Встроенные роли Azure для контейнеров
В этой статье перечислены встроенные роли Azure в категории "Контейнеры".
AcrDelete
Удаление репозиториев, тегов или манифестов из реестра контейнеров.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | Удаление артефакта в реестре контейнеров. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Отправка или получение доверенных образов в реестре контейнеров с поддержкой доверия к содержимому.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | Передача или извлечение метаданных доверия к содержимому для реестра контейнеров. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | Позволяет отправлять или публиковать доверенные коллекции содержимого реестра контейнеров Похоже на действие Microsoft.ContainerRegistry/registries/sign/write, за исключением того, что это действие с данными |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
Извлечение артефактов из реестра контейнеров.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/push/write | Передача или запись образов в реестр контейнеров. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Извлечение помещенных в карантин образов из реестра контейнеров.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/read, за исключением того, что это действие с данными |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/quarantine/write | Запись и изменение состояния карантина образов, помещенных в карантин. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/read, за исключением того, что это действие с данными |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | Позволяет записывать или обновлять состояние карантина для артефактов, помещенных на карантин Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/write, за исключением того, что это действие с данными |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль пользователя кластера Kubernetes с поддержкой Azure Arc
Действие вывода учетных данных пользователей кластера.
| Действия | Description |
|---|---|
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | Перечисление учетных данных clusterUser (предварительная версия) |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор Kubernetes Azure Arc
Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Записывает localsubjectaccessreviews |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/events/read | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Считывает limitranges. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор кластера Kubernetes Azure Arc
Позволяет управлять всеми ресурсами в кластере.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Зритель Kubernetes Azure Arc
Позволяет просматривать все ресурсы в кластере или пространстве имен, за исключением секретов.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | Считывает deployments. |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | Считывает replicasets. |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | Считывает jobs. |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | Считывает configmaps. |
| Microsoft.Kubernetes/connectedClusters/endpoints/read | Считывает endpoints. |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/events/read | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | Считывает deployments. |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | Считывает replicasets. |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Считывает limitranges. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.Kubernetes/connectedClusters/pods/read | Считывает pods. |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.Kubernetes/connectedClusters/services/read | Считывает services. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Писатель Kubernetes Azure Arc
Позволяет обновлять все объекты в кластере или пространстве имен, кроме ролей (кластера) и привязок ролей (кластера).
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/events/read | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Считывает limitranges. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник службы хранилища контейнеров Azure
Установите хранилище контейнеров Azure и управляйте ресурсами хранилища. Включает условие ABAC для ограничения назначений ролей.
| Действия | Description |
|---|---|
| Microsoft.KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft.KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Management/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none | |
| Действия | |
| Microsoft.Authorization/roleAssignments/write | Создает назначение роли в указанной области. |
| Microsoft.Authorization/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none | |
| Условие | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d4d4d4d4d619})) | Добавьте или удалите назначения ролей для следующих ролей: Оператор хранилища контейнеров Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор хранилища контейнеров Azure
Включите управляемое удостоверение для выполнения операций хранилища контейнеров Azure, таких как управление виртуальными машинами и управление виртуальными сетями.
| Действия | Description |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Опрашивает состояние асинхронной операции. |
| Microsoft.Network/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/write | Создает новую виртуальную сеть или обновляет существующую. |
| Microsoft.Network/virtualNetworks/delete | Удаляет виртуальную сеть. |
| Microsoft.Network/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Compute/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft.Compute/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Microsoft.Compute/virtualMachineScaleSets/read | Получение свойств масштабируемого набора виртуальных машин. |
| Microsoft.Compute/virtualMachineScaleSets/write | Создание нового масштабируемого набора виртуальных машин или обновление существующего. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Обновление свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Извлекает свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft.Resources/subscriptions/providers/read | Возвращает поставщики ресурсов или выводит их список. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец хранилища контейнеров Azure
Установите хранилище контейнеров Azure, предоставьте доступ к ресурсам хранилища и настройте сеть эластичных хранилищ Azure (SAN). Включает условие ABAC для ограничения назначений ролей.
| Действия | Description |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Опрашивает состояние асинхронной операции. |
| Microsoft.KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft.KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Management/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none | |
| Действия | |
| Microsoft.Authorization/roleAssignments/write | Создает назначение роли в указанной области. |
| Microsoft.Authorization/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none | |
| Условие | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d4d4d4d4d619})) | Добавьте или удалите назначения ролей для следующих ролей: Оператор хранилища контейнеров Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль участника Диспетчера флота Azure Kubernetes
Предоставляет доступ на чтение и запись к ресурсам Azure, предоставляемым диспетчером флотов Azure Kubernetes, включая флоты, членов флота, стратегии обновления флота, запуски обновлений флота и т. д.
| Действия | Description |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор RBAC диспетчера парка Azure Kubernetes
Предоставляет доступ на чтение и запись к ресурсам Kubernetes в пространстве имен в кластере, управляемом флотом, предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение флота |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Записывает localsubjectaccessreviews |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/role/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/fleets/secret/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор кластера RBAC диспетчера парка Azure Kubernetes
Предоставляет доступ на чтение и запись ко всем ресурсам Kubernetes в кластере, управляемом флотом.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение флота |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения RBAC диспетчера флота Azure Kubernetes
Предоставляет доступ только для чтения к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение флота |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/apps/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft.ContainerService/fleets/batch/jobs/read | Считывает jobs. |
| Microsoft.ContainerService/fleets/configmaps/read | Считывает configmaps. |
| Microsoft.ContainerService/fleets/endpoints/read | Считывает endpoints. |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.ContainerService/fleets/services/read | Считывает services. |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Чтение ресурса resourceoverride для автопарка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи RBAC диспетчера флота Azure Kubernetes
Предоставляет доступ на чтение и запись к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получать доступ к секретам в качестве любого ServiceAccount в пространстве имен, поэтому его можно использовать для получения уровней доступа к API любого ServiceAccount в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение флота |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/apps/daemonsets/write | Записывает daemonset |
| Microsoft.ContainerService/fleets/apps/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/apps/deployments/write | Записывает deployments |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.ContainerService/fleets/apps/statefulsets/write | Записывает statefulsets |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write | Записывает horizontalpodautoscalers |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft.ContainerService/fleets/batch/cronjobs/write | Записывает cronjobs |
| Microsoft.ContainerService/fleets/batch/jobs/read | Считывает jobs. |
| Microsoft.ContainerService/fleets/batch/jobs/write | Записывает jobs |
| Microsoft.ContainerService/fleets/configmaps/read | Считывает configmaps. |
| Microsoft.ContainerService/fleets/configmaps/write | Записывает configmaps |
| Microsoft.ContainerService/fleets/endpoints/read | Считывает endpoints. |
| Microsoft.ContainerService/fleets/endpoints/write | Записывает endpoints |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/write | Записывает daemonset |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/extensions/deployments/write | Записывает deployments |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/extensions/ingresses/write | Записывает ingresses |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/write | Записывает networkpolicies |
| Microsoft.ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write | Записывает ingresses |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write | Записывает networkpolicies |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/write | Записывает persistentvolumeclaims |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write | Записывает poddisruptionbudgets |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/fleets/replicationcontrollers/write | Записывает replicationcontrollers |
| Microsoft.ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/fleets/secret/read | Считывает secrets |
| Microsoft.ContainerService/fleets/secret/write | Записывает secrets |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.ContainerService/fleets/serviceaccounts/write | Записывает serviceaccounts |
| Microsoft.ContainerService/fleets/services/read | Считывает services. |
| Microsoft.ContainerService/fleets/services/write | Записывает services |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Чтение ресурса resourceoverride для автопарка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | Запись ресурса resourceoverride парка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль администратора кластера Arc Служба Azure Kubernetes
Список действий, выполненных с помощью учетных данных администратора кластера.
| Действия | Description |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | Выводит учетные данные администратора подготовленного экземпляра кластера, используемого только в прямом режиме. |
| Microsoft.Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль пользователя кластера Arc Служба Azure Kubernetes
Список действий, выполненных с помощью учетных данных пользователя кластера.
| Действия | Description |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | Выводит учетные данные пользователя AAD для подготовленного экземпляра кластера, используемого только в прямом режиме. |
| Microsoft.Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль участника Служба Azure Kubernetes Arc
Предоставляет доступ к гибридным кластерам для чтения и записи Служба Azure Kubernetes
| Действия | Description |
|---|---|
| Microsoft.HybridContainerService/Locations/operationStatuses/read | операции чтенияStatuses |
| Microsoft.HybridContainerService/Operations/read | Операции чтения |
| Microsoft.HybridContainerService/kubernetesVersions/read | Список поддерживаемых версий Kubernetes из базового пользовательского расположения |
| Microsoft.HybridContainerService/kubernetesVersions/write | Помещает тип ресурса версии Kubernetes |
| Microsoft.HybridContainerService/kubernetesVersions/delete | Удаление типа ресурса версий Kubernetes |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Microsoft.HybridContainerService/provisionedClusterInstances/write | Создает экземпляр подготовленного гибридного кластера AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | Удаляет экземпляр подготовленного гибридного кластера AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | Возвращает пулы агентов в экземпляре подготовленного гибридного кластера AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | Обновляет пул агентов в экземпляре подготовленного гибридного кластера AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete | Удаляет пул агентов в экземпляре подготовленного гибридного кластера AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | чтение обновленийProfiles |
| Microsoft.HybridContainerService/skus/read | Перечисляет поддерживаемые номера SKU виртуальных машин из базового настраиваемого расположения. |
| Microsoft.HybridContainerService/skus/write | Помещает тип ресурса SKU виртуальной машины |
| Microsoft.HybridContainerService/skus/delete | Удаляет тип ресурса SKU виртуальной машины |
| Microsoft.HybridContainerService/virtualNetworks/read | Список гибридных виртуальных сетей AKS по подписке |
| Microsoft.HybridContainerService/virtualNetworks/write | Исправление гибридной виртуальной сети AKS |
| Microsoft.HybridContainerService/virtualNetworks/delete | Удаляет виртуальную сеть Hybrid AKS |
| Microsoft.ExtendedLocation/customLocations/deploy/action | Развертывание разрешений в ресурсе пользовательского расположения |
| Microsoft.ExtendedLocation/customLocations/read | Возвращает ресурс пользовательского расположения |
| Microsoft.Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/Write | Записывает connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/Delete | Удаляет connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser |
| Microsoft.AzureStackHCI/clusters/read | Возвращает кластеры |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль администратора кластера в Службе Azure Kubernetes
Список действий, выполненных с помощью учетных данных администратора кластера.
| Действия | Description |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | Перечисляет учетные данные clusterAdmin управляемого кластера. |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Получение профиля доступа управляемого кластера по имени роли с помощью вывода учетных данных. |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| Microsoft.ContainerService/managedClusters/runcommand/action | Выполняет команду, выданную пользователем, на управляемом сервере kubernetes. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
пользователь мониторинга кластера Служба Azure Kubernetes
Действие учетных данных пользователя мониторинга кластера.
| Действия | Description |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Перечисляет учетные данные clusterMonitoringUser управляемого кластера. |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль пользователя кластера в Службе Azure Kubernetes
Список действий, выполненных с помощью учетных данных пользователя кластера.
| Действия | Description |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль участника службы Azure Kubernetes
Предоставляет доступ на чтение и запись для кластеров службы Azure Kubernetes.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ContainerService/locations/* | Чтение расположений, доступных для ресурсов ContainerService |
| Microsoft.ContainerService/managedClusters/* | Создание управляемого кластера и управление ими |
| Microsoft.ContainerService/managedclustersnapshots/* | Создание моментального снимка управляемого кластера и управление ими |
| Microsoft.ContainerService/snapshots/* | Создание моментального снимка и управление ими |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор RBAC для службы Azure Kubernetes
Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | Записывает resourcequotas. |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | Удаляет resourcequotas. |
| Microsoft.ContainerService/managedClusters/namespaces/write | Записывает namespaces. |
| Microsoft.ContainerService/managedClusters/namespaces/delete | Удаляет namespaces. |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор кластера RBAC для службы Azure Kubernetes
Позволяет управлять всеми ресурсами в кластере.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель RBAC для Службы контейнеров Azure
Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | Считывает replicasets. |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | Считывает jobs. |
| Microsoft.ContainerService/managedClusters/configmaps/read | Считывает configmaps. |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Microsoft.ContainerService/managedClusters/endpoints/read | Считывает endpoints. |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/managedClusters/events/read | Считывает events. |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Считывает replicasets. |
| Microsoft.ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Считывает pods. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Считывает nodes |
| Microsoft.ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.ContainerService/managedClusters/pods/read | Считывает pods. |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.ContainerService/managedClusters/services/read | Считывает services. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи RBAC для службы Azure Kubernetes
Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | Считывает leases |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | Записывает leases |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | Удаляет leases |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Считывает pods. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Считывает nodes |
| Microsoft.ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения CheckAccess с управляемым удостоверением подключенного кластера
Встроенная роль, которая позволяет управляемому кластеру вызывать API checkAccess.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения конфигурации реестра контейнеров и средства чтения конфигурации доступа к данным
Предоставляет разрешения для перечисления реестров контейнеров и свойств конфигурации реестра. Предоставляет разрешения для перечисления конфигурации доступа к данным, таких как учетные данные администратора, карты областей и маркеры, которые можно использовать для чтения, записи или удаления репозиториев и изображений. Не предоставляет прямых разрешений на чтение, перечисление или запись содержимого реестра, включая репозитории и изображения. Не предоставляет разрешения на изменение содержимого плоскости данных, например импорта, кэша артефактов или синхронизации и передачи конвейеров. Не предоставляет разрешения для управления задачами.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/operationStatuses/read | Получение состояния асинхронной операции реестра. |
| Microsoft.ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | Возвращает свойства подключения к частной конечной точке или список всех подключений к частным конечным точкам для указанного реестра контейнеров |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Получение состояния асинхронной операции подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/listCredentials/action | Выводит список учетных данных входа для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/token/read | Получает свойства указанного токена или выводит список всех токенов для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/token/operationStatuses/read | Получение состояния асинхронной операции токена. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | Получает свойства указанного сопоставления областей или выводит список сопоставлений областей для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | Получение состояния асинхронной операции сопоставления областей. |
| Microsoft.ContainerRegistry/registries/webhooks/read | Получение свойств указанного веб-перехватчика или списка веб-перехватчиков для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | Получение конфигурации URI службы и пользовательских заголовков для веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | Получение списка последних событий для указанного веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | Получение состояния асинхронной операции веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/replications/read | Получение свойств указанной репликации или списка репликаций для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | Получение состояния асинхронной операции репликации. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | Получение свойств указанного реестра контейнеров или вывод списка всех подключенных реестров для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Возвращает доступные метрики для Реестра контейнеров Майкрософт. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Получение доступных метрик для реестра контейнеров Майкрософт. |
| Microsoft.Insights/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Delete | Удаление классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Microsoft.Insights/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Microsoft.Insights/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Microsoft.Insights/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник реестра контейнеров и администратор конфигурации доступа к данным
Предоставляет разрешения на создание, перечисление и обновление реестров контейнеров и свойств конфигурации реестра. Предоставляет разрешения на настройку доступа к данным, таких как учетные данные администратора, карты областей и маркеры, которые можно использовать для чтения, записи или удаления репозиториев и изображений. Не предоставляет прямых разрешений на чтение, перечисление или запись содержимого реестра, включая репозитории и изображения. Не предоставляет разрешения на изменение содержимого плоскости данных, например импорта, кэша артефактов или синхронизации и передачи конвейеров. Не предоставляет разрешения для управления задачами.
| Действия | Description |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerRegistry/registries/operationStatuses/read | Получение состояния асинхронной операции реестра. |
| Microsoft.ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Microsoft.ContainerRegistry/registries/write | Создание или обновление реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/delete | Удаление реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/listCredentials/action | Выводит список учетных данных входа для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/regenerateCredential/action | Повторное создание учетных данных входа для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/generateCredentials/action | Создание ключей для токена указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/replications/read | Получение свойств указанной репликации или списка репликаций для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/replications/write | Создание или обновление репликаций для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/replications/delete | Удаление репликации из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | Получение состояния асинхронной операции репликации. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action | Автоматическое утверждение подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | Возвращает свойства подключения к частной конечной точке или список всех подключений к частным конечным точкам для указанного реестра контейнеров |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/write | Утверждение или отклонение подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete | Удаление подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Получение состояния асинхронной операции подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/token/read | Получает свойства указанного токена или выводит список всех токенов для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/token/write | Создание или обновление токена для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/token/delete | Удаление токена из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/token/operationStatuses/read | Получение состояния асинхронной операции токена. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | Получает свойства указанного сопоставления областей или выводит список сопоставлений областей для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/scopeMaps/write | Создание или обновление сопоставления областей для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/scopeMaps/delete | Удаление сопоставления областей из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | Получение состояния асинхронной операции сопоставления областей. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Возвращает доступные метрики для Реестра контейнеров Майкрософт. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Получение доступных метрик для реестра контейнеров Майкрософт. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | Получение свойств указанного реестра контейнеров или вывод списка всех подключенных реестров для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/write | Создание или обновление подключенного реестра для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/delete | Удаление подключенного реестра из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/деактивация/действие | Деактивирует подключенный реестр для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/webhooks/read | Получение свойств указанного веб-перехватчика или списка веб-перехватчиков для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/webhooks/write | Создание или обновление веб-перехватчика для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/webhooks/delete | Удаление веб-перехватчика из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | Получение конфигурации URI службы и пользовательских заголовков для веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/webhooks/ping/action | Запуск события проверки связи для отправки веб-перехватчику. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | Получение списка последних событий для указанного веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | Получение состояния асинхронной операции веб-перехватчика. |
| Microsoft.Insights/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Delete | Удаление классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Microsoft.Insights/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Microsoft.Insights/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Microsoft.Insights/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| Microsoft.ContainerRegistry/locations/operationResults/read | Получение результата асинхронной операции. |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write | Создает новый прокси-сервер службы приватного канала или обновляет существующий. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Импорт данных реестра контейнеров и средство чтения данных
Предоставляет возможность импортировать образы в реестр с помощью операции импорта реестра. Предоставляет возможность перечислять репозитории, просматривать изображения и теги, получать манифесты и извлекать изображения. Не предоставляет разрешения для импорта образов с помощью настройки конвейеров передачи реестра, таких как конвейеры импорта и экспорта. Не предоставляет разрешения для импорта с помощью настройки правил кэша артефактов или синхронизации.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/importImage/action | Импорт образа в реестр контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Microsoft.ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Список каталогов репозитория контейнеров
Позволяет перечислять все репозитории в Реестр контейнеров Azure. Эта роль находится на этапе предварительной версии и может быть изменена.
| Действия | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/catalog/read | Список репозиториев в реестре контейнеров. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник репозитория реестра контейнеров
Позволяет просматривать, записывать и удалять доступ к Реестр контейнеров Azure репозиториям, но исключает перечисление каталога. Эта роль находится на этапе предварительной версии и может быть изменена.
| Действия | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | Обновляет метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/repositories/content/write | Передача или запись образов в реестр контейнеров. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/delete | Удаление метаданных репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/repositories/content/delete | Удаление артефакта в реестре контейнеров. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель репозитория реестра контейнеров
Разрешает доступ на чтение к Реестр контейнеров Azure репозиториям, но за исключением перечисления каталога. Эта роль находится на этапе предварительной версии и может быть изменена.
| Действия | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи репозитория реестра контейнеров
Разрешает доступ на чтение и запись к Реестр контейнеров Azure репозиториям, но за исключением перечисления каталога. Эта роль находится на этапе предварительной версии и может быть изменена.
| Действия | Description |
|---|---|
| none | |
| NotActions | |
| none | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | Обновляет метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/repositories/content/write | Передача или запись образов в реестр контейнеров. |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник задач реестра контейнеров
Предоставляет разрешения на настройку, чтение, список, триггер или отмену задач реестра контейнеров, запусков задач, журналов задач, быстрых запусков, быстрых сборок и пулов агентов задач. Разрешения, предоставленные для управления задачами, можно использовать для полного разрешения уровня данных реестра, включая чтение и запись и удаление образов контейнеров в реестрах. Разрешения, предоставленные для управления задачами, также можно использовать для запуска директив сборки, созданных клиентом, и запуска скриптов для создания артефактов программного обеспечения.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/agentpools/read | Получение пула агентов для реестра контейнеров или перечисление всех пулов агентов. |
| Microsoft.ContainerRegistry/registries/agentpools/write | Создание или обновление пула агентов для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/agentpools/delete | Удаление пула агентов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action | Вывод списка всех состояний очереди пула агентов для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read | Возвращает состояние результата асинхронной операции агента |
| Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read | Возвращает состояние асинхронной операции агента |
| Microsoft.ContainerRegistry/registries/tasks/read | Получение задачи для реестра контейнеров или списка всех задач. |
| Microsoft.ContainerRegistry/registries/tasks/write | Создание или обновление задачи для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/tasks/delete | Удаление задачи для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/tasks/listDetails/action | Список всех сведений о задаче для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/scheduleRun/action | Планирование запуска по реестру контейнеров. |
| Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action | Получение расположения URL-адреса передачи источника для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/runs/read | Получение свойств выполнения по реестру контейнера или списку запусков. |
| Microsoft.ContainerRegistry/registries/runs/write | Обновление выполнения. |
| Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action | Получение URL-адреса SAS журнала для выполнения. |
| Microsoft.ContainerRegistry/registries/runs/cancel/action | Отмена существующего выполнения. |
| Microsoft.ContainerRegistry/registries/taskruns/read | Получение цикла выполнения задачи для реестра контейнеров или вывод списка всех циклов выполнения задачи. |
| Microsoft.ContainerRegistry/registries/taskruns/write | Создание или обновление цикла выполнения задачи для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/taskruns/delete | Удаление цикла выполнения задачи из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/taskruns/listDetails/action | Выводит список всех сведений о выполнении задач для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read | Возвращает состояние асинхронной операции запуска задачи |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник конвейера передачи реестра контейнеров
Предоставляет возможность передачи, импорта и экспорта артефактов путем настройки конвейеров передачи реестра, включающих промежуточные учетные записи хранения и хранилища ключей. Не предоставляет разрешения на отправку или извлечение изображений. Не предоставляет разрешения на создание, управление или перечисление учетных записей хранения или хранилищ ключей. Не предоставляет разрешения на выполнение назначений ролей.
| Действия | Description |
|---|---|
| Microsoft.ContainerRegistry/registries/exportPipelines/read | Получение свойств указанного конвейера экспорта или вывод списка всех конвейеров экспорта для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/exportPipelines/write | Создание или обновление конвейера экспорта для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/exportPipelines/delete | Удаление конвейера экспорта из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/importPipelines/read | Получение свойств указанного конвейера импорта или вывод списка всех конвейеров импорта для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/importPipelines/write | Создание или обновление конвейера импорта для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/importPipelines/delete | Удаление конвейера импорта из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/read | Получение свойств указанного цикла выполнения конвейера или вывод списка всех циклов выполнения конвейера для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/write | Создание или обновление цикла выполнения конвейера для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/delete | Удаление цикла выполнения конвейера из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read | Получение состояния асинхронной операции цикла выполнения конвейера. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор Без агента Kubernetes
Предоставляет Microsoft Defender для облака доступ к Служба Azure Kubernetes
| Действия | Description |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | Создание или обновление привязок ролей доверенного доступа для управляемого кластера |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | Получение привязок ролей доверенного доступа для управляемого кластера |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | Удаление привязок ролей доверенного доступа для управляемого кластера |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| Microsoft.Features/features/read | Возвращает функции подписки. |
| Microsoft.Features/providers/features/read | Возвращает функцию подписки в заданном поставщике ресурсов. |
| Microsoft.Features/providers/features/register/action | Регистрирует функцию для подписки в заданном поставщике ресурсов. |
| Microsoft.Security/pricings/securityoperator/read | Возвращает операторы безопасности для области |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Кластер Kubernetes — подключение Azure Arc
Определение роли, дающее любому пользователю или службе право создавать ресурс connectedClusters.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/subscriptions/read | Возвращает список подписок. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Kubernetes/connectedClusters/Write | Записывает connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/read | Считывает connectedClusters. |
| Microsoft.KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft.KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник расширения Kubernetes
Может создавать, обновлять, получать, перечислять и удалять расширения Kubernetes, а также получать асинхронные операции расширений
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft.KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft.KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник кластера Service Fabric
Управление ресурсами кластера Service Fabric. Включает кластеры, типы приложений, версии типов приложений, приложения и службы. Вам потребуются дополнительные разрешения для развертывания базовых ресурсов кластера и управления ими, таких как масштабируемые наборы виртуальных машин, учетные записи хранения, сети и т. д.
| Действия | Description |
|---|---|
| Microsoft.ServiceFabric/clusters/* | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого кластера Service Fabric
Развертывание ресурсов управляемого кластера Service Fabric и управление ими. Включает управляемые кластеры, типы узлов, типы приложений, версии типов приложений, приложения и службы.
| Действия | Description |
|---|---|
| Microsoft.ServiceFabric/managedclusters/* | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| none | |
| Действия с данными | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}