أدوار Azure المضمنة للحاويات
تسرد هذه المقالة الأدوار المضمنة في Azure في فئة Containers.
AcrDelete
احذف المستودعات أو العلامات أو البيانات من سجل الحاوية.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerRegistry/registries/artifacts/delete | حذف البيانات الاصطناعية في سجل حاوية. |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
ادفع الصور الموثوق بها إلى أو اسحب الصور الموثوق بها من سجل حاوية ممكن للثقة في المحتوى.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerRegistry/registries/sign/write | بيانات تعريف الثقة في محتوى الدفع/السحب لسجل الحاوية. |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerRegistry/registries/trustedCollections/write | يسمح بدفع أو نشر مجموعات موثوق بها من محتوى سجل الحاوية. يشبه هذا الإجراء Microsoft.ContainerRegistry/registries/sign/write باستثناء أن هذا إجراء بيانات |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
سحب البيانات الاصطناعية من سجل حاوية.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerRegistry/registries/pull/read | اسحب الصور أو احصل عليها من سجل حاوية. |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
دفع البيانات الاصطناعية إلى أو سحب البيانات الاصطناعية من سجل الحاوية.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerRegistry/registries/pull/read | اسحب الصور أو احصل عليها من سجل حاوية. |
Microsoft.ContainerRegistry/registries/push/write | دفع الصور أو كتابتها إلى سجل حاوية. |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
اسحب الصور المعزولة من سجل الحاوية.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerRegistry/registries/quarantine/read | سحب الصور المعزولة أو الحصول عليها من سجل الحاوية |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | يسمح بسحب أو الحصول على البيانات الاصطناعية المعزولة من سجل الحاوية. يشبه هذا Microsoft.ContainerRegistry/registries/quarantine/read باستثناء أنه إجراء بيانات |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
ادفع الصور المعزولة إلى أو اسحب الصور المعزولة من سجل الحاوية.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerRegistry/registries/quarantine/read | سحب الصور المعزولة أو الحصول عليها من سجل الحاوية |
Microsoft.ContainerRegistry/registries/quarantine/write | كتابة/تعديل حالة العزل للصور المعزولة |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | يسمح بسحب أو الحصول على البيانات الاصطناعية المعزولة من سجل الحاوية. يشبه هذا Microsoft.ContainerRegistry/registries/quarantine/read باستثناء أنه إجراء بيانات |
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | يسمح بكتابة أو تحديث حالة العزل للبيانات الاصطناعية المعزولة. يشبه هذا الإجراء Microsoft.ContainerRegistry/registries/quarantine/write باستثناء أنه إجراء بيانات |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
دور مستخدم نظام مجموعة Kubernetes الممكن في Azure Arc
سرد إجراء بيانات اعتماد مستخدم نظام المجموعة.
الإجراءات | الوصف |
---|---|
Microsoft.Resources/deployments/write | إنشاء عملية نشر أو تحديثها. |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | قائمة بيانات اعتماد مستخدم نظام المجموعة (معاينة) |
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | قائمة بيانات اعتماد مستخدم نظام المجموعة |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول Azure Arc Kubernetes
يتيح لك إدارة جميع الموارد ضمن مجموعة/مساحة الاسم، باستثناء تحديث أو حذف حصص الموارد ومساحات الأسماء.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
Microsoft.Resources/deployments/write | إنشاء عملية نشر أو تحديثها. |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | قراءة عمليات التحكم |
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | يكتب localsubjectaccessreviews |
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
Microsoft.Kubernetes/connectedClusters/configmaps/* | |
Microsoft.Kubernetes/connectedClusters/endpoints/* | |
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | قراءة الأحداث |
Microsoft.Kubernetes/connectedClusters/events/read | قراءة الأحداث |
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/limitranges/read | حدود القراءة |
Microsoft.Kubernetes/connectedClusters/namespaces/read | قراءة مساحات الأسماء |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
Microsoft.Kubernetes/connectedClusters/pods/* | |
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/resourcequotas/read | يقرأ resourcequotas |
Microsoft.Kubernetes/connectedClusters/secrets/* | |
Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
Microsoft.Kubernetes/connectedClusters/services/* | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول نظام مجموعة Azure Arc Kubernetes
يتيح لك إدارة جميع الموارد في نظام المجموعة.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
Microsoft.Resources/deployments/write | إنشاء عملية نشر أو تحديثها. |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.Kubernetes/connectedClusters/* | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
عارض Azure Arc Kubernetes
يتيح لك عرض جميع الموارد في مساحة نظام المجموعة/الاسم، باستثناء البيانات السرية.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
Microsoft.Resources/deployments/write | إنشاء عملية نشر أو تحديثها. |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | قراءة عمليات التحكم |
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | يقرأ daemonsets |
Microsoft.Kubernetes/connectedClusters/apps/deployments/read | قراءة عمليات النشر |
Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | قراءة مجموعات النسخ المتماثلة |
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | يقرأ statefulsets |
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | قراءة تحجيمات البودات الأفقية |
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | يقرأ cronjobs |
Microsoft.Kubernetes/connectedClusters/batch/jobs/read | قراءة المهام |
Microsoft.Kubernetes/connectedClusters/configmaps/read | يقرأ configmaps |
Microsoft.Kubernetes/connectedClusters/endpoints/read | قراءة نقاط النهاية |
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | قراءة الأحداث |
Microsoft.Kubernetes/connectedClusters/events/read | قراءة الأحداث |
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | يقرأ daemonsets |
Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | قراءة عمليات النشر |
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | قراءات الدخول |
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | قراءة نهج الشبكة |
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | قراءة مجموعات النسخ المتماثلة |
Microsoft.Kubernetes/connectedClusters/limitranges/read | حدود القراءة |
Microsoft.Kubernetes/connectedClusters/namespaces/read | قراءة مساحات الأسماء |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | قراءات الدخول |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | قراءة نهج الشبكة |
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | قراءة المطالبات المستمرة |
Microsoft.Kubernetes/connectedClusters/pods/read | قراءة الحجيرات |
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | يقرأ poddisruptionbudgets |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | قراءة متحكمات النسخ المتماثل |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | قراءة متحكمات النسخ المتماثل |
Microsoft.Kubernetes/connectedClusters/resourcequotas/read | يقرأ resourcequotas |
Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | قراءة حسابات الخدمة |
Microsoft.Kubernetes/connectedClusters/services/read | قراءة الخدمات |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes Writer
يتيح لك تحديث كل شيء في نظام المجموعة/مساحة الاسم، باستثناء أدوار (نظام المجموعة) و(نظام المجموعة)روابط الأدوار.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
Microsoft.Resources/deployments/write | إنشاء عملية نشر أو تحديثها. |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | قراءة عمليات التحكم |
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
Microsoft.Kubernetes/connectedClusters/configmaps/* | |
Microsoft.Kubernetes/connectedClusters/endpoints/* | |
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | قراءة الأحداث |
Microsoft.Kubernetes/connectedClusters/events/read | قراءة الأحداث |
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/limitranges/read | حدود القراءة |
Microsoft.Kubernetes/connectedClusters/namespaces/read | قراءة مساحات الأسماء |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
Microsoft.Kubernetes/connectedClusters/pods/* | |
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/resourcequotas/read | يقرأ resourcequotas |
Microsoft.Kubernetes/connectedClusters/secrets/* | |
Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
Microsoft.Kubernetes/connectedClusters/services/* | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مساهم تخزين حاوية Azure
تثبيت Azure Container Storage وإدارة موارد التخزين الخاصة به. يتضمن شرط ABAC لتقييد تعيينات الأدوار.
الإجراءات | الوصف |
---|---|
Microsoft.KubernetesConfiguration/extensions/write | إنشاء مورد ملحق أو تحديثه. |
Microsoft.KubernetesConfiguration/extensions/read | يحصل على مورد مثيل الملحق. |
Microsoft.KubernetesConfiguration/extensions/delete | حذف مورد مثيل الملحق. |
Microsoft.KubernetesConfiguration/extensions/operations/read | الحصول على حالة العملية غير المتزامنة. |
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Management/managementGroups/read | سرد مجموعات الإدارة للمستخدم المصادق عليه. |
Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء | |
إجراءات | |
Microsoft.Authorization/roleAssignments/write | إنشاء تعيين دور في النطاق المحدد. |
Microsoft.Authorization/roleAssignments/delete | حذف تعيين دور في النطاق المحدد. |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء | |
الشرط | |
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | إضافة تعيينات الأدوار للأدوار التالية أو إزالتها: عامل تشغيل Azure Container Storage |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
عامل تشغيل Azure Container Storage
تمكين هوية مدارة لتنفيذ عمليات Azure Container Storage، مثل إدارة الأجهزة الظاهرية وإدارة الشبكات الظاهرية.
الإجراءات | الوصف |
---|---|
Microsoft.ElasticSan/elasticSans/* | |
Microsoft.ElasticSan/locations/asyncoperations/read | يستقصي حالة عملية غير متزامنة. |
Microsoft.Network/routeTables/join/action | الانضمام إلى جدول توجيه. غير قابل للإنذار. |
Microsoft.Network/networkSecurityGroups/join/action | ينضم إلى مجموعة أمان الشبكة. غير قابل للإنذار. |
Microsoft.Network/virtualNetworks/write | إنشاء شبكة ظاهرية أو تحديث شبكة ظاهرية موجودة |
Microsoft.Network/virtualNetworks/delete | حذف شبكة ظاهرية |
Microsoft.Network/virtualNetworks/join/action | ينضم إلى شبكة ظاهرية. غير قابل للإنذار. |
Microsoft.Network/virtualNetworks/subnets/read | الحصول على تعريف الشبكة الفرعية للشبكة الظاهرية |
Microsoft.Network/virtualNetworks/subnets/write | يُنشئ شبكة فرعية افتراضية أو يقوم بتحديث شبكة فرعية موجودة للشبكة الظاهرية |
Microsoft.Compute/virtualMachines/read | الحصول على خصائص جهاز ظاهري |
Microsoft.Compute/virtualMachines/write | إنشاء جهاز ظاهري جديد أو تحديث جهاز ظاهري موجود |
Microsoft.Compute/virtualMachineScaleSets/read | الحصول على خصائص مجموعة مقياس الجهاز الظاهري |
Microsoft.Compute/virtualMachineScaleSets/write | إنشاء مجموعة مقياس جهاز ظاهري جديدة أو تحديث مجموعة موجودة |
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | تحديث خصائص الجهاز الظاهري في مجموعة مقياس الجهاز الظاهري |
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | استرداد خصائص الجهاز الظاهري في مجموعة مقياس الجهاز الظاهري |
Microsoft.Resources/subscriptions/providers/read | الحصول على موفري الموارد أو سردهم. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.Network/virtualNetworks/read | الحصول على تعريف الشبكة الظاهرية |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مالك Azure Container Storage
تثبيت Azure Container Storage، ومنح حق الوصول إلى موارد التخزين الخاصة به، وتكوين شبكة منطقة تخزين Azure Elastic (SAN). يتضمن شرط ABAC لتقييد تعيينات الأدوار.
الإجراءات | الوصف |
---|---|
Microsoft.ElasticSan/elasticSans/* | |
Microsoft.ElasticSan/locations/* | |
Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
Microsoft.ElasticSan/locations/asyncoperations/read | يستقصي حالة عملية غير متزامنة. |
Microsoft.KubernetesConfiguration/extensions/write | إنشاء مورد ملحق أو تحديثه. |
Microsoft.KubernetesConfiguration/extensions/read | يحصل على مورد مثيل الملحق. |
Microsoft.KubernetesConfiguration/extensions/delete | حذف مورد مثيل الملحق. |
Microsoft.KubernetesConfiguration/extensions/operations/read | الحصول على حالة العملية غير المتزامنة. |
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Management/managementGroups/read | سرد مجموعات الإدارة للمستخدم المصادق عليه. |
Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء | |
إجراءات | |
Microsoft.Authorization/roleAssignments/write | إنشاء تعيين دور في النطاق المحدد. |
Microsoft.Authorization/roleAssignments/delete | حذف تعيين دور في النطاق المحدد. |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء | |
الشرط | |
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | إضافة تعيينات الأدوار للأدوار التالية أو إزالتها: عامل تشغيل Azure Container Storage |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
دور المساهم في Azure Kubernetes Fleet Manager
يمنح حق الوصول للقراءة/الكتابة إلى موارد Azure التي يوفرها Azure Kubernetes Fleet Manager، بما في ذلك الأساطيل وأعضاء الأسطول واستراتيجيات تحديث الأسطول وتشغيل تحديث الأسطول وما إلى ذلك.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerService/fleets/* | |
Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول التحكم في الوصول استنادا إلى الدور في Azure Kubernetes Fleet Manager
يمنح حق الوصول للقراءة/الكتابة إلى موارد Kubernetes داخل مساحة اسم في نظام مجموعة المركز المدار بواسطة الأسطول - يوفر أذونات الكتابة على معظم الكائنات داخل مساحة الاسم، باستثناء كائن ResourceQuota وكائن مساحة الاسم نفسه. سيؤدي تطبيق هذا الدور في نطاق نظام المجموعة إلى منح حق الوصول عبر جميع مساحات الأسماء.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.ContainerService/fleets/read | الحصول على الأسطول |
Microsoft.ContainerService/fleets/listCredentials/action | سرد بيانات اعتماد الأسطول |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerService/fleets/apps/controllerrevisions/read | قراءة عمليات التحكم |
Microsoft.ContainerService/fleets/apps/daemonsets/* | |
Microsoft.ContainerService/fleets/apps/deployments/* | |
Microsoft.ContainerService/fleets/apps/statefulsets/* | |
Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | يكتب localsubjectaccessreviews |
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
Microsoft.ContainerService/fleets/batch/cronjobs/* | |
Microsoft.ContainerService/fleets/batch/jobs/* | |
Microsoft.ContainerService/fleets/configmaps/* | |
Microsoft.ContainerService/fleets/endpoints/* | |
Microsoft.ContainerService/fleets/events.k8s.io/events/read | قراءة الأحداث |
Microsoft.ContainerService/fleets/events/read | قراءة الأحداث |
Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
Microsoft.ContainerService/fleets/extensions/deployments/* | |
Microsoft.ContainerService/fleets/extensions/ingresses/* | |
Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
Microsoft.ContainerService/fleets/limitranges/read | حدود القراءة |
Microsoft.ContainerService/fleets/namespaces/read | قراءة مساحات الأسماء |
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/resourcequotas/read | يقرأ resourcequotas |
Microsoft.ContainerService/fleets/secrets/* | |
Microsoft.ContainerService/fleets/serviceaccounts/* | |
Microsoft.ContainerService/fleets/services/* | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مسؤول مجموعة التحكم في الوصول استنادا إلى الدور في Azure Kubernetes Fleet Manager
يمنح حق الوصول للقراءة/الكتابة إلى جميع موارد Kubernetes في نظام مجموعة المركز المدار بواسطة الأسطول.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.ContainerService/fleets/read | الحصول على الأسطول |
Microsoft.ContainerService/fleets/listCredentials/action | سرد بيانات اعتماد الأسطول |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerService/fleets/* | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
قارئ التحكم في الوصول استنادا إلى الدور في Azure Kubernetes Fleet Manager
يمنح حق الوصول للقراءة فقط إلى معظم موارد Kubernetes داخل مساحة اسم في نظام مجموعة المركز المدار بواسطة الأسطول. لا يسمح بعرض الأدوار أو روابط الأدوار. لا يسمح هذا الدور بعرض الأسرار، نظرا لأن قراءة محتويات الأسرار تمكن الوصول إلى بيانات اعتماد ServiceAccount في مساحة الاسم، والتي من شأنها أن تسمح بالوصول إلى واجهة برمجة التطبيقات كأي ServiceAccount في مساحة الاسم (شكل من أشكال تصعيد الامتيازات). سيؤدي تطبيق هذا الدور في نطاق نظام المجموعة إلى منح حق الوصول عبر جميع مساحات الأسماء.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.ContainerService/fleets/read | الحصول على الأسطول |
Microsoft.ContainerService/fleets/listCredentials/action | سرد بيانات اعتماد الأسطول |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerService/fleets/apps/controllerrevisions/read | قراءة عمليات التحكم |
Microsoft.ContainerService/fleets/apps/daemonsets/read | يقرأ daemonsets |
Microsoft.ContainerService/fleets/apps/deployments/read | قراءة عمليات النشر |
Microsoft.ContainerService/fleets/apps/statefulsets/read | يقرأ statefulsets |
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | قراءة تحجيمات البودات الأفقية |
Microsoft.ContainerService/fleets/batch/cronjobs/read | يقرأ cronjobs |
Microsoft.ContainerService/fleets/batch/jobs/read | قراءة المهام |
Microsoft.ContainerService/fleets/configmaps/read | يقرأ configmaps |
Microsoft.ContainerService/fleets/endpoints/read | قراءة نقاط النهاية |
Microsoft.ContainerService/fleets/events.k8s.io/events/read | قراءة الأحداث |
Microsoft.ContainerService/fleets/events/read | قراءة الأحداث |
Microsoft.ContainerService/fleets/extensions/daemonsets/read | يقرأ daemonsets |
Microsoft.ContainerService/fleets/extensions/deployments/read | قراءة عمليات النشر |
Microsoft.ContainerService/fleets/extensions/ingresses/read | قراءات الدخول |
Microsoft.ContainerService/fleets/extensions/networkpolicies/read | قراءة نهج الشبكة |
Microsoft.ContainerService/fleets/limitranges/read | حدود القراءة |
Microsoft.ContainerService/fleets/namespaces/read | قراءة مساحات الأسماء |
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | قراءات الدخول |
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | قراءة نهج الشبكة |
Microsoft.ContainerService/fleets/persistentvolumeclaims/read | قراءة المطالبات المستمرة |
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | يقرأ poddisruptionbudgets |
Microsoft.ContainerService/fleets/replicationcontrollers/read | قراءة متحكمات النسخ المتماثل |
Microsoft.ContainerService/fleets/replicationcontrollers/read | قراءة متحكمات النسخ المتماثل |
Microsoft.ContainerService/fleets/resourcequotas/read | يقرأ resourcequotas |
Microsoft.ContainerService/fleets/serviceaccounts/read | قراءة حسابات الخدمة |
Microsoft.ContainerService/fleets/services/read | قراءة الخدمات |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC Writer
يمنح حق الوصول للقراءة/الكتابة إلى معظم موارد Kubernetes داخل مساحة اسم في نظام مجموعة المركز المدار بواسطة الأسطول. لا يسمح هذا الدور بعرض الأدوار أو روابط الأدوار أو تعديلها. ومع ذلك، يسمح هذا الدور بالوصول إلى الأسرار كأي ServiceAccount في مساحة الاسم، بحيث يمكن استخدامه للحصول على مستويات الوصول إلى واجهة برمجة التطبيقات لأي ServiceAccount في مساحة الاسم. سيؤدي تطبيق هذا الدور في نطاق نظام المجموعة إلى منح حق الوصول عبر جميع مساحات الأسماء.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.ContainerService/fleets/read | الحصول على الأسطول |
Microsoft.ContainerService/fleets/listCredentials/action | سرد بيانات اعتماد الأسطول |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerService/fleets/apps/controllerrevisions/read | قراءة عمليات التحكم |
Microsoft.ContainerService/fleets/apps/daemonsets/* | |
Microsoft.ContainerService/fleets/apps/deployments/* | |
Microsoft.ContainerService/fleets/apps/statefulsets/* | |
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
Microsoft.ContainerService/fleets/batch/cronjobs/* | |
Microsoft.ContainerService/fleets/batch/jobs/* | |
Microsoft.ContainerService/fleets/configmaps/* | |
Microsoft.ContainerService/fleets/endpoints/* | |
Microsoft.ContainerService/fleets/events.k8s.io/events/read | قراءة الأحداث |
Microsoft.ContainerService/fleets/events/read | قراءة الأحداث |
Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
Microsoft.ContainerService/fleets/extensions/deployments/* | |
Microsoft.ContainerService/fleets/extensions/ingresses/* | |
Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
Microsoft.ContainerService/fleets/limitranges/read | حدود القراءة |
Microsoft.ContainerService/fleets/namespaces/read | قراءة مساحات الأسماء |
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/resourcequotas/read | يقرأ resourcequotas |
Microsoft.ContainerService/fleets/secrets/* | |
Microsoft.ContainerService/fleets/serviceaccounts/* | |
Microsoft.ContainerService/fleets/services/* | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
دور مسؤول نظام مجموعة Azure Kubernetes Service Arc
سرد إجراء بيانات اعتماد مسؤول نظام المجموعة.
الإجراءات | الوصف |
---|---|
Microsoft.HybridContainerService/provisionedClusterInstances/read | يحصل على مثيلات نظام المجموعة المختلطة التي تم توفيرها من AKS المقترنة بالمجموعة المتصلة |
Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | يسرد بيانات اعتماد المسؤول لمثيل نظام المجموعة المتوفر المستخدم فقط في الوضع المباشر. |
Microsoft.Kubernetes/connectedClusters/Read | قراءة connectedClusters |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
دور مستخدم نظام مجموعة Azure Kubernetes Service Arc
سرد إجراء بيانات اعتماد مستخدم نظام المجموعة.
الإجراءات | الوصف |
---|---|
Microsoft.HybridContainerService/provisionedClusterInstances/read | يحصل على مثيلات نظام المجموعة المختلطة التي تم توفيرها من AKS المقترنة بالمجموعة المتصلة |
Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | يسرد بيانات اعتماد مستخدم AAD لمثيل نظام المجموعة المتوفر المستخدم فقط في الوضع المباشر. |
Microsoft.Kubernetes/connectedClusters/Read | قراءة connectedClusters |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
دور المساهم في Azure Kubernetes Service Arc
منح حق الوصول لقراءة وكتابة المجموعات المختلطة لخدمات Azure Kubernetes
الإجراءات | الوصف |
---|---|
Microsoft.HybridContainerService/Locations/operationStatuses/read | قراءة إحصائيات العمليات |
Microsoft.HybridContainerService/Operations/read | قراءة العمليات |
Microsoft.HybridContainerService/kubernetesVersions/read | يسرد إصدارات kubernetes المدعومة من الموقع المخصص الأساسي |
Microsoft.HybridContainerService/kubernetesVersions/write | يضع نوع مورد إصدار kubernetes |
Microsoft.HybridContainerService/kubernetesVersions/delete | حذف نوع مورد إصدارات kubernetes |
Microsoft.HybridContainerService/provisionedClusterInstances/read | يحصل على مثيلات نظام المجموعة المختلطة التي تم توفيرها من AKS المقترنة بالمجموعة المتصلة |
Microsoft.HybridContainerService/provisionedClusterInstances/write | إنشاء مثيل نظام المجموعة المختلط الذي تم توفيره ل AKS |
Microsoft.HybridContainerService/provisionedClusterInstances/delete | حذف مثيل نظام المجموعة المختلط الذي تم توفيره ل AKS |
Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | يحصل على تجمعات الوكلاء في مثيل نظام المجموعة المختلط الذي تم توفيره ل AKS |
Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | تحديث تجمع العامل في مثيل نظام المجموعة المختلط الذي تم توفيره ل AKS |
Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete | حذف تجمع العامل في مثيل نظام المجموعة المختلط الذي تم توفيره ل AKS |
Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | قراءة ملفات تعريف الترقية |
Microsoft.HybridContainerService/skus/read | يسرد وحدات SKU للأجهزة الظاهرية المدعومة من الموقع المخصص الأساسي |
Microsoft.HybridContainerService/skus/write | يضع نوع مورد وحدات SKU للجهاز الظاهري |
Microsoft.HybridContainerService/skus/delete | حذف نوع مورد Vm Sku |
Microsoft.HybridContainerService/virtualNetworks/read | يسرد شبكات AKS الظاهرية المختلطة حسب الاشتراك |
Microsoft.HybridContainerService/virtualNetworks/write | تصحيح شبكة AKS الظاهرية المختلطة |
Microsoft.HybridContainerService/virtualNetworks/delete | حذف شبكة AKS الظاهرية المختلطة |
Microsoft.ExtendedLocation/customLocations/deploy/action | نشر الأذونات إلى مورد "الموقع المخصص" |
Microsoft.ExtendedLocation/customLocations/read | الحصول على مورد موقع مخصص |
Microsoft.Kubernetes/connectedClusters/Read | قراءة connectedClusters |
Microsoft.Kubernetes/connectedClusters/Write | كتابة connectedClusters |
Microsoft.Kubernetes/connectedClusters/Delete | حذف connectedClusters |
Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | قائمة بيانات اعتماد مستخدم نظام المجموعة |
Microsoft.AzureStackHCI/clusters/read | الحصول على مجموعات |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
دور مسؤول نظام مجموعة خدمة Azure Kubernetes
سرد إجراء بيانات اعتماد مسؤول نظام المجموعة.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | سرد بيانات اعتماد clusterAdmin لنظام مجموعة مدارة |
Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | الحصول على ملف تعريف الوصول إلى نظام المجموعة المدار حسب اسم الدور باستخدام بيانات اعتماد القائمة |
Microsoft.ContainerService/managedClusters/read | الحصول على مجموعة مدارة |
Microsoft.ContainerService/managedClusters/runcommand/action | تشغيل الأمر الصادر عن المستخدم مقابل خادم kubernetes المدار. |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مستخدم مراقبة نظام مجموعة خدمة Azure Kubernetes
سرد إجراء بيانات اعتماد المستخدم لمراقبة نظام المجموعة.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | سرد بيانات اعتماد clusterMonitoringUser لنظام مجموعة مدارة |
Microsoft.ContainerService/managedClusters/read | الحصول على مجموعة مدارة |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
دور مستخدم نظام مجموعة خدمة Azure Kubernetes
سرد إجراء بيانات اعتماد مستخدم نظام المجموعة.
الإجراءات | الوصف |
---|---|
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | سرد بيانات اعتماد clusterUser لنظام مجموعة مدارة |
Microsoft.ContainerService/managedClusters/read | الحصول على مجموعة مدارة |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
دور المساهم في خدمة Azure Kubernetes
منح حق الوصول لقراءة وكتابة مجموعات خدمة Azure Kubernetes
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.ContainerService/locations/* | قراءة المواقع المتوفرة لموارد ContainerService |
Microsoft.ContainerService/managedClusters/* | إنشاء مجموعة مدارة وإدارتها |
Microsoft.ContainerService/managedclustersnapshots/* | إنشاء لقطة نظام مجموعة مدارة وإدارتها |
Microsoft.ContainerService/snapshots/* | إنشاء لقطة وإدارتها |
Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC Admin
يتيح لك إدارة جميع الموارد ضمن مجموعة/مساحة الاسم، باستثناء تحديث أو حذف حصص الموارد ومساحات الأسماء.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | سرد بيانات اعتماد clusterUser لنظام مجموعة مدارة |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerService/managedClusters/* | |
NotDataActions | |
Microsoft.ContainerService/managedClusters/resourcequotas/write | يكتب resourcequotas |
Microsoft.ContainerService/managedClusters/resourcequotas/delete | حذف resourcequotas |
Microsoft.ContainerService/managedClusters/namespaces/write | كتابة مساحات الأسماء |
Microsoft.ContainerService/managedClusters/namespaces/delete | حذف مساحات الأسماء |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC Cluster Admin
يتيح لك إدارة جميع الموارد في نظام المجموعة.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | سرد بيانات اعتماد clusterUser لنظام مجموعة مدارة |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerService/managedClusters/* | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
قارئ RBAC لخدمة Azure Kubernetes
يسمح بالوصول للقراءة فقط لرؤية معظم العناصر في مساحة الاسم. لا يسمح بعرض الأدوار أو روابط الأدوار. لا يسمح هذا الدور بعرض الأسرار، نظرا لأن قراءة محتويات الأسرار تمكن الوصول إلى بيانات اعتماد ServiceAccount في مساحة الاسم، والتي من شأنها أن تسمح بالوصول إلى واجهة برمجة التطبيقات كأي ServiceAccount في مساحة الاسم (شكل من أشكال تصعيد الامتيازات). سيؤدي تطبيق هذا الدور في نطاق نظام المجموعة إلى منح حق الوصول عبر جميع مساحات الأسماء.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | قراءة عمليات التحكم |
Microsoft.ContainerService/managedClusters/apps/daemonsets/read | يقرأ daemonsets |
Microsoft.ContainerService/managedClusters/apps/deployments/read | قراءة عمليات النشر |
Microsoft.ContainerService/managedClusters/apps/replicasets/read | قراءة مجموعات النسخ المتماثلة |
Microsoft.ContainerService/managedClusters/apps/statefulsets/read | يقرأ statefulsets |
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | قراءة تحجيمات البودات الأفقية |
Microsoft.ContainerService/managedClusters/batch/cronjobs/read | يقرأ cronjobs |
Microsoft.ContainerService/managedClusters/batch/jobs/read | قراءة المهام |
Microsoft.ContainerService/managedClusters/configmaps/read | يقرأ configmaps |
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | قراءة نقاط النهاية |
Microsoft.ContainerService/managedClusters/endpoints/read | قراءة نقاط النهاية |
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | قراءة الأحداث |
Microsoft.ContainerService/managedClusters/events/read | قراءة الأحداث |
Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | يقرأ daemonsets |
Microsoft.ContainerService/managedClusters/extensions/deployments/read | قراءة عمليات النشر |
Microsoft.ContainerService/managedClusters/extensions/ingresses/read | قراءات الدخول |
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | قراءة نهج الشبكة |
Microsoft.ContainerService/managedClusters/extensions/replicasets/read | قراءة مجموعات النسخ المتماثلة |
Microsoft.ContainerService/managedClusters/limitranges/read | حدود القراءة |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | قراءة الحجيرات |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | قراءة العقد |
Microsoft.ContainerService/managedClusters/namespaces/read | قراءة مساحات الأسماء |
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | قراءات الدخول |
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | قراءة نهج الشبكة |
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | قراءة المطالبات المستمرة |
Microsoft.ContainerService/managedClusters/pods/read | قراءة الحجيرات |
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | يقرأ poddisruptionbudgets |
Microsoft.ContainerService/managedClusters/replicationcontrollers/read | قراءة متحكمات النسخ المتماثل |
Microsoft.ContainerService/managedClusters/resourcequotas/read | يقرأ resourcequotas |
Microsoft.ContainerService/managedClusters/serviceaccounts/read | قراءة حسابات الخدمة |
Microsoft.ContainerService/managedClusters/services/read | قراءة الخدمات |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
كاتب RBAC لخدمة Azure Kubernetes
يسمح بالوصول للقراءة/الكتابة إلى معظم العناصر في مساحة الاسم. لا يسمح هذا الدور بعرض الأدوار أو روابط الأدوار أو تعديلها. ومع ذلك، يسمح هذا الدور بالوصول إلى الأسرار وتشغيل Pods كأي ServiceAccount في مساحة الاسم، بحيث يمكن استخدامه للحصول على مستويات الوصول إلى واجهة برمجة التطبيقات لأي ServiceAccount في مساحة الاسم. سيؤدي تطبيق هذا الدور في نطاق نظام المجموعة إلى منح حق الوصول عبر جميع مساحات الأسماء.
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
NotActions | |
لا شيء | |
عمليات البيانات | |
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | قراءة عمليات التحكم |
Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
Microsoft.ContainerService/managedClusters/apps/deployments/* | |
Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | قراءة عقود الإيجار |
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | كتابة عقود الإيجار |
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | حذف عقود الإيجار |
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | قراءة نقاط النهاية |
Microsoft.ContainerService/managedClusters/batch/jobs/* | |
Microsoft.ContainerService/managedClusters/configmaps/* | |
Microsoft.ContainerService/managedClusters/endpoints/* | |
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | قراءة الأحداث |
Microsoft.ContainerService/managedClusters/events/* | |
Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
Microsoft.ContainerService/managedClusters/limitranges/read | حدود القراءة |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | قراءة الحجيرات |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | قراءة العقد |
Microsoft.ContainerService/managedClusters/namespaces/read | قراءة مساحات الأسماء |
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
Microsoft.ContainerService/managedClusters/pods/* | |
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
Microsoft.ContainerService/managedClusters/resourcequotas/read | يقرأ resourcequotas |
Microsoft.ContainerService/managedClusters/secrets/* | |
Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
Microsoft.ContainerService/managedClusters/services/* | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
قارئ التحقق من الهوية المدارة لنظام المجموعة المتصل
الدور المضمن الذي يسمح للهوية المدارة لنظام المجموعة المتصلة باستدعاء واجهة برمجة تطبيقات checkAccess
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
عامل تشغيل Kubernetes بدون عامل
منح Microsoft Defender للسحابة حق الوصول إلى خدمات Azure Kubernetes
الإجراءات | الوصف |
---|---|
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | إنشاء روابط دور الوصول الموثوق بها للمجموعة المدارة أو تحديثها |
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | الحصول على روابط دور الوصول الموثوق بها للمجموعة المدارة |
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | حذف روابط دور الوصول الموثوق بها لنظام المجموعة المدارة |
Microsoft.ContainerService/managedClusters/read | الحصول على مجموعة مدارة |
Microsoft.Features/features/read | الحصول على ميزات الاشتراك. |
Microsoft.Features/providers/features/read | الحصول على ميزة الاشتراك في موفر موارد معين. |
Microsoft.Features/providers/features/register/action | تسجيل الميزة للاشتراك في موفر موارد معين. |
Microsoft.Security/pricings/securityoperators/read | الحصول على عوامل تشغيل الأمان للنطاق |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
نظام مجموعة Kubernetes - إلحاق Azure Arc
تعريف الدور لتخويل أي مستخدم/خدمة لإنشاء مورد connectedClusters
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
Microsoft.Resources/deployments/write | إنشاء عملية نشر أو تحديثها. |
Microsoft.Resources/subscriptions/operationresults/read | الحصول على نتائج عملية الاشتراك. |
Microsoft.Resources/subscriptions/read | الحصول على قائمة الاشتراكات. |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.Kubernetes/connectedClusters/Write | كتابة connectedClusters |
Microsoft.Kubernetes/connectedClusters/read | قراءة connectedClusters |
دعم Microsoft/* | إنشاء بطاقة دعم وتحديثها |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
مساهم ملحق Kubernetes
يمكنه إنشاء ملحقات Kubernetes وتحديثها والحصول عليها وإدراجها وحذفها والحصول على عمليات الامتداد غير المتزامنة
الإجراءات | الوصف |
---|---|
Microsoft.Authorization/*/read | قراءة الأدوار وتعيينات الأدوار |
Microsoft.Insights/alertRules/* | إنشاء تنبيه قياسي كلاسيكي وإدارته |
Microsoft.Resources/deployments/* | إنشاء وإدارة النشر |
Microsoft.Resources/subscriptions/resourceGroups/read | الحصول على مجموعات الموارد أو سردها. |
Microsoft.KubernetesConfiguration/extensions/write | إنشاء مورد ملحق أو تحديثه. |
Microsoft.KubernetesConfiguration/extensions/read | يحصل على مورد مثيل الملحق. |
Microsoft.KubernetesConfiguration/extensions/delete | حذف مورد مثيل الملحق. |
Microsoft.KubernetesConfiguration/extensions/operations/read | الحصول على حالة العملية غير المتزامنة. |
NotActions | |
لا شيء | |
عمليات البيانات | |
لا شيء | |
NotDataActions | |
لا شيء |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}