Předdefinované role Azure pro kontejnery
Tento článek obsahuje seznam předdefinovaných rolí Azure v kategorii Kontejnery.
AcrDelete
Odstraňte úložiště, značky nebo manifesty z registru kontejneru.
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registry/artifacts/delete | Odstranění artefaktu v registru kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Nasdílení důvěryhodných imagí nebo vyžádání důvěryhodných imagí z registru kontejneru s povoleným vztahem důvěryhodnosti obsahu
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registry/sign/write | Metadata důvěryhodnosti obsahu push/pull pro registr kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registryies/trustedCollections/write | Povolí nabízení nebo publikování důvěryhodných kolekcí obsahu registru kontejneru. Podobá se akci Microsoft.ContainerRegistry/registry/sign/write s tím rozdílem, že se jedná o akci dat. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
Načtení artefaktů z registru kontejneru
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/pull/read | Načtení nebo získání imagí z registru kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
Nasdíleníartefaktch
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/pull/read | Načtení nebo získání imagí z registru kontejneru |
| Microsoft.ContainerRegistry/registryies/push/write | Nasdílení nebo zápis imagí do registru kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Načtení imagí v karanténě z registru kontejneru
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/quarantine/read | Načtení nebo získání imagí v karanténě z registru kontejneru |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registryies/quarantinedArtifacts/read | Povolí vyžádání nebo získání artefaktů v karanténě z registru kontejneru. Podobá se tomu Microsoft.ContainerRegistry/registryies/quarantine/read s tím rozdílem, že se jedná o akci dat. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
ZapisovatelDatKarantényACR
Nasdílení změn imagí v karanténě nebo jejich vyžádání z registru kontejneru
| Akce | Popis |
|---|---|
| Microsoft.ContainerRegistry/registryies/quarantine/read | Načtení nebo získání imagí v karanténě z registru kontejneru |
| Microsoft.ContainerRegistry/registry/quarantine/write | Zápis/úprava stavu karantény obrázků v karanténě |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerRegistry/registryies/quarantinedArtifacts/read | Povolí vyžádání nebo získání artefaktů v karanténě z registru kontejneru. Podobá se tomu Microsoft.ContainerRegistry/registryies/quarantine/read s tím rozdílem, že se jedná o akci dat. |
| Microsoft.ContainerRegistry/registryies/quarantinedArtifacts/write | Umožňuje zapisovat nebo aktualizovat stav karantény artefaktů v karanténě. To se podobá akci Microsoft.ContainerRegistry/registryies/quarantine/write s tím rozdílem, že se jedná o akci dat. |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role uživatele clusteru Kubernetes s podporou Azure Arc
Vypsat akci přihlašovacích údajů uživatele clusteru
| Akce | Popis |
|---|---|
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | Výpis přihlašovacích údajů uživatele clusteru (Preview) |
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Výpis přihlašovacích údajů uživatele clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správa Kubernetes Azure Arc
Umožňuje spravovat všechny prostředky v rámci clusteru nebo oboru názvů s výjimkou aktualizací nebo odstranění kvót prostředků a oborů názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje localsubjectaccessreviews |
| Microsoft.Kubernetes/connectedClusters/autoscale/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Omezení čtení |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cluster Azure Arc Kubernetes Správa
Umožňuje spravovat všechny prostředky v clusteru.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Prohlížeč Kubernetes Azure Arc
Umožňuje zobrazit všechny prostředky v clusteru nebo oboru názvů s výjimkou tajných kódů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | Čtení démonů |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | Čtení nasazení |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | Čtení sad replik |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | Čtení stavových sad |
| Microsoft.Kubernetes/connectedClusters/autoscale/horizontalpodautoscalers/read | Čtení horizontalpodautoscalers |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | Čtení cronjobs |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | Čtení úloh |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | Čtení konfiguračních map |
| Microsoft.Kubernetes/connectedClusters/endpoints/read | Čtení koncových bodů |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | Čtení démonů |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | Čtení nasazení |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | Čtení síťových zásad |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | Čtení sad replik |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Omezení čtení |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Čtení síťových zásad |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | Reads persistentvolumeclaims |
| Microsoft.Kubernetes/connectedClusters/pods/read | Čtení podů |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Čtení poddisruptionbudgets |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | Čtení účtů služby |
| Microsoft.Kubernetes/connectedClusters/services/read | Služby čtení |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes Writer
Umožňuje aktualizovat všechno v clusteru nebo oboru názvů s výjimkou vazeb rolí (clusteru) a (clusteru).
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/autoscale/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/events/read | Čte události. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Omezení čtení |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role přispěvatele Správce flotily Azure Kubernetes
Uděluje přístup pro čtení a zápis k prostředkům Azure, které poskytuje Azure Kubernetes Fleet Manager, včetně vozového parku, členů vozového parku, strategií aktualizací vozového parku, spuštění aktualizací vozového parku atd.
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správa RBAC v Azure Kubernetes Fleet Manageru
Uděluje přístup pro čtení a zápis k prostředkům Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem – poskytuje oprávnění k zápisu u většiny objektů v rámci oboru názvů, s výjimkou objektu ResourceQuota a samotného objektu oboru názvů. Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/fleets/read | Získání flotily |
| Microsoft.ContainerService/fleets/listCredentials/action | Výpis přihlašovacích údajů pro flotilu |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje localsubjectaccessreviews |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/fleets/events/read | Čte události. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/fleets/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cluster RBAC v Azure Kubernetes Fleet Manageru Správa
Uděluje přístup pro čtení a zápis ke všem prostředkům Kubernetes v clusteru centra spravovaného vozovým parkem.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/fleets/read | Získání flotily |
| Microsoft.ContainerService/fleets/listCredentials/action | Výpis přihlašovacích údajů pro flotilu |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář RBAC v Azure Kubernetes Fleet Manageru
Uděluje přístup jen pro čtení k většině prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Nepovoluje zobrazování rolí nebo vazeb rolí. Tato role neumožňuje zobrazování tajných kódů, protože čtení obsahu tajných kódů umožňuje přístup k přihlašovacím údajům ServiceAccount v oboru názvů, což by umožnilo přístup rozhraní API jako jakýkoli účet ServiceAccount v oboru názvů (forma eskalace oprávnění). Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/fleets/read | Získání flotily |
| Microsoft.ContainerService/fleets/listCredentials/action | Výpis přihlašovacích údajů pro flotilu |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/fleets/apps/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Čtení stavových sad |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Čtení horizontalpodautoscalers |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Čtení cronjobs |
| Microsoft.ContainerService/fleets/batch/jobs/read | Čtení úloh |
| Microsoft.ContainerService/fleets/configmaps/read | Čtení konfiguračních map |
| Microsoft.ContainerService/fleets/endpoints/read | Čtení koncových bodů |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/fleets/events/read | Čte události. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/fleets/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/fleets/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Reads persistentvolumeclaims |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Čtení poddisruptionbudgets |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.ContainerService/fleets/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Čtení účtů služby |
| Microsoft.ContainerService/fleets/services/read | Služby čtení |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager – zapisovač RBAC
Uděluje přístup pro čtení a zápis pro většinu prostředků Kubernetes v rámci oboru názvů v clusteru centra spravovaného vozovým parkem. Tato role neumožňuje zobrazení nebo úpravu rolí nebo vazeb rolí. Tato role však umožňuje přístup k tajným kódům jako jakémukoli účtu Služby v oboru názvů, takže ho můžete použít k získání úrovní přístupu rozhraní API libovolného účtu ServiceAccount v oboru názvů. Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/fleets/read | Získání flotily |
| Microsoft.ContainerService/fleets/listCredentials/action | Výpis přihlašovacích údajů pro flotilu |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/fleets/events/read | Čte události. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/fleets/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role clusteru Azure Kubernetes Service Správa
Vypsat akci přihlašovacích údajů správce clusteru
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/managedClusters/listCluster Správa Credential/action | Výpis přihlašovacích údajů clusteru Správa spravovaného clusteru |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Získání profilu přístupu ke spravovanému clusteru podle názvu role pomocí přihlašovacích údajů seznamu |
| Microsoft.ContainerService/managedClusters/read | Získání spravovaného clusteru |
| Microsoft.ContainerService/managedClusters/runcommand/action | Spuštění příkazu vydaného uživatelem na spravovaném serveru Kubernetes |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Uživatel monitorování clusteru Azure Kubernetes Service
Zobrazení seznamu akcí monitorování přihlašovacích údajů uživatele monitorování clusteru
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Výpis přihlašovacích údajů clusterMonitoringUser spravovaného clusteru |
| Microsoft.ContainerService/managedClusters/read | Získání spravovaného clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role uživatele clusteru Azure Kubernetes Service
Zobrazí seznam akcí přihlašovacích údajů uživatele clusteru.
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Výpis přihlašovacích údajů uživatele clusteru spravovaného clusteru |
| Microsoft.ContainerService/managedClusters/read | Získání spravovaného clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Role přispěvatele služby Azure Kubernetes
Uděluje přístup ke clusterům Azure Kubernetes Service pro čtení a zápis.
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/managedClusters/read | Získání spravovaného clusteru |
| Microsoft.ContainerService/managedClusters/write | Vytvoří nový spravovaný cluster nebo aktualizuje existující cluster. |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/write",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Správa RBAC služby Azure Kubernetes Service
Umožňuje spravovat všechny prostředky v rámci clusteru nebo oboru názvů s výjimkou aktualizací nebo odstranění kvót prostředků a oborů názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Výpis přihlašovacích údajů uživatele clusteru spravovaného clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | Zapisuje prostředkyquotas. |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | Odstraní prostředekquotas. |
| Microsoft.ContainerService/managedClusters/namespaces/write | Zapisuje obory názvů. |
| Microsoft.ContainerService/managedClusters/namespaces/delete | Odstraní obory názvů. |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cluster RBAC služby Azure Kubernetes Service Správa
Umožňuje spravovat všechny prostředky v clusteru.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Výpis přihlašovacích údajů uživatele clusteru spravovaného clusteru |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Čtenář RBAC služby Azure Kubernetes Service
Umožňuje přístup jen pro čtení k zobrazení většiny objektů v oboru názvů. Nepovoluje zobrazování rolí nebo vazeb rolí. Tato role neumožňuje zobrazování tajných kódů, protože čtení obsahu tajných kódů umožňuje přístup k přihlašovacím údajům ServiceAccount v oboru názvů, což by umožnilo přístup rozhraní API jako jakýkoli účet ServiceAccount v oboru názvů (forma eskalace oprávnění). Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | Čtení sad replik |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Čtení stavových sad |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Čtení horizontalpodautoscalers |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | Čtení cronjobs |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | Čtení úloh |
| Microsoft.ContainerService/managedClusters/configmaps/read | Čtení konfiguračních map |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Čtení koncových bodů |
| Microsoft.ContainerService/managedClusters/endpoints/read | Čtení koncových bodů |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/managedClusters/events/read | Čte události. |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | Čtení démonů |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | Čtení nasazení |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Čtení sad replik |
| Microsoft.ContainerService/managedClusters/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Čtení podů |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Čtení uzlů |
| Microsoft.ContainerService/managedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Čtení příchozího přenosu dat |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Čtení síťových zásad |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | Reads persistentvolumeclaims |
| Microsoft.ContainerService/managedClusters/pods/read | Čtení podů |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Čtení poddisruptionbudgets |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Reads replicationcontrollers |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | Čtení účtů služby |
| Microsoft.ContainerService/managedClusters/services/read | Služby čtení |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC Writer
Umožňuje přístup pro čtení a zápis k většině objektů v oboru názvů. Tato role neumožňuje zobrazení nebo úpravu rolí nebo vazeb rolí. Tato role ale umožňuje přístup k tajným kódům a spouštění podů jako jakýkoli účet ServiceAccount v oboru názvů, takže se dá použít k získání úrovní přístupu rozhraní API libovolného účtu ServiceAccount v oboru názvů. Použití této role v oboru clusteru poskytne přístup napříč všemi obory názvů.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| NotActions | |
| žádné | |
| Akce dat | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Čtení kontroleru |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscale/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | Čtení zapůjčení |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | Zápis zapůjčení |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | Odstraní zapůjčení. |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Čtení koncových bodů |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Čte události. |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | Omezení čtení |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Čtení podů |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Čtení uzlů |
| Microsoft.ContainerService/managedClusters/namespaces/read | Čtení oborů názvů |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Přečte zdrojquotas. |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operátor Kubernetes Agentless
Uděluje Microsoft Defenderu pro cloud přístup ke službám Azure Kubernetes Services.
| Akce | Popis |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | Vytvoření nebo aktualizace vazeb rolí důvěryhodného přístupu pro spravovaný cluster |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | Získání vazeb role důvěryhodného přístupu pro spravovaný cluster |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | Odstranění vazeb rolí důvěryhodného přístupu pro spravovaný cluster |
| Microsoft.ContainerService/managedClusters/read | Získání spravovaného clusteru |
| Microsoft.Features/features/read | Získá funkce předplatného. |
| Microsoft.Features/providers/features/read | Získá funkci předplatného v daném poskytovateli prostředků. |
| Microsoft.Features/providers/features/register/action | Zaregistruje funkci pro předplatné v daném poskytovateli prostředků. |
| Microsoft.Security/pricings/securityoperators/read | Získá operátory zabezpečení pro obor. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cluster Kubernetes – Onboarding Azure Arc
Definice role k autorizaci libovolného uživatele nebo služby k vytvoření připojeného prostředkuClusters
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/write | Vytvoří nebo aktualizuje nasazení. |
| Microsoft.Resources/subscriptions/operationresults/read | Získejte výsledky operace předplatného. |
| Microsoft.Resources/subscriptions/read | Získá seznam předplatných. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.Kubernetes/connectedClusters/Write | Zápisy connectedClusters |
| Microsoft.Kubernetes/connectedClusters/read | Čtení connectedClusters |
| Microsoft.Support/* | Vytvoření a aktualizace lístku podpory |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Přispěvatel rozšíření Kubernetes
Může vytvářet, aktualizovat, získat, vypsat a odstranit rozšíření Kubernetes Extensions a získat asynchronní operace rozšíření.
| Akce | Popis |
|---|---|
| Microsoft.Authorization/*/read | Čtení rolí a přiřazení rolí |
| Microsoft. Přehledy/upozornění/* | Vytvoření a správa klasického upozornění na metriky |
| Microsoft.Resources/deployments/* | Vytvoření a správa nasazení |
| Microsoft.Resources/subscriptions/resourceGroups/read | Získá nebo zobrazí seznam skupin prostředků. |
| Microsoft.KubernetesConfiguration/extensions/write | Vytvoří nebo aktualizuje prostředek rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/read | Získá prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/delete | Odstraní prostředek instance rozšíření. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Získá stav asynchronní operace. |
| NotActions | |
| žádné | |
| Akce dat | |
| žádné | |
| NotDataActions | |
| žádné |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}