Share via

Ruoli predefiniti di Azure per contenitori

  • Articolo

Questo articolo elenca i ruoli predefiniti di Azure nella categoria Contenitori.

AcrDelete

Consente di eliminare repository, tag o manifesti da un registro contenitori.

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerRegistry/registries/artifacts/delete Elimina l'artefatto in un registro contenitori.
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr delete",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
  "name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/artifacts/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrDelete",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrImageSigner

Consente di eseguire il push o il pull di immagini attendibili da un registro contenitori abilitato per l'attendibilità del contenuto.

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerRegistry/registries/sign/write Eseguire il push/pull di metadati considerati attendibili per un registro contenitori.
NotActions
none
DataActions
Microsoft.ContainerRegistry/registries/trustedCollections/write Consente il push o la pubblicazione di raccolte attendibili di contenuto del registro contenitori. Si tratta di un'azione simile a Microsoft.ContainerRegistry/registries/sign/write, ad eccezione del fatto che si tratta di un'azione sui dati
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr image signer",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
  "name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/sign/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/trustedCollections/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrImageSigner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrPull

Consente di eseguire il pull di artefatti da un registro contenitori.

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerRegistry/registries/pull/read Eseguire il pull o ottenere immagini da un registro contenitori.
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr pull",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
  "name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/pull/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrPull",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrPush

Consente di eseguire il push o il pull di artefatti da o verso un registro contenitori.

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerRegistry/registries/pull/read Eseguire il pull o ottenere immagini da un registro contenitori.
Microsoft.ContainerRegistry/registries/push/write Eseguire il push o scrivere immagini in un registro contenitori.
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr push",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
  "name": "8311e382-0749-4cb8-b61a-304f252e45ec",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/pull/read",
        "Microsoft.ContainerRegistry/registries/push/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "AcrPush",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrQuarantineReader

Consente di eseguire il pull di immagini in quarantena da un registro contenitori.

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerRegistry/registries/quarantine/read Eseguire il pull o ottenere immagini in quarantena da un registro contenitori
NotActions
none
DataActions
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read Consente di eseguire il pull o ottenere gli artefatti in quarantena dal registro contenitori. Questo comportamento è simile a Microsoft.ContainerRegistry/registries/quarantine/read, ad eccezione del fatto che si tratta di un'azione sui dati
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr quarantine data reader",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
  "name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/quarantine/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrQuarantineReader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

AcrQuarantineWriter

Consente di eseguire il push o il pull di immagini in quarantena da o verso un registro contenitori.

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerRegistry/registries/quarantine/read Eseguire il pull o ottenere immagini in quarantena da un registro contenitori
Microsoft.ContainerRegistry/registries/quarantine/write Scrivere/modificare lo stato di quarantena di immagini in quarantena
NotActions
none
DataActions
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read Consente di eseguire il pull o ottenere gli artefatti in quarantena dal registro contenitori. Questo comportamento è simile a Microsoft.ContainerRegistry/registries/quarantine/read, ad eccezione del fatto che si tratta di un'azione sui dati
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write Consente la scrittura o l'aggiornamento dello stato di quarantena degli artefatti in quarantena. Si tratta di un'azione simile a Microsoft.ContainerRegistry/registries/quarantine/write, ad eccezione del fatto che si tratta di un'azione sui dati
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "acr quarantine data writer",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
  "name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerRegistry/registries/quarantine/read",
        "Microsoft.ContainerRegistry/registries/quarantine/write"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
        "Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "AcrQuarantineWriter",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ruolo utente del cluster di Kubernetes con abilitazione di Azure Arc

Elenca le azioni per le credenziali utente del cluster.

Azioni Descrizione
Microsoft.Resources/deployments/write Crea o aggiorna una distribuzione.
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action Elencare le credenziali utente cluster(anteprima)
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Insights/alertRules/* Creare e gestire un avviso classico per le metriche
Microsoft.Support/* Creare e aggiornare un ticket di supporto
Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action Elencare le credenziali dell'utente cluster
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credentials action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
  "name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
  "permissions": [
    {
      "actions": [
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Support/*",
        "Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Amministratore di Kubernetes con abilitazione di Azure Arc

Consente di gestire tutte le risorse nel cluster e/o nello spazio dei nomi, ad eccezione dell'aggiornamento o dell'eliminazione di spazi dei nomi o quote delle risorse.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Insights/alertRules/* Creare e gestire un avviso classico per le metriche
Microsoft.Resources/deployments/write Crea o aggiorna una distribuzione.
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.Support/* Creare e aggiornare un ticket di supporto
NotActions
none
DataActions
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read Legge i controllerrevisions
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*
Microsoft.Kubernetes/connectedClusters/apps/deployments/*
Microsoft.Kubernetes/connectedClusters/apps/replicasets/*
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*
Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write Scrive variabili localiubjectaccessreviews
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*
Microsoft.Kubernetes/connectedClusters/batch/jobs/*
Microsoft.Kubernetes/connectedClusters/configmaps/*
Microsoft.Kubernetes/connectedClusters/endpoints/*
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read Legge gli eventi
Microsoft.Kubernetes/connectedClusters/events/read Legge gli eventi
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*
Microsoft.Kubernetes/connectedClusters/extensions/deployments/*
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*
Microsoft.Kubernetes/connectedClusters/limitranges/read Letture di limiti
Microsoft.Kubernetes/connectedClusters/namespaces/read Legge gli spazi dei nomi
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*
Microsoft.Kubernetes/connectedClusters/pods/*
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/resourcequotas/read Legge le virgolette di risorse
Microsoft.Kubernetes/connectedClusters/secrets/*
Microsoft.Kubernetes/connectedClusters/serviceaccounts/*
Microsoft.Kubernetes/connectedClusters/services/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
  "name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
        "Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
        "Microsoft.Kubernetes/connectedClusters/configmaps/*",
        "Microsoft.Kubernetes/connectedClusters/endpoints/*",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
        "Microsoft.Kubernetes/connectedClusters/pods/*",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
        "Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/secrets/*",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
        "Microsoft.Kubernetes/connectedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Amministratore del cluster di Kubernetes con abilitazione di Azure Arc

Consente di gestire tutte le risorse nel cluster.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Insights/alertRules/* Creare e gestire un avviso classico per le metriche
Microsoft.Resources/deployments/write Crea o aggiorna una distribuzione.
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.Support/* Creare e aggiornare un ticket di supporto
NotActions
none
DataActions
Microsoft.Kubernetes/connectedClusters/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources in the cluster.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
  "name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Visualizzatore di Kubernetes con abilitazione di Azure Arc

Consente di visualizzare tutte le risorse nel cluster e o nello spazio dei nomi, ad eccezione dei segreti.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Insights/alertRules/* Creare e gestire un avviso classico per le metriche
Microsoft.Resources/deployments/write Crea o aggiorna una distribuzione.
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.Support/* Creare e aggiornare un ticket di supporto
NotActions
none
DataActions
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read Legge i controllerrevisions
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read Legge i daemonset
Microsoft.Kubernetes/connectedClusters/apps/deployments/read Legge le distribuzioni
Microsoft.Kubernetes/connectedClusters/apps/replicasets/read Legge i set di repliche
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read Legge set con stato
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read Legge horizontalpodautoscaler
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read Legge cronjobs
Microsoft.Kubernetes/connectedClusters/batch/jobs/read Legge i processi
Microsoft.Kubernetes/connectedClusters/configmaps/read Legge le mappe di configurazione
Microsoft.Kubernetes/connectedClusters/endpoints/read Legge gli endpoint
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read Legge gli eventi
Microsoft.Kubernetes/connectedClusters/events/read Legge gli eventi
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read Legge i daemonset
Microsoft.Kubernetes/connectedClusters/extensions/deployments/read Legge le distribuzioni
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read Letture in ingresso
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read Legge i criteri di rete
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read Legge i set di repliche
Microsoft.Kubernetes/connectedClusters/limitranges/read Letture di limiti
Microsoft.Kubernetes/connectedClusters/namespaces/read Legge gli spazi dei nomi
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read Letture in ingresso
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read Legge i criteri di rete
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read Legge persistentvolumeclaims
Microsoft.Kubernetes/connectedClusters/pods/read Legge i pod
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read Legge poddisruptionbudgets
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read Legge icontroller di replica
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read Legge icontroller di replica
Microsoft.Kubernetes/connectedClusters/resourcequotas/read Legge le virgolette di risorse
Microsoft.Kubernetes/connectedClusters/serviceaccounts/read Legge gli account del servizio
Microsoft.Kubernetes/connectedClusters/services/read Legge i servizi
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you view all resources in cluster/namespace, except secrets.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
  "name": "63f0a09d-1495-4db4-a681-037d84835eb4",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
        "Microsoft.Kubernetes/connectedClusters/configmaps/read",
        "Microsoft.Kubernetes/connectedClusters/endpoints/read",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
        "Microsoft.Kubernetes/connectedClusters/pods/read",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
        "Microsoft.Kubernetes/connectedClusters/services/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Viewer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ruolo con autorizzazioni di scrittura per Kubernetes con abilitazione di Azure Arc

Consente di aggiornare tutti gli elementi del cluster e/o dello spazio dei nomi, ad eccezione dei ruoli (cluster) e delle associazioni di ruolo (cluster).

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Insights/alertRules/* Creare e gestire un avviso classico per le metriche
Microsoft.Resources/deployments/write Crea o aggiorna una distribuzione.
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.Support/* Creare e aggiornare un ticket di supporto
NotActions
none
DataActions
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read Legge i controllerrevisions
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*
Microsoft.Kubernetes/connectedClusters/apps/deployments/*
Microsoft.Kubernetes/connectedClusters/apps/replicasets/*
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*
Microsoft.Kubernetes/connectedClusters/batch/jobs/*
Microsoft.Kubernetes/connectedClusters/configmaps/*
Microsoft.Kubernetes/connectedClusters/endpoints/*
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read Legge gli eventi
Microsoft.Kubernetes/connectedClusters/events/read Legge gli eventi
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*
Microsoft.Kubernetes/connectedClusters/extensions/deployments/*
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*
Microsoft.Kubernetes/connectedClusters/limitranges/read Letture di limiti
Microsoft.Kubernetes/connectedClusters/namespaces/read Legge gli spazi dei nomi
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*
Microsoft.Kubernetes/connectedClusters/pods/*
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*
Microsoft.Kubernetes/connectedClusters/resourcequotas/read Legge le virgolette di risorse
Microsoft.Kubernetes/connectedClusters/secrets/*
Microsoft.Kubernetes/connectedClusters/serviceaccounts/*
Microsoft.Kubernetes/connectedClusters/services/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
  "name": "5b999177-9696-4545-85c7-50de3797e5a1",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
        "Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
        "Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
        "Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
        "Microsoft.Kubernetes/connectedClusters/configmaps/*",
        "Microsoft.Kubernetes/connectedClusters/endpoints/*",
        "Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
        "Microsoft.Kubernetes/connectedClusters/events/read",
        "Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
        "Microsoft.Kubernetes/connectedClusters/limitranges/read",
        "Microsoft.Kubernetes/connectedClusters/namespaces/read",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
        "Microsoft.Kubernetes/connectedClusters/pods/*",
        "Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
        "Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
        "Microsoft.Kubernetes/connectedClusters/secrets/*",
        "Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
        "Microsoft.Kubernetes/connectedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Arc Kubernetes Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Collaboratore Archiviazione di Azure Container

Installare Azure Container Archiviazione e gestire le risorse di archiviazione. Include una condizione del controllo degli accessi in base agli attributi.

Azioni Descrizione
Microsoft.KubernetesConfiguration/extensions/write Crea o aggiorna la risorsa di estensione.
Microsoft.KubernetesConfiguration/extensions/read Ottiene la risorsa dell'istanza dell'estensione.
Microsoft.KubernetesConfiguration/extensions/delete Elimina la risorsa dell'istanza dell'estensione.
Microsoft.KubernetesConfiguration/extensions/operations/read Ottiene lo stato dell'operazione asincrona.
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Management/managementGroups/read Elenca i gruppi di gestione per l'utente autenticato.
Microsoft.Resources/deployments/* Creare e gestire una distribuzione
Microsoft.Support/* Creare e aggiornare un ticket di supporto
NotActions
none
DataActions
none
NotDataActions
none
Azioni
Microsoft.Authorization/roleAssignments/write Crea un'assegnazione di ruolo per l'ambito specificato.
Microsoft.Authorization/roleAssignments/delete È possibile eliminare un'assegnazione di ruolo nell'ambito specificato.
NotActions
none
DataActions
none
NotDataActions
none
Condizione
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) Aggiungere o rimuovere assegnazioni di ruolo per i ruoli seguenti:
Operatore Archiviazione di Azure Container		 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you install Azure Container Storage and manage its storage resources",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
  "name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
  "permissions": [
    {
      "actions": [
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    },
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
    }
  ],
  "roleName": "Azure Container Storage Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Operatore Archiviazione di Azure Container

Abilitare un'identità gestita per eseguire operazioni di Archiviazione di Azure Container, ad esempio gestire le macchine virtuali e gestire le reti virtuali.

Azioni Descrizione
Microsoft.ElasticSan/elasticSans/*
Microsoft.ElasticSan/locations/asyncoperations/read Interroga sullo stato di un’operazione asincrona.
Microsoft.Network/routeTables/join/action Unisce una tabella di route. Senza avvisi.
Microsoft.Network/networkSecurityGroups/join/action Aggiunge un gruppo di sicurezza di rete. Senza avvisi.
Microsoft.Network/virtualNetworks/write Crea una rete virtuale o ne aggiorna una esistente
Microsoft.Network/virtualNetworks/delete Elimina una rete virtuale
Microsoft.Network/virtualNetworks/join/action Aggiunge una rete virtuale. Senza avvisi.
Microsoft.Network/virtualNetworks/subnets/read Ottiene una definizione di subnet della rete virtuale
Microsoft.Network/virtualNetworks/subnets/write Crea una subnet della rete virtuale o ne aggiorna una esistente
Microsoft.Compute/virtualMachines/read Ottiene le proprietà di una macchina virtuale
Microsoft.Compute/virtualMachines/write Crea una nuova macchina virtuale o ne aggiorna una esistente
Microsoft.Compute/virtualMachineScaleSets/read Ottiene le proprietà di un set di scalabilità di macchine virtuali
Microsoft.Compute/virtualMachineScaleSets/write Crea un nuovo set di scalabilità di macchine virtuali o ne aggiorna uno esistente
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write Aggiorna le proprietà di una macchina virtuale in un set di scalabilità di macchine virtuali
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read Recupera le proprietà di una macchina virtuale in un set di scalabilità VM
Microsoft.Resources/subscriptions/providers/read Ottiene o elenca i provider di risorse.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.Network/virtualNetworks/read Ottiene la definizione della rete virtuale
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role required by a Managed Identity for Azure Container Storage operations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
  "name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
  "permissions": [
    {
      "actions": [
        "Microsoft.ElasticSan/elasticSans/*",
        "Microsoft.ElasticSan/locations/asyncoperations/read",
        "Microsoft.Network/routeTables/join/action",
        "Microsoft.Network/networkSecurityGroups/join/action",
        "Microsoft.Network/virtualNetworks/write",
        "Microsoft.Network/virtualNetworks/delete",
        "Microsoft.Network/virtualNetworks/join/action",
        "Microsoft.Network/virtualNetworks/subnets/read",
        "Microsoft.Network/virtualNetworks/subnets/write",
        "Microsoft.Compute/virtualMachines/read",
        "Microsoft.Compute/virtualMachines/write",
        "Microsoft.Compute/virtualMachineScaleSets/read",
        "Microsoft.Compute/virtualMachineScaleSets/write",
        "Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
        "Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
        "Microsoft.Resources/subscriptions/providers/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Network/virtualNetworks/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Container Storage Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Proprietario di Azure Container Archiviazione

Installare Azure Container Archiviazione, concedere l'accesso alle risorse di archiviazione e configurare la rete SAN (Elastic Storage Area Network) di Azure. Include una condizione del controllo degli accessi in base agli attributi.

Azioni Descrizione
Microsoft.ElasticSan/elasticSans/*
Microsoft.ElasticSan/locations/*
Microsoft.ElasticSan/elasticSans/volumeGroups/*
Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*
Microsoft.ElasticSan/locations/asyncoperations/read Interroga sullo stato di un’operazione asincrona.
Microsoft.KubernetesConfiguration/extensions/write Crea o aggiorna la risorsa di estensione.
Microsoft.KubernetesConfiguration/extensions/read Ottiene la risorsa dell'istanza dell'estensione.
Microsoft.KubernetesConfiguration/extensions/delete Elimina la risorsa dell'istanza dell'estensione.
Microsoft.KubernetesConfiguration/extensions/operations/read Ottiene lo stato dell'operazione asincrona.
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Management/managementGroups/read Elenca i gruppi di gestione per l'utente autenticato.
Microsoft.Resources/deployments/* Creare e gestire una distribuzione
Microsoft.Support/* Creare e aggiornare un ticket di supporto
NotActions
none
DataActions
none
NotDataActions
none
Azioni
Microsoft.Authorization/roleAssignments/write Crea un'assegnazione di ruolo per l'ambito specificato.
Microsoft.Authorization/roleAssignments/delete È possibile eliminare un'assegnazione di ruolo nell'ambito specificato.
NotActions
none
DataActions
none
NotDataActions
none
Condizione
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) Aggiungere o rimuovere assegnazioni di ruolo per i ruoli seguenti:
Operatore Archiviazione di Azure Container		 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you install Azure Container Storage and grants access to its storage resources",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
  "name": "95de85bd-744d-4664-9dde-11430bc34793",
  "permissions": [
    {
      "actions": [
        "Microsoft.ElasticSan/elasticSans/*",
        "Microsoft.ElasticSan/locations/*",
        "Microsoft.ElasticSan/elasticSans/volumeGroups/*",
        "Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
        "Microsoft.ElasticSan/locations/asyncoperations/read",
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read",
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Management/managementGroups/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    },
    {
      "actions": [
        "Microsoft.Authorization/roleAssignments/write",
        "Microsoft.Authorization/roleAssignments/delete"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": [],
      "conditionVersion": "2.0",
      "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
    }
  ],
  "roleName": "Azure Container Storage Owner",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ruolo collaboratore Di Azure Kubernetes Fleet Manager

Concede l'accesso in lettura/scrittura alle risorse di Azure fornite da Azure Kubernetes Fleet Manager, tra cui flotta, membri della flotta, strategie di aggiornamento della flotta, esecuzioni di aggiornamenti della flotta e così via.

Azioni Descrizione
Microsoft.ContainerService/fleets/*
Microsoft.Resources/deployments/* Creare e gestire una distribuzione
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
  "name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/fleets/*",
        "Microsoft.Resources/deployments/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager Contributor Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Amministratore del controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure

Concede l'accesso in lettura/scrittura alle risorse Kubernetes all'interno di uno spazio dei nomi nel cluster hub gestito dalla flotta. Fornisce autorizzazioni di scrittura per la maggior parte degli oggetti all'interno di uno spazio dei nomi, ad eccezione dell'oggetto ResourceQuota e dello spazio dei nomi stesso. L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.ContainerService/fleets/read Ottieni flotta
Microsoft.ContainerService/fleets/listCredentials/action Elencare le credenziali della flotta
NotActions
none
DataActions
Microsoft.ContainerService/fleets/apps/controllerrevisions/read Legge i controllerrevisions
Microsoft.ContainerService/fleets/apps/daemonsets/*
Microsoft.ContainerService/fleets/apps/deployments/*
Microsoft.ContainerService/fleets/apps/statefulsets/*
Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write Scrive variabili localiubjectaccessreviews
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*
Microsoft.ContainerService/fleets/batch/cronjobs/*
Microsoft.ContainerService/fleets/batch/jobs/*
Microsoft.ContainerService/fleets/configmaps/*
Microsoft.ContainerService/fleets/endpoints/*
Microsoft.ContainerService/fleets/events.k8s.io/events/read Legge gli eventi
Microsoft.ContainerService/fleets/events/read Legge gli eventi
Microsoft.ContainerService/fleets/extensions/daemonsets/*
Microsoft.ContainerService/fleets/extensions/deployments/*
Microsoft.ContainerService/fleets/extensions/ingresses/*
Microsoft.ContainerService/fleets/extensions/networkpolicies/*
Microsoft.ContainerService/fleets/limitranges/read Letture di limiti
Microsoft.ContainerService/fleets/namespaces/read Legge gli spazi dei nomi
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*
Microsoft.ContainerService/fleets/persistentvolumeclaims/*
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/resourcequotas/read Legge le virgolette di risorse
Microsoft.ContainerService/fleets/secrets/*
Microsoft.ContainerService/fleets/serviceaccounts/*
Microsoft.ContainerService/fleets/services/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
  "name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/*",
        "Microsoft.ContainerService/fleets/apps/deployments/*",
        "Microsoft.ContainerService/fleets/apps/statefulsets/*",
        "Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.ContainerService/fleets/batch/cronjobs/*",
        "Microsoft.ContainerService/fleets/batch/jobs/*",
        "Microsoft.ContainerService/fleets/configmaps/*",
        "Microsoft.ContainerService/fleets/endpoints/*",
        "Microsoft.ContainerService/fleets/events.k8s.io/events/read",
        "Microsoft.ContainerService/fleets/events/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/*",
        "Microsoft.ContainerService/fleets/extensions/deployments/*",
        "Microsoft.ContainerService/fleets/extensions/ingresses/*",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
        "Microsoft.ContainerService/fleets/limitranges/read",
        "Microsoft.ContainerService/fleets/namespaces/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
        "Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
        "Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/resourcequotas/read",
        "Microsoft.ContainerService/fleets/secrets/*",
        "Microsoft.ContainerService/fleets/serviceaccounts/*",
        "Microsoft.ContainerService/fleets/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Amministratore del cluster di controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure

Concede l'accesso in lettura/scrittura a tutte le risorse Kubernetes nel cluster hub gestito dalla flotta.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.ContainerService/fleets/read Ottieni flotta
Microsoft.ContainerService/fleets/listCredentials/action Elencare le credenziali della flotta
NotActions
none
DataActions
Microsoft.ContainerService/fleets/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
  "name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ruolo con autorizzazioni di lettura del lettore del controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure

Concede l'accesso in sola lettura alla maggior parte delle risorse Kubernetes all'interno di uno spazio dei nomi nel cluster hub gestito dalla flotta. Non consente di visualizzare ruoli o associazioni di ruolo. Questo ruolo non consente la visualizzazione dei segreti, poiché la lettura dei contenuti dei segreti consente l'accesso alle credenziali di ServiceAccount nello spazio dei nomi, che consentirebbe l'accesso all'API analogamente a qualsiasi ServiceAccount nello spazio dei nomi, ovvero una forma di escalation dei privilegi. L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.ContainerService/fleets/read Ottieni flotta
Microsoft.ContainerService/fleets/listCredentials/action Elencare le credenziali della flotta
NotActions
none
DataActions
Microsoft.ContainerService/fleets/apps/controllerrevisions/read Legge i controllerrevisions
Microsoft.ContainerService/fleets/apps/daemonsets/read Legge i daemonset
Microsoft.ContainerService/fleets/apps/deployments/read Legge le distribuzioni
Microsoft.ContainerService/fleets/apps/statefulsets/read Legge set con stato
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read Legge horizontalpodautoscaler
Microsoft.ContainerService/fleets/batch/cronjobs/read Legge cronjobs
Microsoft.ContainerService/fleets/batch/jobs/read Legge i processi
Microsoft.ContainerService/fleets/configmaps/read Legge le mappe di configurazione
Microsoft.ContainerService/fleets/endpoints/read Legge gli endpoint
Microsoft.ContainerService/fleets/events.k8s.io/events/read Legge gli eventi
Microsoft.ContainerService/fleets/events/read Legge gli eventi
Microsoft.ContainerService/fleets/extensions/daemonsets/read Legge i daemonset
Microsoft.ContainerService/fleets/extensions/deployments/read Legge le distribuzioni
Microsoft.ContainerService/fleets/extensions/ingresses/read Letture in ingresso
Microsoft.ContainerService/fleets/extensions/networkpolicies/read Legge i criteri di rete
Microsoft.ContainerService/fleets/limitranges/read Letture di limiti
Microsoft.ContainerService/fleets/namespaces/read Legge gli spazi dei nomi
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read Letture in ingresso
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read Legge i criteri di rete
Microsoft.ContainerService/fleets/persistentvolumeclaims/read Legge persistentvolumeclaims
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read Legge poddisruptionbudgets
Microsoft.ContainerService/fleets/replicationcontrollers/read Legge icontroller di replica
Microsoft.ContainerService/fleets/replicationcontrollers/read Legge icontroller di replica
Microsoft.ContainerService/fleets/resourcequotas/read Legge le virgolette di risorse
Microsoft.ContainerService/fleets/serviceaccounts/read Legge gli account del servizio
Microsoft.ContainerService/fleets/services/read Legge i servizi
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation).  Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
  "name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/read",
        "Microsoft.ContainerService/fleets/apps/deployments/read",
        "Microsoft.ContainerService/fleets/apps/statefulsets/read",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.ContainerService/fleets/batch/cronjobs/read",
        "Microsoft.ContainerService/fleets/batch/jobs/read",
        "Microsoft.ContainerService/fleets/configmaps/read",
        "Microsoft.ContainerService/fleets/endpoints/read",
        "Microsoft.ContainerService/fleets/events.k8s.io/events/read",
        "Microsoft.ContainerService/fleets/events/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/read",
        "Microsoft.ContainerService/fleets/extensions/deployments/read",
        "Microsoft.ContainerService/fleets/extensions/ingresses/read",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
        "Microsoft.ContainerService/fleets/limitranges/read",
        "Microsoft.ContainerService/fleets/namespaces/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
        "Microsoft.ContainerService/fleets/replicationcontrollers/read",
        "Microsoft.ContainerService/fleets/replicationcontrollers/read",
        "Microsoft.ContainerService/fleets/resourcequotas/read",
        "Microsoft.ContainerService/fleets/serviceaccounts/read",
        "Microsoft.ContainerService/fleets/services/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Autore controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure

Concede l'accesso in lettura/scrittura alla maggior parte delle risorse Kubernetes all'interno di uno spazio dei nomi nel cluster hub gestito dalla flotta. Questo ruolo non consente la visualizzazione o la modifica di ruoli o associazioni di ruolo. Tuttavia, questo ruolo consente di accedere ai segreti come qualsiasi ServiceAccount nello spazio dei nomi, pertanto può essere usato per ottenere i livelli di accesso all'API di qualsiasi ServiceAccount nello spazio dei nomi.  L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.ContainerService/fleets/read Ottieni flotta
Microsoft.ContainerService/fleets/listCredentials/action Elencare le credenziali della flotta
NotActions
none
DataActions
Microsoft.ContainerService/fleets/apps/controllerrevisions/read Legge i controllerrevisions
Microsoft.ContainerService/fleets/apps/daemonsets/*
Microsoft.ContainerService/fleets/apps/deployments/*
Microsoft.ContainerService/fleets/apps/statefulsets/*
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*
Microsoft.ContainerService/fleets/batch/cronjobs/*
Microsoft.ContainerService/fleets/batch/jobs/*
Microsoft.ContainerService/fleets/configmaps/*
Microsoft.ContainerService/fleets/endpoints/*
Microsoft.ContainerService/fleets/events.k8s.io/events/read Legge gli eventi
Microsoft.ContainerService/fleets/events/read Legge gli eventi
Microsoft.ContainerService/fleets/extensions/daemonsets/*
Microsoft.ContainerService/fleets/extensions/deployments/*
Microsoft.ContainerService/fleets/extensions/ingresses/*
Microsoft.ContainerService/fleets/extensions/networkpolicies/*
Microsoft.ContainerService/fleets/limitranges/read Letture di limiti
Microsoft.ContainerService/fleets/namespaces/read Legge gli spazi dei nomi
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*
Microsoft.ContainerService/fleets/persistentvolumeclaims/*
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/replicationcontrollers/*
Microsoft.ContainerService/fleets/resourcequotas/read Legge le virgolette di risorse
Microsoft.ContainerService/fleets/secrets/*
Microsoft.ContainerService/fleets/serviceaccounts/*
Microsoft.ContainerService/fleets/services/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace.  Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
  "name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/fleets/read",
        "Microsoft.ContainerService/fleets/listCredentials/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
        "Microsoft.ContainerService/fleets/apps/daemonsets/*",
        "Microsoft.ContainerService/fleets/apps/deployments/*",
        "Microsoft.ContainerService/fleets/apps/statefulsets/*",
        "Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.ContainerService/fleets/batch/cronjobs/*",
        "Microsoft.ContainerService/fleets/batch/jobs/*",
        "Microsoft.ContainerService/fleets/configmaps/*",
        "Microsoft.ContainerService/fleets/endpoints/*",
        "Microsoft.ContainerService/fleets/events.k8s.io/events/read",
        "Microsoft.ContainerService/fleets/events/read",
        "Microsoft.ContainerService/fleets/extensions/daemonsets/*",
        "Microsoft.ContainerService/fleets/extensions/deployments/*",
        "Microsoft.ContainerService/fleets/extensions/ingresses/*",
        "Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
        "Microsoft.ContainerService/fleets/limitranges/read",
        "Microsoft.ContainerService/fleets/namespaces/read",
        "Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
        "Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
        "Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
        "Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/replicationcontrollers/*",
        "Microsoft.ContainerService/fleets/resourcequotas/read",
        "Microsoft.ContainerService/fleets/secrets/*",
        "Microsoft.ContainerService/fleets/serviceaccounts/*",
        "Microsoft.ContainerService/fleets/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ruolo di amministratore del cluster del servizio Azure Kubernetes

Elencare l'azione delle credenziali di amministratore del cluster.

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerService/managedClusters/listCluster Amministrazione Credential/action Elenca la credenziale clusterAdmin di un cluster gestito
Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action Recupera il profilo di accesso per un cluster gestito in base al nome del ruolo con un'operazione di elenco delle credenziali
Microsoft.ContainerService/managedClusters/read Recupera un cluster gestito
Microsoft.ContainerService/managedClusters/runcommand/action Eseguire il comando eseguito dall'utente sul server kubernetes gestito.
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster admin credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
  "name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
        "Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
        "Microsoft.ContainerService/managedClusters/read",
        "Microsoft.ContainerService/managedClusters/runcommand/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster Admin Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Utente di monitoraggio cluster del servizio Azure Kubernetes

Elenca le azioni per le credenziali utente di monitoraggio del cluster.

Azioni Descrizione
Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action Elencare le credenziali clusterMonitoringUser di un cluster gestito
Microsoft.ContainerService/managedClusters/read Recupera un cluster gestito
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster monitoring user credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
  "name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
        "Microsoft.ContainerService/managedClusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster Monitoring User",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ruolo di utente del cluster del servizio Azure Kubernetes

Elencare l'azione delle credenziali di utente del cluster.

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Elenca la credenziale clusterUser di un cluster gestito
Microsoft.ContainerService/managedClusters/read Recupera un cluster gestito
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "List cluster user credential action.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
  "name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
        "Microsoft.ContainerService/managedClusters/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Cluster User Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ruolo collaboratore servizio Azure Kubernetes

Concede l'accesso in lettura e scrittura ai cluster del servizio Azure Kubernetes

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerService/managedClusters/read Recupera un cluster gestito
Microsoft.ContainerService/managedClusters/write Crea un nuovo cluster gestito o ne aggiorna uno esistente
Microsoft.Resources/deployments/* Creare e gestire una distribuzione
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants access to read and write Azure Kubernetes Service clusters",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
  "name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/read",
        "Microsoft.ContainerService/managedClusters/write",
        "Microsoft.Resources/deployments/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service Contributor Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Amministratore del Controllo degli accessi in base al ruolo del servizio Azure Kubernetes

Consente di gestire tutte le risorse nel cluster e/o nello spazio dei nomi, ad eccezione dell'aggiornamento o dell'eliminazione di spazi dei nomi o quote delle risorse.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Elenca la credenziale clusterUser di un cluster gestito
NotActions
none
DataActions
Microsoft.ContainerService/managedClusters/*
NotDataActions
Microsoft.ContainerService/managedClusters/resourcequotas/write Scrive le virgotrici di risorse
Microsoft.ContainerService/managedClusters/resourcequotas/delete Elimina le virgotrici di risorse
Microsoft.ContainerService/managedClusters/namespaces/write Scrive spazi dei nomi
Microsoft.ContainerService/managedClusters/namespaces/delete Elimina spazi dei nomi 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
  "name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/*"
      ],
      "notDataActions": [
        "Microsoft.ContainerService/managedClusters/resourcequotas/write",
        "Microsoft.ContainerService/managedClusters/resourcequotas/delete",
        "Microsoft.ContainerService/managedClusters/namespaces/write",
        "Microsoft.ContainerService/managedClusters/namespaces/delete"
      ]
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Amministratore dei cluster del Controllo degli accessi in base al ruolo del servizio Azure Kubernetes

Consente di gestire tutte le risorse nel cluster.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action Elenca la credenziale clusterUser di un cluster gestito
NotActions
none
DataActions
Microsoft.ContainerService/managedClusters/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage all resources in the cluster.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
  "name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Cluster Admin",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ruolo con autorizzazioni di lettura per il Controllo degli accessi in base al ruolo del servizio Azure Kubernetes

Consente l'accesso in sola lettura per visualizzare la maggior parte degli oggetti in uno spazio dei nomi. Non consente di visualizzare ruoli o associazioni di ruolo. Questo ruolo non consente la visualizzazione dei segreti, poiché la lettura dei contenuti dei segreti consente l'accesso alle credenziali di ServiceAccount nello spazio dei nomi, che consentirebbe l'accesso all'API analogamente a qualsiasi ServiceAccount nello spazio dei nomi, ovvero una forma di escalation dei privilegi. L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
NotActions
none
DataActions
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read Legge i controllerrevisions
Microsoft.ContainerService/managedClusters/apps/daemonsets/read Legge i daemonset
Microsoft.ContainerService/managedClusters/apps/deployments/read Legge le distribuzioni
Microsoft.ContainerService/managedClusters/apps/replicasets/read Legge i set di repliche
Microsoft.ContainerService/managedClusters/apps/statefulsets/read Legge set con stato
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read Legge horizontalpodautoscaler
Microsoft.ContainerService/managedClusters/batch/cronjobs/read Legge cronjobs
Microsoft.ContainerService/managedClusters/batch/jobs/read Legge i processi
Microsoft.ContainerService/managedClusters/configmaps/read Legge le mappe di configurazione
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read Legge gli endpointslices
Microsoft.ContainerService/managedClusters/endpoints/read Legge gli endpoint
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read Legge gli eventi
Microsoft.ContainerService/managedClusters/events/read Legge gli eventi
Microsoft.ContainerService/managedClusters/extensions/daemonsets/read Legge i daemonset
Microsoft.ContainerService/managedClusters/extensions/deployments/read Legge le distribuzioni
Microsoft.ContainerService/managedClusters/extensions/ingresses/read Letture in ingresso
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read Legge i criteri di rete
Microsoft.ContainerService/managedClusters/extensions/replicasets/read Legge i set di repliche
Microsoft.ContainerService/managedClusters/limitranges/read Letture di limiti
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read Legge i pod
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read Legge i nodi
Microsoft.ContainerService/managedClusters/namespaces/read Legge gli spazi dei nomi
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read Letture in ingresso
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read Legge i criteri di rete
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read Legge persistentvolumeclaims
Microsoft.ContainerService/managedClusters/pods/read Legge i pod
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read Legge poddisruptionbudgets
Microsoft.ContainerService/managedClusters/replicationcontrollers/read Legge icontroller di replica
Microsoft.ContainerService/managedClusters/resourcequotas/read Legge le virgolette di risorse
Microsoft.ContainerService/managedClusters/serviceaccounts/read Legge gli account del servizio
Microsoft.ContainerService/managedClusters/services/read Legge i servizi
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
  "name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
        "Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
        "Microsoft.ContainerService/managedClusters/apps/deployments/read",
        "Microsoft.ContainerService/managedClusters/apps/replicasets/read",
        "Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
        "Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
        "Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
        "Microsoft.ContainerService/managedClusters/batch/jobs/read",
        "Microsoft.ContainerService/managedClusters/configmaps/read",
        "Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
        "Microsoft.ContainerService/managedClusters/endpoints/read",
        "Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
        "Microsoft.ContainerService/managedClusters/events/read",
        "Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
        "Microsoft.ContainerService/managedClusters/extensions/deployments/read",
        "Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
        "Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
        "Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
        "Microsoft.ContainerService/managedClusters/limitranges/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
        "Microsoft.ContainerService/managedClusters/namespaces/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
        "Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
        "Microsoft.ContainerService/managedClusters/pods/read",
        "Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
        "Microsoft.ContainerService/managedClusters/resourcequotas/read",
        "Microsoft.ContainerService/managedClusters/serviceaccounts/read",
        "Microsoft.ContainerService/managedClusters/services/read"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Reader",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Ruolo con autorizzazioni di scrittura per il Controllo degli accessi in base al ruolo del servizio Azure Kubernetes

Consente l'accesso in lettura/scrittura alla maggior parte degli oggetti in uno spazio dei nomi. Questo ruolo non consente la visualizzazione o la modifica di ruoli o associazioni di ruolo. Tuttavia, questo ruolo consente di accedere ai segreti ed eseguire pod come qualsiasi ServiceAccount nello spazio dei nomi, pertanto può essere usato per ottenere i livelli di accesso all'API di qualsiasi ServiceAccount nello spazio dei nomi. L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
NotActions
none
DataActions
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read Legge i controllerrevisions
Microsoft.ContainerService/managedClusters/apps/daemonsets/*
Microsoft.ContainerService/managedClusters/apps/deployments/*
Microsoft.ContainerService/managedClusters/apps/replicasets/*
Microsoft.ContainerService/managedClusters/apps/statefulsets/*
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*
Microsoft.ContainerService/managedClusters/batch/cronjobs/*
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read Legge i lease
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write Scrive lease
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete Elimina i lease
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read Legge gli endpointslices
Microsoft.ContainerService/managedClusters/batch/jobs/*
Microsoft.ContainerService/managedClusters/configmaps/*
Microsoft.ContainerService/managedClusters/endpoints/*
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read Legge gli eventi
Microsoft.ContainerService/managedClusters/events/*
Microsoft.ContainerService/managedClusters/extensions/daemonsets/*
Microsoft.ContainerService/managedClusters/extensions/deployments/*
Microsoft.ContainerService/managedClusters/extensions/ingresses/*
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*
Microsoft.ContainerService/managedClusters/extensions/replicasets/*
Microsoft.ContainerService/managedClusters/limitranges/read Letture di limiti
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read Legge i pod
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read Legge i nodi
Microsoft.ContainerService/managedClusters/namespaces/read Legge gli spazi dei nomi
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*
Microsoft.ContainerService/managedClusters/pods/*
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*
Microsoft.ContainerService/managedClusters/replicationcontrollers/*
Microsoft.ContainerService/managedClusters/resourcequotas/read Legge le virgolette di risorse
Microsoft.ContainerService/managedClusters/secrets/*
Microsoft.ContainerService/managedClusters/serviceaccounts/*
Microsoft.ContainerService/managedClusters/services/*
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
  "name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [
        "Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
        "Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
        "Microsoft.ContainerService/managedClusters/apps/deployments/*",
        "Microsoft.ContainerService/managedClusters/apps/replicasets/*",
        "Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
        "Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
        "Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
        "Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
        "Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
        "Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
        "Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
        "Microsoft.ContainerService/managedClusters/batch/jobs/*",
        "Microsoft.ContainerService/managedClusters/configmaps/*",
        "Microsoft.ContainerService/managedClusters/endpoints/*",
        "Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
        "Microsoft.ContainerService/managedClusters/events/*",
        "Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
        "Microsoft.ContainerService/managedClusters/extensions/deployments/*",
        "Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
        "Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
        "Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
        "Microsoft.ContainerService/managedClusters/limitranges/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
        "Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
        "Microsoft.ContainerService/managedClusters/namespaces/read",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
        "Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
        "Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
        "Microsoft.ContainerService/managedClusters/pods/*",
        "Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
        "Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
        "Microsoft.ContainerService/managedClusters/resourcequotas/read",
        "Microsoft.ContainerService/managedClusters/secrets/*",
        "Microsoft.ContainerService/managedClusters/serviceaccounts/*",
        "Microsoft.ContainerService/managedClusters/services/*"
      ],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Kubernetes Service RBAC Writer",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Operatore senza agente Kubernetes

Concede ai servizi Azure Kubernetes di accedere a Microsoft Defender per il cloud

Ulteriori informazioni

Azioni Descrizione
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write Creare o aggiornare associazioni di ruoli di accesso trusted per il cluster gestito
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read Ottenere associazioni di ruoli di accesso attendibili per il cluster gestito
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete Eliminare associazioni di ruoli di accesso attendibili per il cluster gestito
Microsoft.ContainerService/managedClusters/read Recupera un cluster gestito
Microsoft.Features/features/read Ottiene le funzionalità di una sottoscrizione.
Microsoft.Features/providers/features/read Ottiene la funzionalità di una sottoscrizione in un provider di risorse specificato.
Microsoft.Features/providers/features/register/action Registra la funzionalità per una sottoscrizione in un provider di risorse specificato.
Microsoft.Security/pricings/securityoperators/read Ottiene gli operatori di sicurezza per l'ambito
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
  "name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
  "permissions": [
    {
      "actions": [
        "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
        "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
        "Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
        "Microsoft.ContainerService/managedClusters/read",
        "Microsoft.Features/features/read",
        "Microsoft.Features/providers/features/read",
        "Microsoft.Features/providers/features/register/action",
        "Microsoft.Security/pricings/securityoperators/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Kubernetes Agentless Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Cluster Kubernetes - Ruolo di onboarding di Azure Arc

Definizione del ruolo per autorizzare qualsiasi utente/servizio alla creazione di risorse di tipo connectedClusters

Ulteriori informazioni

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Insights/alertRules/* Creare e gestire un avviso classico per le metriche
Microsoft.Resources/deployments/write Crea o aggiorna una distribuzione.
Microsoft.Resources/subscriptions/operationresults/read Ottiene i risultati dell'operazione di sottoscrizione.
Microsoft.Resources/subscriptions/read Ottiene l'elenco delle sottoscrizioni.
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.Kubernetes/connectedClusters/Write Scrive connectedClusters
Microsoft.Kubernetes/connectedClusters/read Leggere connectedClusters
Microsoft.Support/* Creare e aggiornare un ticket di supporto
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role definition to authorize any user/service to create connectedClusters resource",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
  "name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/write",
        "Microsoft.Resources/subscriptions/operationresults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Kubernetes/connectedClusters/Write",
        "Microsoft.Kubernetes/connectedClusters/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Kubernetes Cluster - Azure Arc Onboarding",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Collaboratore estensione Kubernetes

Consente di creare, aggiornare, ottenere, elencare ed eliminare le estensioni Kubernetes e di ottenere operazioni asincrone dell'estensione

Azioni Descrizione
Microsoft.Authorization/*/read Leggere i ruoli e le assegnazioni di ruoli
Microsoft.Insights/alertRules/* Creare e gestire un avviso classico per le metriche
Microsoft.Resources/deployments/* Creare e gestire una distribuzione
Microsoft.Resources/subscriptions/resourceGroups/read Ottiene o elenca i gruppi di risorse.
Microsoft.KubernetesConfiguration/extensions/write Crea o aggiorna la risorsa di estensione.
Microsoft.KubernetesConfiguration/extensions/read Ottiene la risorsa dell'istanza dell'estensione.
Microsoft.KubernetesConfiguration/extensions/delete Elimina la risorsa dell'istanza dell'estensione.
Microsoft.KubernetesConfiguration/extensions/operations/read Ottiene lo stato dell'operazione asincrona.
NotActions
none
DataActions
none
NotDataActions
none 
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
  "name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.KubernetesConfiguration/extensions/write",
        "Microsoft.KubernetesConfiguration/extensions/read",
        "Microsoft.KubernetesConfiguration/extensions/delete",
        "Microsoft.KubernetesConfiguration/extensions/operations/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Kubernetes Extension Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Passaggi successivi