。
Microsoft.Resources/subscriptions/providers/read リソース プロバイダーを取得または一覧表示します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Network/virtualNetworks/read 仮想ネットワークの定義を取得します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role required by a Managed Identity for Azure Container Storage operations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
  "name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
  "permissions": [
    {
      "actions": [
        "Microsoft.ElasticSan/elasticSans/*",
        "Microsoft.ElasticSan/locations/asyncoperations/read",
        "Microsoft.Network/routeTables/join/action",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/virtualNetworks/write",
        "Microsoft.Network/virtualNetworks/delete",
        "Microsoft.Network/virtualNetworks/join/action",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/write",
        "Microsoft.Compute/virtualMachines/read",
        "Microsoft.Compute/virtualMachines/write",
        "Microsoft.Compute/virtualMachineScaleSets/read",
        "Microsoft.Compute/virtualMachineScaleSets/write",
        "Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
        "Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
        "Microsoft.Resources/subscriptions/providers/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Network/virtualNetworks/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Container Storage Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Container Storage 所有者

Azure Container Storage をインストールし、そのストレージ リソースへのアクセスを許可し、Azure Elastic Storage Area Network (SAN) を構成します。 ロールの割り当てを制限する ABAC 条件が含まれています。

アクション 説明
Microsoft.ElasticSan/elasticSans/*
Microsoft.ElasticSan/locations/*
Microsoft.ElasticSan/elasticSans/volumeGroups/*
Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*
Microsoft.ElasticSan/locations/asyncoperations/read 非同期操作の状態をポーリングします。
Microsoft.KubernetesConfiguration/extensions/write 拡張機能リソースを作成または更新します。
Microsoft.KubernetesConfiguration/extensions/read 拡張機能インスタンス リソースを取得します。
Microsoft.KubernetesConfiguration/extensions/delete 拡張機能インスタンス リソースを削除します。
Microsoft.KubernetesConfiguration/extensions/operations/read 非同期操作の状態を取得します。
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Management/managementGroups/read 認証済みユーザーの管理グループを一覧表示します。
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Support/* サポート チケットの作成と更新
NotActions
なし
DataActions
なし
NotDataActions
なし
アクション
Microsoft.Authorization/roleAssignments/write 指定されたスコープのロールの割り当てを作成します。
Microsoft.Authorization/roleAssignments/delete 指定したスコープにおけるロールの割り当てを削除します。
NotActions
なし
DataActions
なし
NotDataActions
なし
Condition
((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}))OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})AND (!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) 以下のロールでロールの割り当てを追加または削除します:
Azure Container Storage オペレーター
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you install Azure Container Storage and grants access to its storage resources",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
  "name": "95de85bd-744d-4664-9dde-11430bc34793",
  "permissions": [
    {
      "actions": [
        "Microsoft.ElasticSan/elasticSans/*",
        "Microsoft.ElasticSan/locations/*",
        "Microsoft.ElasticSan/elasticSans/volumeGroups/*",
        "Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
        "Microsoft.ElasticSan/locations/asyncoperations/read",
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    },
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
    }
  ],
  "roleName": "Azure Container Storage Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Fleet Manager 共同作成者ロール

フリート、フリート メンバー、フリート更新戦略、フリート更新実行など、Azure Kubernetes Fleet Manager によって提供される Azure リソースへの読み取り/書き込みアクセスを許可します。

アクション 説明
Microsoft.ContainerService/fleets/*
Microsoft.Resources/deployments/* デプロイの作成と管理
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
  "name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/fleets/*",
        "Microsoft.Resources/deployments/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager Contributor Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Fleet Manager RBAC 管理者

フリート マネージド ハブ クラスター内の名前空間内の Kubernetes リソースへの読み取り/書き込みアクセスを許可します。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対する書き込みアクセス許可を提供します。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.ContainerService/fleets/read フリートを取得する
Microsoft.ContainerService/fleets/listCredentials/action フリート資格情報を一覧表示する
NotActions
なし
DataActions
Microsoft.ContainerService/fleets/apps/controllerrevisions/read controllerrevisions を読み取ります
Microsoft.ContainerService/fleets/apps/daemonsets/*
Microsoft.ContainerService/fleets/apps/deployments/*
Microsoft.ContainerService/fleets/apps/statefulsets/*
Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write localsubjectaccessreviews を書き込みます
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*
Microsoft.ContainerService/fleets/batch/cronjobs/*
Microsoft.ContainerService/fleets/batch/jobs/*
Microsoft.ContainerService/fleets/configmaps/*
Microsoft.ContainerService/fleets/endpoints/*
Microsoft.ContainerService/fleets/events.k8s.io/events/read イベントを読み取ります
Microsoft.ContainerService/fleets/events/read イベントを読み取ります
Microsoft.ContainerService/fleets/extensions/daemonsets/*
Microsoft.ContainerService/fleets/extensions/deployments/*
Microsoft.ContainerService/fleets/extensions/ingresses/*
Microsoft.ContainerService/fleets/extensions/networkpolicies/*
Microsoft.ContainerService/fleets/limitranges/read limitranges を読み取ります
Microsoft.ContainerService/fleets/namespaces/read 名前空間を読み取ります
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*
Microsoft.ContainerService/fleets/persistentvolumeclaims/*
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/resourcequotas/read resourcequotas を読み取ります
Microsoft.ContainerService/fleets/secrets/*
Microsoft.ContainerService/fleets/serviceaccounts/*
Microsoft.ContainerService/fleets/services/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
  "name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/*",
        "Microsoft.ContainerService/fleets/apps/deployments/*",
        "Microsoft.ContainerService/fleets/apps/statefulsets/*",
        "Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.ContainerService/fleets/batch/cronjobs/*",
        "Microsoft.ContainerService/fleets/batch/jobs/*",
        "Microsoft.ContainerService/fleets/configmaps/*",
        "Microsoft.ContainerService/fleets/endpoints/*",
        "Microsoft.ContainerService/fleets/events.k8s.io/events/read",
        "Microsoft.ContainerService/fleets/events/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/*",
        "Microsoft.ContainerService/fleets/extensions/deployments/*",
        "Microsoft.ContainerService/fleets/extensions/ingresses/*",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
        "Microsoft.ContainerService/fleets/limitranges/read",
        "Microsoft.ContainerService/fleets/namespaces/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
        "Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
        "Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/resourcequotas/read",
        "Microsoft.ContainerService/fleets/secrets/*",
        "Microsoft.ContainerService/fleets/serviceaccounts/*",
        "Microsoft.ContainerService/fleets/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Fleet Manager RBAC クラスター管理者

フリートマネージド ハブ クラスター内のすべての Kubernetes リソースへの読み取り/書き込みアクセスを許可します。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.ContainerService/fleets/read フリートを取得する
Microsoft.ContainerService/fleets/listCredentials/action フリート資格情報を一覧表示する
NotActions
なし
DataActions
Microsoft.ContainerService/fleets/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
  "name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Fleet Manager RBAC リーダー

フリートマネージド ハブ クラスター内の名前空間内のほとんどの Kubernetes リソースへの読み取り専用アクセスを許可します。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.ContainerService/fleets/read フリートを取得する
Microsoft.ContainerService/fleets/listCredentials/action フリート資格情報を一覧表示する
NotActions
なし
DataActions
Microsoft.ContainerService/fleets/apps/controllerrevisions/read controllerrevisions を読み取ります
Microsoft.ContainerService/fleets/apps/daemonsets/read デーモンセットを読み取ります
Microsoft.ContainerService/fleets/apps/deployments/read デプロイを読み取ります
Microsoft.ContainerService/fleets/apps/statefulsets/read ステートフルセットを読み取ります
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read horizontalpodautoscalers を読み取ります
Microsoft.ContainerService/fleets/batch/cronjobs/read cronjobs を読み取ります
Microsoft.ContainerService/fleets/batch/jobs/read ジョブを読み取ります
Microsoft.ContainerService/fleets/configmaps/read configmaps を読み取ります
Microsoft.ContainerService/fleets/endpoints/read エンドポイントを読み取ります
Microsoft.ContainerService/fleets/events.k8s.io/events/read イベントを読み取ります
Microsoft.ContainerService/fleets/events/read イベントを読み取ります
Microsoft.ContainerService/fleets/extensions/daemonsets/read デーモンセットを読み取ります
Microsoft.ContainerService/fleets/extensions/deployments/read デプロイを読み取ります
Microsoft.ContainerService/fleets/extensions/ingresses/read イングレスを読み取ります
Microsoft.ContainerService/fleets/extensions/networkpolicies/read networkpolicies を読み取ります
Microsoft.ContainerService/fleets/limitranges/read limitranges を読み取ります
Microsoft.ContainerService/fleets/namespaces/read 名前空間を読み取ります
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read イングレスを読み取ります
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read networkpolicies を読み取ります
Microsoft.ContainerService/fleets/persistentvolumeclaims/read persistentvolumeclaims を読み取ります
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read poddisruptionbudgets を読み取ります
Microsoft.ContainerService/fleets/replicationcontrollers/read replicationcontrollers を読み取ります
Microsoft.ContainerService/fleets/replicationcontrollers/read replicationcontrollers を読み取ります
Microsoft.ContainerService/fleets/resourcequotas/read resourcequotas を読み取ります
Microsoft.ContainerService/fleets/serviceaccounts/read serviceaccounts を読み取ります
Microsoft.ContainerService/fleets/services/read サービスを読み取ります
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation).  Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
  "name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/read",
        "Microsoft.ContainerService/fleets/apps/deployments/read",
        "Microsoft.ContainerService/fleets/apps/statefulsets/read",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.ContainerService/fleets/batch/cronjobs/read",
        "Microsoft.ContainerService/fleets/batch/jobs/read",
        "Microsoft.ContainerService/fleets/configmaps/read",
        "Microsoft.ContainerService/fleets/endpoints/read",
        "Microsoft.ContainerService/fleets/events.k8s.io/events/read",
        "Microsoft.ContainerService/fleets/events/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/read",
        "Microsoft.ContainerService/fleets/extensions/deployments/read",
        "Microsoft.ContainerService/fleets/extensions/ingresses/read",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
        "Microsoft.ContainerService/fleets/limitranges/read",
        "Microsoft.ContainerService/fleets/namespaces/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
        "Microsoft.ContainerService/fleets/replicationcontrollers/read",
        "Microsoft.ContainerService/fleets/replicationcontrollers/read",
        "Microsoft.ContainerService/fleets/resourcequotas/read",
        "Microsoft.ContainerService/fleets/serviceaccounts/read",
        "Microsoft.ContainerService/fleets/services/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Fleet Manager RBAC ライター

フリートマネージド ハブ クラスター内の名前空間内のほとんどの Kubernetes リソースへの読み取り/書き込みアクセスを許可します。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount として Secrets にアクセスできるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。  クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.ContainerService/fleets/read フリートを取得する
Microsoft.ContainerService/fleets/listCredentials/action フリート資格情報を一覧表示する
NotActions
なし
DataActions
Microsoft.ContainerService/fleets/apps/controllerrevisions/read controllerrevisions を読み取ります
Microsoft.ContainerService/fleets/apps/daemonsets/*
Microsoft.ContainerService/fleets/apps/deployments/*
Microsoft.ContainerService/fleets/apps/statefulsets/*
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*
Microsoft.ContainerService/fleets/batch/cronjobs/*
Microsoft.ContainerService/fleets/batch/jobs/*
Microsoft.ContainerService/fleets/configmaps/*
Microsoft.ContainerService/fleets/endpoints/*
Microsoft.ContainerService/fleets/events.k8s.io/events/read イベントを読み取ります
Microsoft.ContainerService/fleets/events/read イベントを読み取ります
Microsoft.ContainerService/fleets/extensions/daemonsets/*
Microsoft.ContainerService/fleets/extensions/deployments/*
Microsoft.ContainerService/fleets/extensions/ingresses/*
Microsoft.ContainerService/fleets/extensions/networkpolicies/*
Microsoft.ContainerService/fleets/limitranges/read limitranges を読み取ります
Microsoft.ContainerService/fleets/namespaces/read 名前空間を読み取ります
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*
Microsoft.ContainerService/fleets/persistentvolumeclaims/*
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/resourcequotas/read resourcequotas を読み取ります
Microsoft.ContainerService/fleets/secrets/*
Microsoft.ContainerService/fleets/serviceaccounts/*
Microsoft.ContainerService/fleets/services/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace.  Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
  "name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/*",
        "Microsoft.ContainerService/fleets/apps/deployments/*",
        "Microsoft.ContainerService/fleets/apps/statefulsets/*",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.ContainerService/fleets/batch/cronjobs/*",
        "Microsoft.ContainerService/fleets/batch/jobs/*",
        "Microsoft.ContainerService/fleets/configmaps/*",
        "Microsoft.ContainerService/fleets/endpoints/*",
        "Microsoft.ContainerService/fleets/events.k8s.io/events/read",
        "Microsoft.ContainerService/fleets/events/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/*",
        "Microsoft.ContainerService/fleets/extensions/deployments/*",
        "Microsoft.ContainerService/fleets/extensions/ingresses/*",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
        "Microsoft.ContainerService/fleets/limitranges/read",
        "Microsoft.ContainerService/fleets/namespaces/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/resourcequotas/read",
        "Microsoft.ContainerService/fleets/secrets/*",
        "Microsoft.ContainerService/fleets/serviceaccounts/*",
        "Microsoft.ContainerService/fleets/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service Arc クラスター管理者ロール

クラスター管理者の資格情報アクションを一覧表示します。

詳細情報

アクション 説明
Microsoft.HybridContainerService/provisionedClusterInstances/read 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します。
Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action ダイレクト モードでのみ使用されるプロビジョニング済みクラスター インスタンスの管理者資格情報を一覧表示します。
Microsoft.Kubernetes/connectedClusters/Read connectedClusters を読み取ります
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster admin credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
  "name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
  "permissions": [
    {
      "actions": [
        "Microsoft.HybridContainerService/provisionedClusterInstances/read",
        "Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
        "Microsoft.Kubernetes/connectedClusters/Read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service Arc クラスターのユーザー ロール

クラスター ユーザーの資格情報アクションを一覧表示します。

詳細情報

アクション 説明
Microsoft.HybridContainerService/provisionedClusterInstances/read 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します。
Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action 直接モードでのみ使用されるプロビジョニング済みクラスター インスタンスの AAD ユーザー資格情報を一覧表示します。
Microsoft.Kubernetes/connectedClusters/Read connectedClusters を読み取ります
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
  "name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
  "permissions": [
    {
      "actions": [
        "Microsoft.HybridContainerService/provisionedClusterInstances/read",
        "Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
        "Microsoft.Kubernetes/connectedClusters/Read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Arc Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service Arc 共同作成者ロール

Azure Kubernetes Services ハイブリッド クラスターの読み取りと書き込みのアクセスを許可します

詳細情報

アクション 説明
Microsoft.HybridContainerService/Locations/operationStatuses/read OperationStatuses を読み取ります
Microsoft.HybridContainerService/Operations/read 操作の読み取り
Microsoft.HybridContainerService/kubernetesVersions/read 基になるカスタムの場所からサポートされている kubernetes バージョンを一覧表示します
Microsoft.HybridContainerService/kubernetesVersions/write kubernetes バージョンのリソースの種類を設定します
Microsoft.HybridContainerService/kubernetesVersions/delete kubernetes バージョンのリソースの種類を削除する
Microsoft.HybridContainerService/provisionedClusterInstances/read 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します。
Microsoft.HybridContainerService/provisionedClusterInstances/write ハイブリッド AKS プロビジョニング済みクラスター インスタンスを作成します
Microsoft.HybridContainerService/provisionedClusterInstances/delete Hybrid AKS によってプロビジョニングされたクラスター インスタンスを削除します。
Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read Hybrid AKS プロビジョニング済みクラスター インスタンス内のエージェント プールを取得します。
Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write Hybrid AKS プロビジョニング済みクラスター インスタンスのエージェント プールを更新します
Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete Hybrid AKS によってプロビジョニングされたクラスター インスタンス内のエージェント プールを削除します。
Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read upgradeProfiles の読み取り
Microsoft.HybridContainerService/skus/read 基になるカスタムの場所からサポートされている VM SKU を一覧表示します
Microsoft.HybridContainerService/skus/write VM SKU リソースの種類を設定します
Microsoft.HybridContainerService/skus/delete Vm SKU リソースの種類を削除します
Microsoft.HybridContainerService/virtualNetworks/read サブスクリプション別のハイブリッド AKS 仮想ネットワークを一覧表示します
Microsoft.HybridContainerService/virtualNetworks/write ハイブリッド AKS 仮想ネットワークにパッチを適用する
Microsoft.HybridContainerService/virtualNetworks/delete ハイブリッド AKS 仮想ネットワークを削除します。
Microsoft.ExtendedLocation/customLocations/deploy/action カスタムの場所リソースへのアクセス許可をデプロイします
Microsoft.ExtendedLocation/customLocations/read カスタムの場所リソースを取得します。
Microsoft.Kubernetes/connectedClusters/Read connectedClusters を読み取ります
Microsoft.Kubernetes/connectedClusters/Write connectedClusters を書き込みます
Microsoft.Kubernetes/connectedClusters/Delete connectedClusters を削除します
Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action clusterUser 資格情報を一覧表示します
Microsoft.AzureStackHCI/clusters/read クラスターを取得します
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
  "name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
  "permissions": [
    {
      "actions": [
        "Microsoft.HybridContainerService/Locations/operationStatuses/read",
        "Microsoft.HybridContainerService/Operations/read",
        "Microsoft.HybridContainerService/kubernetesVersions/read",
        "Microsoft.HybridContainerService/kubernetesVersions/write",
        "Microsoft.HybridContainerService/kubernetesVersions/delete",
        "Microsoft.HybridContainerService/provisionedClusterInstances/read",
        "Microsoft.HybridContainerService/provisionedClusterInstances/write",
        "Microsoft.HybridContainerService/provisionedClusterInstances/delete",
        "Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
        "Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
        "Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
        "Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
        "Microsoft.HybridContainerService/skus/read",
        "Microsoft.HybridContainerService/skus/write",
        "Microsoft.HybridContainerService/skus/delete",
        "Microsoft.HybridContainerService/virtualNetworks/read",
        "Microsoft.HybridContainerService/virtualNetworks/write",
        "Microsoft.HybridContainerService/virtualNetworks/delete",
        "Microsoft.ExtendedLocation/customLocations/deploy/action",
        "Microsoft.ExtendedLocation/customLocations/read",
        "Microsoft.Kubernetes/connectedClusters/Read",
        "Microsoft.Kubernetes/connectedClusters/Write",
        "Microsoft.Kubernetes/connectedClusters/Delete",
        "Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
        "Microsoft.AzureStackHCI/clusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Arc Contributor Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service クラスター管理者ロール

クラスター管理者の資格情報アクションを一覧表示します。

詳細情報

アクション 説明
Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action 管理対象クラスターの clusterAdmin 資格情報を一覧表示します。
Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action 資格情報の一覧の取得を使用し、ロール名を指定してマネージド クラスターのアクセス プロファイルを取得します。
Microsoft.ContainerService/managedClusters/read マネージド クラスターを取得します。
Microsoft.ContainerService/managedClusters/runcommand/action マネージド Kubernetes サーバーに対してユーザーが発行したコマンドを実行します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster admin credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
  "name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
        "Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
        "Microsoft.ContainerService/managedClusters/read",
        "Microsoft.ContainerService/managedClusters/runcommand/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster Admin Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service クラスターの監視ユーザー

クラスター 監視ユーザーの資格情報アクションを一覧表示します。

アクション 説明
Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action 管理対象クラスターの clusterMonitoringUser 資格情報を一覧表示します。
Microsoft.ContainerService/managedClusters/read マネージド クラスターを取得します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster monitoring user credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
  "name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
        "Microsoft.ContainerService/managedClusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster Monitoring User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service クラスター ユーザー ロール

クラスター ユーザーの資格情報アクションを一覧表示します。

詳細情報

アクション 説明
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action 管理対象クラスターの clusterUser 資格情報を一覧表示します。
Microsoft.ContainerService/managedClusters/read マネージド クラスターを取得します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
  "name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
        "Microsoft.ContainerService/managedClusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service 共同作成者ロール

Azure Kubernetes Service クラスターへの読み取りおよび書き込みアクセスを許可します。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.ContainerService/locations/* ContainerService リソースで使用可能な場所の読み取り
Microsoft.ContainerService/managedClusters/* マネージド クラスターの作成と管理
Microsoft.ContainerService/managedclustersnapshots/* マネージド クラスター スナップショットの作成と管理
Microsoft.ContainerService/snapshots/* スナップショットの作成と管理
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants access to read and write Azure Kubernetes Service clusters",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
  "name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.ContainerService/locations/*",
        "Microsoft.ContainerService/managedClusters/*",
        "Microsoft.ContainerService/managedclustersnapshots/*",
        "Microsoft.ContainerService/snapshots/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Contributor Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service RBAC 管理者

リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action 管理対象クラスターの clusterUser 資格情報を一覧表示します。
NotActions
なし
DataActions
Microsoft.ContainerService/managedClusters/*
NotDataActions
Microsoft.ContainerService/managedClusters/resourcequotas/write resourcequotas を書き込みます
Microsoft.ContainerService/managedClusters/resourcequotas/delete resourcequotas を削除します
Microsoft.ContainerService/managedClusters/namespaces/write namespaces を書き込みます
Microsoft.ContainerService/managedClusters/namespaces/delete 名前空間を削除します
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
  "name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/*"
      ],
      "notDataActions": [
        "Microsoft.ContainerService/managedClusters/resourcequotas/write",
        "Microsoft.ContainerService/managedClusters/resourcequotas/delete",
        "Microsoft.ContainerService/managedClusters/namespaces/write",
        "Microsoft.ContainerService/managedClusters/namespaces/delete"
      ]
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service RBAC クラスター管理者

クラスター内のすべてのリソースを管理できます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action 管理対象クラスターの clusterUser 資格情報を一覧表示します。
NotActions
なし
DataActions
Microsoft.ContainerService/managedClusters/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources in the cluster.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
  "name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service RBAC 閲覧者

名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
NotActions
なし
DataActions
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read controllerrevisions を読み取ります
Microsoft.ContainerService/managedClusters/apps/daemonsets/read デーモンセットを読み取ります
Microsoft.ContainerService/managedClusters/apps/deployments/read デプロイを読み取ります
Microsoft.ContainerService/managedClusters/apps/replicasets/read レプリカセットを読み取ります
Microsoft.ContainerService/managedClusters/apps/statefulsets/read ステートフルセットを読み取ります
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read horizontalpodautoscalers を読み取ります
Microsoft.ContainerService/managedClusters/batch/cronjobs/read cronjobs を読み取ります
Microsoft.ContainerService/managedClusters/batch/jobs/read ジョブを読み取ります
Microsoft.ContainerService/managedClusters/configmaps/read configmaps を読み取ります
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read endpointslices を読み取ります
Microsoft.ContainerService/managedClusters/endpoints/read エンドポイントを読み取ります
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read イベントを読み取ります
Microsoft.ContainerService/managedClusters/events/read イベントを読み取ります
Microsoft.ContainerService/managedClusters/extensions/daemonsets/read デーモンセットを読み取ります
Microsoft.ContainerService/managedClusters/extensions/deployments/read デプロイを読み取ります
Microsoft.ContainerService/managedClusters/extensions/ingresses/read イングレスを読み取ります
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read networkpolicies を読み取ります
Microsoft.ContainerService/managedClusters/extensions/replicasets/read レプリカセットを読み取ります
Microsoft.ContainerService/managedClusters/limitranges/read limitranges を読み取ります
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read ポッドを読み取ります
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read ノードを読み取ります
Microsoft.ContainerService/managedClusters/namespaces/read 名前空間を読み取ります
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read イングレスを読み取ります
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read networkpolicies を読み取ります
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read persistentvolumeclaims を読み取ります
Microsoft.ContainerService/managedClusters/pods/read ポッドを読み取ります
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read poddisruptionbudgets を読み取ります
Microsoft.ContainerService/managedClusters/replicationcontrollers/read replicationcontrollers を読み取ります
Microsoft.ContainerService/managedClusters/resourcequotas/read resourcequotas を読み取ります
Microsoft.ContainerService/managedClusters/serviceaccounts/read serviceaccounts を読み取ります
Microsoft.ContainerService/managedClusters/services/read サービスを読み取ります
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
  "name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
        "Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
        "Microsoft.ContainerService/managedClusters/apps/deployments/read",
        "Microsoft.ContainerService/managedClusters/apps/replicasets/read",
        "Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
        "Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
        "Microsoft.ContainerService/managedClusters/batch/jobs/read",
        "Microsoft.ContainerService/managedClusters/configmaps/read",
        "Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
        "Microsoft.ContainerService/managedClusters/endpoints/read",
        "Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
        "Microsoft.ContainerService/managedClusters/events/read",
        "Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
        "Microsoft.ContainerService/managedClusters/extensions/deployments/read",
        "Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
        "Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
        "Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
        "Microsoft.ContainerService/managedClusters/limitranges/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
        "Microsoft.ContainerService/managedClusters/namespaces/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
        "Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
        "Microsoft.ContainerService/managedClusters/pods/read",
        "Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
        "Microsoft.ContainerService/managedClusters/resourcequotas/read",
        "Microsoft.ContainerService/managedClusters/serviceaccounts/read",
        "Microsoft.ContainerService/managedClusters/services/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Azure Kubernetes Service RBAC ライター

名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
NotActions
なし
DataActions
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read controllerrevisions を読み取ります
Microsoft.ContainerService/managedClusters/apps/daemonsets/*
Microsoft.ContainerService/managedClusters/apps/deployments/*
Microsoft.ContainerService/managedClusters/apps/replicasets/*
Microsoft.ContainerService/managedClusters/apps/statefulsets/*
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*
Microsoft.ContainerService/managedClusters/batch/cronjobs/*
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read リースを読み取ります
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write リースを書き込みます
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete リースを削除します
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read endpointslices を読み取ります
Microsoft.ContainerService/managedClusters/batch/jobs/*
Microsoft.ContainerService/managedClusters/configmaps/*
Microsoft.ContainerService/managedClusters/endpoints/*
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read イベントを読み取ります
Microsoft.ContainerService/managedClusters/events/*
Microsoft.ContainerService/managedClusters/extensions/daemonsets/*
Microsoft.ContainerService/managedClusters/extensions/deployments/*
Microsoft.ContainerService/managedClusters/extensions/ingresses/*
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*
Microsoft.ContainerService/managedClusters/extensions/replicasets/*
Microsoft.ContainerService/managedClusters/limitranges/read limitranges を読み取ります
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read ポッドを読み取ります
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read ノードを読み取ります
Microsoft.ContainerService/managedClusters/namespaces/read 名前空間を読み取ります
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*
Microsoft.ContainerService/managedClusters/pods/*
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*
Microsoft.ContainerService/managedClusters/replicationcontrollers/*
Microsoft.ContainerService/managedClusters/resourcequotas/read resourcequotas を読み取ります
Microsoft.ContainerService/managedClusters/secrets/*
Microsoft.ContainerService/managedClusters/serviceaccounts/*
Microsoft.ContainerService/managedClusters/services/*
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
  "name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
        "Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
        "Microsoft.ContainerService/managedClusters/apps/deployments/*",
        "Microsoft.ContainerService/managedClusters/apps/replicasets/*",
        "Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
        "Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
        "Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
        "Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
        "Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
        "Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
        "Microsoft.ContainerService/managedClusters/batch/jobs/*",
        "Microsoft.ContainerService/managedClusters/configmaps/*",
        "Microsoft.ContainerService/managedClusters/endpoints/*",
        "Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
        "Microsoft.ContainerService/managedClusters/events/*",
        "Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
        "Microsoft.ContainerService/managedClusters/extensions/deployments/*",
        "Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
        "Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
        "Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
        "Microsoft.ContainerService/managedClusters/limitranges/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
        "Microsoft.ContainerService/managedClusters/namespaces/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
        "Microsoft.ContainerService/managedClusters/pods/*",
        "Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
        "Microsoft.ContainerService/managedClusters/resourcequotas/read",
        "Microsoft.ContainerService/managedClusters/secrets/*",
        "Microsoft.ContainerService/managedClusters/serviceaccounts/*",
        "Microsoft.ContainerService/managedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

接続されたクラスターマネージド ID の CheckAccess 閲覧者

接続済みクラスターのマネージド ID が checkAccess API を呼び出す機能を許可する組み込みロール

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
  "name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Connected Cluster Managed Identity CheckAccess Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Kubernetes エージェントレス オペレーター

Microsoft Defender for Cloud に Azure Kubernetes Services へのアクセスを許可します

詳細情報

アクション 説明
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write マネージド クラスターの信頼されたアクセス ロール バインドを作成または更新します
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read マネージド クラスターの信頼されたアクセス ロール バインドを取得します
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete マネージド クラスターの信頼されたアクセス ロール バインドを削除します
Microsoft.ContainerService/managedClusters/read マネージド クラスターを取得します。
Microsoft.Features/features/read サブスクリプションの機能を取得します。
Microsoft.Features/providers/features/read 指定されたリソース プロバイダーのサブスクリプションの機能を取得します。
Microsoft.Features/providers/features/register/action 指定されたリソース プロバイダーのサブスクリプションの機能を登録します。
Microsoft.Security/pricings/securityoperators/read スコープのセキュリティ演算子を取得します
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
  "name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
        "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
        "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
        "Microsoft.ContainerService/managedClusters/read",
        "Microsoft.Features/features/read",
        "Microsoft.Features/providers/features/read",
        "Microsoft.Features/providers/features/register/action",
        "Microsoft.Security/pricings/securityoperators/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Kubernetes Agentless Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Kubernetes クラスター - Azure Arc のオンボード

connectedClusters リソースを作成するため、あらゆるユーザーまたはサービスを承認するロール定義

詳細情報

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/write デプロイを作成または更新します。
Microsoft.Resources/subscriptions/operationresults/read サブスクリプション操作の結果を取得します。
Microsoft.Resources/subscriptions/read サブスクリプションの一覧を取得します。
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.Kubernetes/connectedClusters/Write connectedClusters を書き込みます
Microsoft.Kubernetes/connectedClusters/read connectedClusters を読み取ります
Microsoft.Support/* サポート チケットの作成と更新
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role definition to authorize any user/service to create connectedClusters resource",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
  "name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Kubernetes/connectedClusters/Write",
        "Microsoft.Kubernetes/connectedClusters/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Kubernetes Cluster - Azure Arc Onboarding",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Kubernetes 拡張機能共同作成者

Kubernetes 拡張機能の作成、更新、取得、一覧表示、削除を行い、拡張機能の非同期操作を取得することができます

アクション 説明
Microsoft.Authorization/*/read ロールとロール割り当ての読み取り
Microsoft.Insights/alertRules/* クラシック メトリック アラートの作成と管理
Microsoft.Resources/deployments/* デプロイの作成と管理
Microsoft.Resources/subscriptions/resourceGroups/read リソース グループを取得または一覧表示します。
Microsoft.KubernetesConfiguration/extensions/write 拡張機能リソースを作成または更新します。
Microsoft.KubernetesConfiguration/extensions/read 拡張機能インスタンス リソースを取得します。
Microsoft.KubernetesConfiguration/extensions/delete 拡張機能インスタンス リソースを削除します。
Microsoft.KubernetesConfiguration/extensions/operations/read 非同期操作の状態を取得します。
NotActions
なし
DataActions
なし
NotDataActions
なし
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
  "name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Kubernetes Extension Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

次のステップ