コンテナー用の Azure 組み込みロール
この記事では、コンテナー カテゴリの Azure 組み込みロールの一覧を示します。
AcrDelete
コンテナー レジストリからリポジトリ、タグ、またはマニフェストを削除します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | コンテナー レジストリの成果物を削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
コンテンツの信頼が有効になっているコンテナー レジストリに信頼済みのイメージをプッシュしたり、信頼済みのイメージをプルしたりします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | コンテナー レジストリのコンテンツの信頼メタデータをプッシュ/プルします。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | コンテナー レジストリ コンテンツの信頼されたコレクションのプッシュまたは公開を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/sign/write アクションに似ています。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
コンテナー レジストリから成果物をプルします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
コンテナー レジストリに成果物をプッシュしたり、成果物をプルしたりします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/push/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
コンテナー レジストリから検疫済みのイメージをプルします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | コンテナー レジストリから検疫済みのイメージをプルまたは取得します |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
検疫済みのイメージをコンテナー レジストリにプッシュしたり、検疫済みイメージをプルしたりします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | コンテナー レジストリから検疫済みのイメージをプルまたは取得します |
| Microsoft.ContainerRegistry/registries/quarantine/write | 検疫済みイメージの検疫状態を書き込むか変更します |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています。 |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | 検疫済み成果物の検疫状態の書き込みまたは更新を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/write アクションに似ています。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc 対応 Kubernetes クラスター ユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | clusterUser 資格情報を一覧表示します (プレビュー)。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | clusterUser 資格情報を一覧表示します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes 管理者
リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | localsubjectaccessreviews を書き込みます |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes クラスター管理者
クラスター内のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes ビューアー
クラスターおよび名前空間内のすべてのリソース (シークレットを除く) を表示できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | デプロイを読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | レプリカセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | ジョブを読み取ります |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | configmaps を読み取ります |
| Microsoft.Kubernetes/connectedClusters/endpoints/read | エンドポイントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | レプリカセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.Kubernetes/connectedClusters/pods/read | ポッドを読み取ります |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.Kubernetes/connectedClusters/services/read | サービスを読み取ります |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes ライター
(クラスター) ロール、(クラスター) ロール バインドを除く、クラスターおよび名前空間内のすべてを更新できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Container Storage 共同作成者
Azure Container Storage をインストールし、そのストレージ リソースを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | 説明 |
|---|---|
| Microsoft.KubernetesConfiguration/extensions/write | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/delete | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Management/managementGroups/read | 認証済みユーザーの管理グループを一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| アクション | |
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| Condition | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}))OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})AND (!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | 以下のロールでロールの割り当てを追加または削除します: Azure Container Storage オペレーター |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Container Storage オペレーター
マネージド ID で、仮想マシンの管理や仮想ネットワークの管理などの Azure Container Storage 操作を実行できるようにします。
| アクション | 説明 |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | 非同期操作の状態をポーリングします。 |
| Microsoft.Network/routeTables/join/action | ルート テーブルを結合します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/write | 仮想ネットワークを作成するか、既存の仮想ネットワークを更新します。 |
| Microsoft.Network/virtualNetworks/delete | 仮想ネットワークを削除します。 |
| Microsoft.Network/virtualNetworks/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/write | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します。 |
| Microsoft.Compute/virtualMachines/read | 仮想マシンのプロパティを取得する |
| Microsoft.Compute/virtualMachines/write | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します。 |
| Microsoft.Compute/virtualMachineScaleSets/read | 仮想マシン スケール セットのプロパティを取得します。 |
| Microsoft.Compute/virtualMachineScaleSets/write | 新しい仮想マシン スケール セットを作成するか、既存のものを更新します。 |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | VM スケール セット内の仮想マシンのプロパティを更新します。 |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | VM スケール セット内の仮想マシンのプロパティを取得します。 |
| Microsoft.Resources/subscriptions/providers/read | リソース プロバイダーを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Container Storage 所有者
Azure Container Storage をインストールし、そのストレージ リソースへのアクセスを許可し、Azure Elastic Storage Area Network (SAN) を構成します。 ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | 説明 |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | 非同期操作の状態をポーリングします。 |
| Microsoft.KubernetesConfiguration/extensions/write | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/delete | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Management/managementGroups/read | 認証済みユーザーの管理グループを一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| アクション | |
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし | |
| Condition | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}))OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})AND (!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | 以下のロールでロールの割り当てを追加または削除します: Azure Container Storage オペレーター |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager 共同作成者ロール
フリート、フリート メンバー、フリート更新戦略、フリート更新実行など、Azure Kubernetes Fleet Manager によって提供される Azure リソースへの読み取り/書き込みアクセスを許可します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC 管理者
フリート マネージド ハブ クラスター内の名前空間内の Kubernetes リソースへの読み取り/書き込みアクセスを許可します。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対する書き込みアクセス許可を提供します。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | localsubjectaccessreviews を書き込みます |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | fleet internalmembercluster リソースの読み取り |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | フリート resourceoverridesnapshot リソースの読み取り |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | フリート作業リソースの読み取り |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC クラスター管理者
フリートマネージド ハブ クラスター内のすべての Kubernetes リソースへの読み取り/書き込みアクセスを許可します。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC リーダー
フリートマネージド ハブ クラスター内の名前空間内のほとんどの Kubernetes リソースへの読み取り専用アクセスを許可します。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/fleets/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/fleets/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/fleets/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/fleets/services/read | サービスを読み取ります |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | fleet internalmembercluster リソースの読み取り |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | フリート resourceoverride リソースの読み取り |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | フリート resourceoverridesnapshot リソースの読み取り |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | フリート作業リソースの読み取り |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC ライター
フリートマネージド ハブ クラスター内の名前空間内のほとんどの Kubernetes リソースへの読み取り/書き込みアクセスを許可します。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount として Secrets にアクセスできるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/write | デーモンセットを書き込みます |
| Microsoft.ContainerService/fleets/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/apps/deployments/write | デプロイを書き込みます |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/statefulsets/write | ステートフルセットを書き込みます |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write | horizontalpodautoscalers を書き込みます |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/fleets/batch/cronjobs/write | cronjobs を書き込みます |
| Microsoft.ContainerService/fleets/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/fleets/batch/jobs/write | ジョブを書き込みます |
| Microsoft.ContainerService/fleets/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/fleets/configmaps/write | configmaps を書き込みます |
| Microsoft.ContainerService/fleets/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/fleets/endpoints/write | エンドポイントを書き込みます |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/write | デーモンセットを書き込みます |
| Microsoft.ContainerService/fleets/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/extensions/deployments/write | デプロイを書き込みます |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/extensions/ingresses/write | イングレスを書き込みます |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/write | networkpolicies を書き込みます |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write | イングレスを書き込みます |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write | networkpolicies を書き込みます |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/write | persistentvolumeclaims を書き込みます |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write | poddisruptionbudgets を書き込みます |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/write | replicationcontrollers を書き込みます |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/secrets/read | シークレットを読み取ります |
| Microsoft.ContainerService/fleets/secrets/write | シークレットを書き込みます |
| Microsoft.ContainerService/fleets/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/fleets/serviceaccounts/write | serviceaccounts を書き込みます |
| Microsoft.ContainerService/fleets/services/read | サービスを読み取ります |
| Microsoft.ContainerService/fleets/services/write | サービスを書き込みます |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | fleet internalmembercluster リソースの読み取り |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | フリート resourceoverride リソースの読み取り |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | フリート resourceoverride リソースを書き込む |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | フリート resourceoverridesnapshot リソースの読み取り |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | フリート作業リソースの読み取り |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc クラスター管理者ロール
クラスター管理者の資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します。 |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | ダイレクト モードでのみ使用されるプロビジョニング済みクラスター インスタンスの管理者資格情報を一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters を読み取ります |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc クラスターのユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します。 |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | 直接モードでのみ使用されるプロビジョニング済みクラスター インスタンスの AAD ユーザー資格情報を一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters を読み取ります |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc 共同作成者ロール
Azure Kubernetes Services ハイブリッド クラスターの読み取りと書き込みのアクセスを許可します
| アクション | 説明 |
|---|---|
| Microsoft.HybridContainerService/Locations/operationStatuses/read | OperationStatuses を読み取ります |
| Microsoft.HybridContainerService/Operations/read | 操作の読み取り |
| Microsoft.HybridContainerService/kubernetesVersions/read | 基になるカスタムの場所からサポートされている kubernetes バージョンを一覧表示します |
| Microsoft.HybridContainerService/kubernetesVersions/write | kubernetes バージョンのリソースの種類を設定します |
| Microsoft.HybridContainerService/kubernetesVersions/delete | kubernetes バージョンのリソースの種類を削除する |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します。 |
| Microsoft.HybridContainerService/provisionedClusterInstances/write | ハイブリッド AKS プロビジョニング済みクラスター インスタンスを作成します |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | Hybrid AKS によってプロビジョニングされたクラスター インスタンスを削除します。 |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | Hybrid AKS プロビジョニング済みクラスター インスタンス内のエージェント プールを取得します。 |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | Hybrid AKS プロビジョニング済みクラスター インスタンスのエージェント プールを更新します |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete | Hybrid AKS によってプロビジョニングされたクラスター インスタンス内のエージェント プールを削除します。 |
| Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | upgradeProfiles の読み取り |
| Microsoft.HybridContainerService/skus/read | 基になるカスタムの場所からサポートされている VM SKU を一覧表示します |
| Microsoft.HybridContainerService/skus/write | VM SKU リソースの種類を設定します |
| Microsoft.HybridContainerService/skus/delete | Vm SKU リソースの種類を削除します |
| Microsoft.HybridContainerService/virtualNetworks/read | サブスクリプション別のハイブリッド AKS 仮想ネットワークを一覧表示します |
| Microsoft.HybridContainerService/virtualNetworks/write | ハイブリッド AKS 仮想ネットワークにパッチを適用する |
| Microsoft.HybridContainerService/virtualNetworks/delete | ハイブリッド AKS 仮想ネットワークを削除します。 |
| Microsoft.ExtendedLocation/customLocations/deploy/action | カスタムの場所リソースへのアクセス許可をデプロイします |
| Microsoft.ExtendedLocation/customLocations/read | カスタムの場所リソースを取得します。 |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters を読み取ります |
| Microsoft.Kubernetes/connectedClusters/Write | connectedClusters を書き込みます |
| Microsoft.Kubernetes/connectedClusters/Delete | connectedClusters を削除します |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | clusterUser 資格情報を一覧表示します |
| Microsoft.AzureStackHCI/clusters/read | クラスターを取得します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスター管理者ロール
クラスター管理者の資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | 管理対象クラスターの clusterAdmin 資格情報を一覧表示します。 |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | 資格情報の一覧の取得を使用し、ロール名を指定してマネージド クラスターのアクセス プロファイルを取得します。 |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します。 |
| Microsoft.ContainerService/managedClusters/runcommand/action | マネージド Kubernetes サーバーに対してユーザーが発行したコマンドを実行します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスターの監視ユーザー
クラスター 監視ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | 管理対象クラスターの clusterMonitoringUser 資格情報を一覧表示します。 |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスター ユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します。 |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 共同作成者ロール
Azure Kubernetes Service クラスターへの読み取りおよび書き込みアクセスを許可します。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ContainerService/locations/* | ContainerService リソースで使用可能な場所の読み取り |
| Microsoft.ContainerService/managedClusters/* | マネージド クラスターの作成と管理 |
| Microsoft.ContainerService/managedclustersnapshots/* | マネージド クラスター スナップショットの作成と管理 |
| Microsoft.ContainerService/snapshots/* | スナップショットの作成と管理 |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 管理者
リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | resourcequotas を書き込みます |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | resourcequotas を削除します |
| Microsoft.ContainerService/managedClusters/namespaces/write | namespaces を書き込みます |
| Microsoft.ContainerService/managedClusters/namespaces/delete | 名前空間を削除します |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC クラスター管理者
クラスター内のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 閲覧者
名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/managedClusters/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/managedClusters/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/managedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/managedClusters/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/managedClusters/services/read | サービスを読み取ります |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC ライター
名前空間内のほとんどのオブジェクトに対する読み取りと書き込みのアクセスが許可されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | リースを読み取ります |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | リースを書き込みます |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | リースを削除します |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/managedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
接続されたクラスターマネージド ID の CheckAccess 閲覧者
接続済みクラスターのマネージド ID が checkAccess API を呼び出す機能を許可する組み込みロール
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナー レジストリ構成閲覧者とデータ アクセス構成閲覧者
コンテナー レジストリとレジストリ構成プロパティを一覧表示するアクセス許可を提供します。 管理者ユーザーの資格情報、スコープ マップ、トークンなどのデータ アクセス構成を一覧表示するためのアクセス許可を提供します。これは、リポジトリとイメージの読み取り、書き込み、または削除に使用できます。 リポジトリやイメージを含むレジストリ コンテンツの読み取り、一覧表示、または書き込みを行う直接のアクセス許可を提供しません。 インポート、アーティファクト キャッシュまたは同期、転送パイプラインなどのデータ プレーン コンテンツを変更するためのアクセス許可は提供されません。 タスクを管理するためのアクセス許可は提供されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/operationStatuses/read | レジストリの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | プライベート エンドポイント接続のプロパティ、または指定されたコンテナー レジストリのすべてのプライベート エンドポイント接続の一覧を取得します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | プライベート エンドポイント接続の非同期操作状態を取得します |
| Microsoft.ContainerRegistry/registries/listCredentials/action | 指定されたコンテナー レジストリのログイン資格情報を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tokens/read | 指定したトークンのプロパティを取得するか、指定したコンテナー レジストリのすべてのトークンを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | トークンの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | 指定したスコープ マップのプロパティを取得するか、指定したコンテナー レジストリのすべてのスコープ マップを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | スコープ マップの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/webhooks/read | 指定された webhook のプロパティを取得するか、指定されたコンテナー レジストリのすべての webhook を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | webhook のサービス URI とカスタム ヘッダーの構成を取得します。 |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | 指定された webhook の最近のイベントを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | webhook の非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/replications/read | 指定されたレプリケーションのプロパティを取得するか、指定されたコンテナー レジストリのすべてのレプリケーションを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | レプリケーションの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | 指定された接続先レジストリのプロパティを取得するか、指定されたコンテナー レジストリのすべての接続先レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | リソースの診断設定を取得します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | リソースの診断設定を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Microsoft ContainerRegistry の利用可能なログを取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Microsoft ContainerRegistry の使用可能なメトリックを取得します。 |
| Microsoft.Insights/AlertRules/Write | クラシック メトリック アラートを作成または更新します |
| Microsoft.Insights/AlertRules/Delete | クラシック メトリック アラートを削除します |
| Microsoft.Insights/AlertRules/Read | クラシック メトリック アラートを読み取ります |
| Microsoft.Insights/AlertRules/Activated/Action | クラシック メトリック アラートがアクティブ化されました |
| Microsoft.Insights/AlertRules/Resolved/Action | クラシック メトリック アラートが解決されました |
| Microsoft.Insights/AlertRules/Throttled/Action | クラシック メトリック アラート ルールが調整されました |
| Microsoft.Insights/AlertRules/Incidents/Read | クラシック メトリック アラートのインシデントを読み取ります |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナー レジストリ共同作成者およびデータ アクセス構成管理者
コンテナー レジストリとレジストリ構成プロパティを作成、一覧表示、更新するためのアクセス許可を提供します。 管理者ユーザーの資格情報、スコープ マップ、トークンなどのデータ アクセスを構成するためのアクセス許可を提供します。これは、リポジトリとイメージの読み取り、書き込み、または削除に使用できます。 リポジトリやイメージを含むレジストリ コンテンツの読み取り、一覧表示、または書き込みを行う直接のアクセス許可を提供しません。 インポート、アーティファクト キャッシュまたは同期、転送パイプラインなどのデータ プレーン コンテンツを変更するためのアクセス許可は提供されません。 タスクを管理するためのアクセス許可は提供されません。
| アクション | 説明 |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerRegistry/registries/operationStatuses/read | レジストリの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/write | 指定されたパラメーターでコンテナー レジストリを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/delete | コンテナー レジストリを削除します。 |
| Microsoft.ContainerRegistry/registries/listCredentials/action | 指定されたコンテナー レジストリのログイン資格情報を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/regenerateCredential/action | 指定されたコンテナー レジストリのログイン資格情報の 1 つを再生成します。 |
| Microsoft.ContainerRegistry/registries/generateCredentials/action | 指定されたコンテナー レジストリのトークンのキーを生成します。 |
| Microsoft.ContainerRegistry/registries/replications/read | 指定されたレプリケーションのプロパティを取得するか、指定されたコンテナー レジストリのすべてのレプリケーションを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/replications/write | 指定されたパラメーターでコンテナー レジストリのレプリケーションを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/replications/delete | コンテナー レジストリからレプリケーションを削除します。 |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | レプリケーションの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action | プライベート エンドポイント接続を自動的に承認します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | プライベート エンドポイント接続のプロパティ、または指定されたコンテナー レジストリのすべてのプライベート エンドポイント接続の一覧を取得します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/write | プライベート エンドポイント接続を承認/拒否します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete | プライベート エンドポイント接続を削除します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | プライベート エンドポイント接続の非同期操作状態を取得します |
| Microsoft.ContainerRegistry/registries/tokens/read | 指定したトークンのプロパティを取得するか、指定したコンテナー レジストリのすべてのトークンを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tokens/write | 指定されたパラメーターでコンテナー レジストリのトークンを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/tokens/delete | コンテナー レジストリからトークンを削除します。 |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | トークンの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | 指定したスコープ マップのプロパティを取得するか、指定したコンテナー レジストリのすべてのスコープ マップを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/write | 指定されたパラメーターでコンテナー レジストリのスコープ マップを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/delete | コンテナー レジストリからスコープ マップを削除します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | スコープ マップの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | リソースの診断設定を取得します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | リソースの診断設定を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Microsoft ContainerRegistry の利用可能なログを取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Microsoft ContainerRegistry の使用可能なメトリックを取得します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | 指定された接続先レジストリのプロパティを取得するか、指定されたコンテナー レジストリのすべての接続先レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/write | 指定されたパラメーターでコンテナー レジストリの接続先レジストリを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/delete | コンテナー レジストリから接続先レジストリを削除します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action | コンテナー レジストリから接続されたレジストリを非アクティブ化します |
| Microsoft.ContainerRegistry/registries/webhooks/read | 指定された webhook のプロパティを取得するか、指定されたコンテナー レジストリのすべての webhook を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/webhooks/write | 指定されたパラメーターでコンテナー レジストリの webhook を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/webhooks/delete | コンテナー レジストリから webhook を削除します。 |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | webhook のサービス URI とカスタム ヘッダーの構成を取得します。 |
| Microsoft.ContainerRegistry/registries/webhooks/ping/action | webhook に送信される ping イベントをトリガーします。 |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | 指定された webhook の最近のイベントを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | webhook の非同期操作の状態を取得します。 |
| Microsoft.Insights/AlertRules/Write | クラシック メトリック アラートを作成または更新します |
| Microsoft.Insights/AlertRules/Delete | クラシック メトリック アラートを削除します |
| Microsoft.Insights/AlertRules/Read | クラシック メトリック アラートを読み取ります |
| Microsoft.Insights/AlertRules/Activated/Action | クラシック メトリック アラートがアクティブ化されました |
| Microsoft.Insights/AlertRules/Resolved/Action | クラシック メトリック アラートが解決されました |
| Microsoft.Insights/AlertRules/Throttled/Action | クラシック メトリック アラート ルールが調整されました |
| Microsoft.Insights/AlertRules/Incidents/Read | クラシック メトリック アラートのインシデントを読み取ります |
| Microsoft.ContainerRegistry/locations/operationResults/read | 非同期操作の結果を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/write | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します。 |
| Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write | 新しいプライベート リンク サービス プロキシを作成するか、または既存のプライベート リンク サービス プロキシを更新します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Data Importer と Data Reader
レジストリのインポート操作を通じてレジストリにイメージをインポートする機能を提供します。 リポジトリの一覧表示、イメージとタグの表示、マニフェストの取得、イメージのプルを行う機能を提供します。 インポート パイプラインやエクスポート パイプラインなどのレジストリ転送パイプラインを構成してイメージをインポートするためのアクセス許可を提供しません。 アーティファクト キャッシュまたは同期ルールを構成してインポートするためのアクセス許可を提供しません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/importImage/action | 指定されたパラメーターを使用して、コンテナー レジストリにイメージをインポートします。 |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Repository Catalog Lister
Azure Container Registry 内のすべてのリポジトリを一覧表示できます。 このロールはプレビュー段階にあり、変更される可能性があります。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/catalog/read | コンテナー レジストリ内のリポジトリを一覧表示します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Repository Contributor
Azure Container Registry リポジトリへの読み取り、書き込み、および削除アクセスを許可しますが、カタログ一覧は除きます。 このロールはプレビュー段階にあり、変更される可能性があります。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | コンテナー レジストリのリポジトリのメタデータを更新します |
| Microsoft.ContainerRegistry/registries/repositories/content/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/delete | コンテナー レジストリのリポジトリのメタデータを削除する |
| Microsoft.ContainerRegistry/registries/repositories/content/delete | コンテナー レジストリの成果物を削除します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Repository Reader
Azure Container Registry リポジトリへの読み取りアクセスを許可しますが、カタログ一覧は除きます。 このロールはプレビュー段階にあり、変更される可能性があります。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナー レジストリ リポジトリ ライター
Azure Container Registry リポジトリへの読み取りと書き込みアクセスを許可しますが、カタログ一覧は除きます。 このロールはプレビュー段階にあり、変更される可能性があります。
| アクション | 説明 |
|---|---|
| なし | |
| NotActions | |
| なし | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | コンテナー レジストリのリポジトリのメタデータを更新します |
| Microsoft.ContainerRegistry/registries/repositories/content/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Tasks Contributor
Container Registry タスク、タスク実行、タスク ログ、クイック実行、クイック ビルド、タスク エージェント プールを構成、読み取り、一覧表示、トリガー、またはキャンセルするためのアクセス許可を提供します。 タスク管理に付与されたアクセス許可は、レジストリ内のコンテナー イメージの読み取り/書き込み/削除を含む、レジストリ データ プレーンの完全なアクセス許可に使用できます。 タスク管理に付与されたアクセス許可を使用して、顧客が作成したビルド ディレクティブを実行したり、スクリプトを実行してソフトウェア成果物をビルドしたりすることもできます。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/agentpools/read | コンテナー レジストリの agentpool を取得するか、すべての agentpool を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/agentpools/write | コンテナー レジストリの agentpool を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/agentpools/delete | コンテナー レジストリの agentpool を削除します。 |
| Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action | コンテナー レジストリの agentpool のすべてのキューの状態を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read | agentpool の非同期操作の結果の状態を取得します |
| Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read | agentpool の非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/tasks/read | コンテナー レジストリに対するタスクを取得するか、すべてのタスクを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tasks/write | コンテナー レジストリに対するタスクを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/tasks/delete | コンテナー レジストリに対するタスクを削除します。 |
| Microsoft.ContainerRegistry/registries/tasks/listDetails/action | コンテナー レジストリに対するタスクの詳細を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/scheduleRun/action | コンテナー レジストリに対する実行をスケジュールします。 |
| Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action | コンテナー レジストリのソース アップロード URL の場所を取得します。 |
| Microsoft.ContainerRegistry/registries/runs/read | コンテナー レジストリに対する実行のプロパティを取得するか、実行を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/runs/write | 実行を更新します。 |
| Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action | 実行のログ SAS URL を取得します。 |
| Microsoft.ContainerRegistry/registries/runs/cancel/action | 既存の実行をキャンセルします。 |
| Microsoft.ContainerRegistry/registries/taskruns/read | コンテナー レジストリに対するタスク実行を取得するか、すべてのタスク実行を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/taskruns/write | コンテナー レジストリのタスク実行を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/taskruns/delete | コンテナー レジストリのタスク実行を削除します。 |
| Microsoft.ContainerRegistry/registries/taskruns/listDetails/action | コンテナー レジストリに対するタスク実行のすべての詳細を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read | taskrun の非同期操作状態を取得します |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナー レジストリ転送パイプライン共同作成者
中間ストレージ アカウントとキー コンテナーを含むレジストリ転送パイプラインを構成して、成果物を転送、インポート、およびエクスポートする機能を提供します。 イメージをプッシュまたはプルするためのアクセス許可を提供しません。 ストレージ アカウントまたはキー コンテナーを作成、管理、または一覧表示するためのアクセス許可を提供しません。 ロールの割り当てを実行するためのアクセス許可は提供されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/exportPipelines/read | 指定したエクスポート パイプラインのプロパティを取得するか、指定したコンテナー レジストリのすべてのエクスポート パイプラインを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/exportPipelines/write | 指定されたパラメーターでコンテナー レジストリのエクスポート パイプラインを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/exportPipelines/delete | コンテナー レジストリからエクスポート パイプラインを削除します。 |
| Microsoft.ContainerRegistry/registries/importPipelines/read | 指定したインポート パイプラインのプロパティを取得するか、指定したコンテナー レジストリのすべてのインポート パイプラインを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/importPipelines/write | 指定されたパラメーターでコンテナー レジストリのインポート パイプラインを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/importPipelines/delete | コンテナー レジストリからインポート パイプラインを削除します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/read | 指定したパイプライン実行のプロパティを取得するか、指定したコンテナー レジストリのすべてのパイプライン実行を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/write | 指定されたパラメーターでコンテナー レジストリのパイプライン実行を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/delete | コンテナー レジストリからパイプライン実行を削除します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read | パイプライン実行の非同期操作の状態を取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes エージェントレス オペレーター
Microsoft Defender for Cloud に Azure Kubernetes Services へのアクセスを許可します
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | マネージド クラスターの信頼されたアクセス ロール バインドを作成または更新します |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | マネージド クラスターの信頼されたアクセス ロール バインドを取得します |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | マネージド クラスターの信頼されたアクセス ロール バインドを削除します |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します。 |
| Microsoft.Features/features/read | サブスクリプションの機能を取得します。 |
| Microsoft.Features/providers/features/read | 指定されたリソース プロバイダーのサブスクリプションの機能を取得します。 |
| Microsoft.Features/providers/features/register/action | 指定されたリソース プロバイダーのサブスクリプションの機能を登録します。 |
| Microsoft.Security/pricings/securityoperators/read | スコープのセキュリティ演算子を取得します |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes クラスター - Azure Arc のオンボード
connectedClusters リソースを作成するため、あらゆるユーザーまたはサービスを承認するロール定義
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/Write | connectedClusters を書き込みます |
| Microsoft.Kubernetes/connectedClusters/read | connectedClusters を読み取ります |
| Microsoft.KubernetesConfiguration/extensions/write | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/delete | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| Microsoft.Support/* | サポート チケットの作成と更新 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes 拡張機能共同作成者
Kubernetes 拡張機能の作成、更新、取得、一覧表示、削除を行い、拡張機能の非同期操作を取得することができます
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.KubernetesConfiguration/extensions/write | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/delete | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Service Fabric クラスター共同作成者
Service Fabric クラスター リソースを管理します。 クラスター、アプリケーションの種類、アプリケーションの種類のバージョン、アプリケーション、サービスが含まれます。 仮想マシン スケール セット、ストレージ アカウント、ネットワークなど、クラスターの基になるリソースをデプロイおよび管理するには、追加のアクセス許可が必要です。
| アクション | 説明 |
|---|---|
| Microsoft.ServiceFabric/clusters/* | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Service Fabric マネージド クラスター共同作成者
Service Fabric マネージド クラスター リソースをデプロイして管理します。 マネージド クラスター、ノードの種類、アプリケーションの種類、アプリケーションの種類のバージョン、アプリケーション、サービスが含まれます。
| アクション | 説明 |
|---|---|
| Microsoft.ServiceFabric/managedclusters/* | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| なし | |
| DataActions | |
| なし | |
| NotDataActions | |
| なし |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}