Ruoli predefiniti di Azure per contenitori
Questo articolo elenca i ruoli predefiniti di Azure nella categoria Contenitori.
AcrDelete
Consente di eliminare repository, tag o manifesti da un registro contenitori.
Azioni | Descrizione |
---|---|
Microsoft.ContainerRegistry/registries/artifacts/delete | Elimina l'artefatto in un registro contenitori. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Consente di eseguire il push o il pull di immagini attendibili da un registro contenitori abilitato per l'attendibilità del contenuto.
Azioni | Descrizione |
---|---|
Microsoft.ContainerRegistry/registries/sign/write | Eseguire il push/pull di metadati considerati attendibili per un registro contenitori. |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerRegistry/registries/trustedCollections/write | Consente il push o la pubblicazione di raccolte attendibili di contenuto del registro contenitori. Si tratta di un'azione simile a Microsoft.ContainerRegistry/registries/sign/write, ad eccezione del fatto che si tratta di un'azione sui dati |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
Consente di eseguire il pull di artefatti da un registro contenitori.
Azioni | Descrizione |
---|---|
Microsoft.ContainerRegistry/registries/pull/read | Eseguire il pull o ottenere immagini da un registro contenitori. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
Consente di eseguire il push o il pull di artefatti da o verso un registro contenitori.
Azioni | Descrizione |
---|---|
Microsoft.ContainerRegistry/registries/pull/read | Eseguire il pull o ottenere immagini da un registro contenitori. |
Microsoft.ContainerRegistry/registries/push/write | Eseguire il push o scrivere immagini in un registro contenitori. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Consente di eseguire il pull di immagini in quarantena da un registro contenitori.
Azioni | Descrizione |
---|---|
Microsoft.ContainerRegistry/registries/quarantine/read | Eseguire il pull o ottenere immagini in quarantena da un registro contenitori |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Consente di eseguire il pull o ottenere gli artefatti in quarantena dal registro contenitori. Questo comportamento è simile a Microsoft.ContainerRegistry/registries/quarantine/read, ad eccezione del fatto che si tratta di un'azione sui dati |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Consente di eseguire il push o il pull di immagini in quarantena da o verso un registro contenitori.
Azioni | Descrizione |
---|---|
Microsoft.ContainerRegistry/registries/quarantine/read | Eseguire il pull o ottenere immagini in quarantena da un registro contenitori |
Microsoft.ContainerRegistry/registries/quarantine/write | Scrivere/modificare lo stato di quarantena di immagini in quarantena |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Consente di eseguire il pull o ottenere gli artefatti in quarantena dal registro contenitori. Questo comportamento è simile a Microsoft.ContainerRegistry/registries/quarantine/read, ad eccezione del fatto che si tratta di un'azione sui dati |
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | Consente la scrittura o l'aggiornamento dello stato di quarantena degli artefatti in quarantena. Si tratta di un'azione simile a Microsoft.ContainerRegistry/registries/quarantine/write, ad eccezione del fatto che si tratta di un'azione sui dati |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ruolo utente del cluster di Kubernetes con abilitazione di Azure Arc
Elenca le azioni per le credenziali utente del cluster.
Azioni | Descrizione |
---|---|
Microsoft.Resources/deployments/write | Crea o aggiorna una distribuzione. |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | Elencare le credenziali utente cluster(anteprima) |
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Insights/alertRules/* | Creare e gestire un avviso classico per le metriche |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Elencare le credenziali dell'utente cluster |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Amministratore di Kubernetes con abilitazione di Azure Arc
Consente di gestire tutte le risorse nel cluster e/o nello spazio dei nomi, ad eccezione dell'aggiornamento o dell'eliminazione di spazi dei nomi o quote delle risorse.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Insights/alertRules/* | Creare e gestire un avviso classico per le metriche |
Microsoft.Resources/deployments/write | Crea o aggiorna una distribuzione. |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
NotActions | |
none | |
DataActions | |
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Legge i controllerrevisions |
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Scrive variabili localiubjectaccessreviews |
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
Microsoft.Kubernetes/connectedClusters/configmaps/* | |
Microsoft.Kubernetes/connectedClusters/endpoints/* | |
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Legge gli eventi |
Microsoft.Kubernetes/connectedClusters/events/read | Legge gli eventi |
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/limitranges/read | Letture di limiti |
Microsoft.Kubernetes/connectedClusters/namespaces/read | Legge gli spazi dei nomi |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
Microsoft.Kubernetes/connectedClusters/pods/* | |
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Legge le virgolette di risorse |
Microsoft.Kubernetes/connectedClusters/secrets/* | |
Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
Microsoft.Kubernetes/connectedClusters/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Amministratore del cluster di Kubernetes con abilitazione di Azure Arc
Consente di gestire tutte le risorse nel cluster.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Insights/alertRules/* | Creare e gestire un avviso classico per le metriche |
Microsoft.Resources/deployments/write | Crea o aggiorna una distribuzione. |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
NotActions | |
none | |
DataActions | |
Microsoft.Kubernetes/connectedClusters/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Visualizzatore di Kubernetes con abilitazione di Azure Arc
Consente di visualizzare tutte le risorse nel cluster e o nello spazio dei nomi, ad eccezione dei segreti.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Insights/alertRules/* | Creare e gestire un avviso classico per le metriche |
Microsoft.Resources/deployments/write | Crea o aggiorna una distribuzione. |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
NotActions | |
none | |
DataActions | |
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Legge i controllerrevisions |
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | Legge i daemonset |
Microsoft.Kubernetes/connectedClusters/apps/deployments/read | Legge le distribuzioni |
Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | Legge i set di repliche |
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | Legge set con stato |
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | Legge horizontalpodautoscaler |
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | Legge cronjobs |
Microsoft.Kubernetes/connectedClusters/batch/jobs/read | Legge i processi |
Microsoft.Kubernetes/connectedClusters/configmaps/read | Legge le mappe di configurazione |
Microsoft.Kubernetes/connectedClusters/endpoints/read | Legge gli endpoint |
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Legge gli eventi |
Microsoft.Kubernetes/connectedClusters/events/read | Legge gli eventi |
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | Legge i daemonset |
Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | Legge le distribuzioni |
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | Letture in ingresso |
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | Legge i criteri di rete |
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | Legge i set di repliche |
Microsoft.Kubernetes/connectedClusters/limitranges/read | Letture di limiti |
Microsoft.Kubernetes/connectedClusters/namespaces/read | Legge gli spazi dei nomi |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Letture in ingresso |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Legge i criteri di rete |
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | Legge persistentvolumeclaims |
Microsoft.Kubernetes/connectedClusters/pods/read | Legge i pod |
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Legge poddisruptionbudgets |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Legge icontroller di replica |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Legge icontroller di replica |
Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Legge le virgolette di risorse |
Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | Legge gli account del servizio |
Microsoft.Kubernetes/connectedClusters/services/read | Legge i servizi |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ruolo con autorizzazioni di scrittura per Kubernetes con abilitazione di Azure Arc
Consente di aggiornare tutti gli elementi del cluster e/o dello spazio dei nomi, ad eccezione dei ruoli (cluster) e delle associazioni di ruolo (cluster).
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Insights/alertRules/* | Creare e gestire un avviso classico per le metriche |
Microsoft.Resources/deployments/write | Crea o aggiorna una distribuzione. |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
NotActions | |
none | |
DataActions | |
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Legge i controllerrevisions |
Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
Microsoft.Kubernetes/connectedClusters/configmaps/* | |
Microsoft.Kubernetes/connectedClusters/endpoints/* | |
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Legge gli eventi |
Microsoft.Kubernetes/connectedClusters/events/read | Legge gli eventi |
Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/limitranges/read | Letture di limiti |
Microsoft.Kubernetes/connectedClusters/namespaces/read | Legge gli spazi dei nomi |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
Microsoft.Kubernetes/connectedClusters/pods/* | |
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Legge le virgolette di risorse |
Microsoft.Kubernetes/connectedClusters/secrets/* | |
Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
Microsoft.Kubernetes/connectedClusters/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Collaboratore Archiviazione di Azure Container
Installare Azure Container Archiviazione e gestire le risorse di archiviazione. Include una condizione del controllo degli accessi in base agli attributi.
Azioni | Descrizione |
---|---|
Microsoft.KubernetesConfiguration/extensions/write | Crea o aggiorna la risorsa di estensione. |
Microsoft.KubernetesConfiguration/extensions/read | Ottiene la risorsa dell'istanza dell'estensione. |
Microsoft.KubernetesConfiguration/extensions/delete | Elimina la risorsa dell'istanza dell'estensione. |
Microsoft.KubernetesConfiguration/extensions/operations/read | Ottiene lo stato dell'operazione asincrona. |
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Management/managementGroups/read | Elenca i gruppi di gestione per l'utente autenticato. |
Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none | |
Azioni | |
Microsoft.Authorization/roleAssignments/write | Crea un'assegnazione di ruolo per l'ambito specificato. |
Microsoft.Authorization/roleAssignments/delete | È possibile eliminare un'assegnazione di ruolo nell'ambito specificato. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none | |
Condizione | |
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) | Aggiungere o rimuovere assegnazioni di ruolo per i ruoli seguenti: Operatore Archiviazione di Azure Container |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operatore Archiviazione di Azure Container
Abilitare un'identità gestita per eseguire operazioni di Archiviazione di Azure Container, ad esempio gestire le macchine virtuali e gestire le reti virtuali.
Azioni | Descrizione |
---|---|
Microsoft.ElasticSan/elasticSans/* | |
Microsoft.ElasticSan/locations/asyncoperations/read | Interroga sullo stato di un’operazione asincrona. |
Microsoft.Network/routeTables/join/action | Unisce una tabella di route. Senza avvisi. |
Microsoft.Network/networkSecurityGroups/join/action | Aggiunge un gruppo di sicurezza di rete. Senza avvisi. |
Microsoft.Network/virtualNetworks/write | Crea una rete virtuale o ne aggiorna una esistente |
Microsoft.Network/virtualNetworks/delete | Elimina una rete virtuale |
Microsoft.Network/virtualNetworks/join/action | Aggiunge una rete virtuale. Senza avvisi. |
Microsoft.Network/virtualNetworks/subnets/read | Ottiene una definizione di subnet della rete virtuale |
Microsoft.Network/virtualNetworks/subnets/write | Crea una subnet della rete virtuale o ne aggiorna una esistente |
Microsoft.Compute/virtualMachines/read | Ottiene le proprietà di una macchina virtuale |
Microsoft.Compute/virtualMachines/write | Crea una nuova macchina virtuale o ne aggiorna una esistente |
Microsoft.Compute/virtualMachineScaleSets/read | Ottiene le proprietà di un set di scalabilità di macchine virtuali |
Microsoft.Compute/virtualMachineScaleSets/write | Crea un nuovo set di scalabilità di macchine virtuali o ne aggiorna uno esistente |
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Aggiorna le proprietà di una macchina virtuale in un set di scalabilità di macchine virtuali |
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Recupera le proprietà di una macchina virtuale in un set di scalabilità VM |
Microsoft.Resources/subscriptions/providers/read | Ottiene o elenca i provider di risorse. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.Network/virtualNetworks/read | Ottiene la definizione della rete virtuale |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Proprietario di Azure Container Archiviazione
Installare Azure Container Archiviazione, concedere l'accesso alle risorse di archiviazione e configurare la rete SAN (Elastic Storage Area Network) di Azure. Include una condizione del controllo degli accessi in base agli attributi.
Azioni | Descrizione |
---|---|
Microsoft.ElasticSan/elasticSans/* | |
Microsoft.ElasticSan/locations/* | |
Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
Microsoft.ElasticSan/locations/asyncoperations/read | Interroga sullo stato di un’operazione asincrona. |
Microsoft.KubernetesConfiguration/extensions/write | Crea o aggiorna la risorsa di estensione. |
Microsoft.KubernetesConfiguration/extensions/read | Ottiene la risorsa dell'istanza dell'estensione. |
Microsoft.KubernetesConfiguration/extensions/delete | Elimina la risorsa dell'istanza dell'estensione. |
Microsoft.KubernetesConfiguration/extensions/operations/read | Ottiene lo stato dell'operazione asincrona. |
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Management/managementGroups/read | Elenca i gruppi di gestione per l'utente autenticato. |
Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none | |
Azioni | |
Microsoft.Authorization/roleAssignments/write | Crea un'assegnazione di ruolo per l'ambito specificato. |
Microsoft.Authorization/roleAssignments/delete | È possibile eliminare un'assegnazione di ruolo nell'ambito specificato. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none | |
Condizione | |
((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) | Aggiungere o rimuovere assegnazioni di ruolo per i ruoli seguenti: Operatore Archiviazione di Azure Container |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ruolo collaboratore Di Azure Kubernetes Fleet Manager
Concede l'accesso in lettura/scrittura alle risorse di Azure fornite da Azure Kubernetes Fleet Manager, tra cui flotta, membri della flotta, strategie di aggiornamento della flotta, esecuzioni di aggiornamenti della flotta e così via.
Azioni | Descrizione |
---|---|
Microsoft.ContainerService/fleets/* | |
Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Amministratore del controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure
Concede l'accesso in lettura/scrittura alle risorse Kubernetes all'interno di uno spazio dei nomi nel cluster hub gestito dalla flotta. Fornisce autorizzazioni di scrittura per la maggior parte degli oggetti all'interno di uno spazio dei nomi, ad eccezione dell'oggetto ResourceQuota e dello spazio dei nomi stesso. L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.ContainerService/fleets/read | Ottieni flotta |
Microsoft.ContainerService/fleets/listCredentials/action | Elencare le credenziali della flotta |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Legge i controllerrevisions |
Microsoft.ContainerService/fleets/apps/daemonsets/* | |
Microsoft.ContainerService/fleets/apps/deployments/* | |
Microsoft.ContainerService/fleets/apps/statefulsets/* | |
Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Scrive variabili localiubjectaccessreviews |
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
Microsoft.ContainerService/fleets/batch/cronjobs/* | |
Microsoft.ContainerService/fleets/batch/jobs/* | |
Microsoft.ContainerService/fleets/configmaps/* | |
Microsoft.ContainerService/fleets/endpoints/* | |
Microsoft.ContainerService/fleets/events.k8s.io/events/read | Legge gli eventi |
Microsoft.ContainerService/fleets/events/read | Legge gli eventi |
Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
Microsoft.ContainerService/fleets/extensions/deployments/* | |
Microsoft.ContainerService/fleets/extensions/ingresses/* | |
Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
Microsoft.ContainerService/fleets/limitranges/read | Letture di limiti |
Microsoft.ContainerService/fleets/namespaces/read | Legge gli spazi dei nomi |
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/resourcequotas/read | Legge le virgolette di risorse |
Microsoft.ContainerService/fleets/secrets/* | |
Microsoft.ContainerService/fleets/serviceaccounts/* | |
Microsoft.ContainerService/fleets/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Amministratore del cluster di controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure
Concede l'accesso in lettura/scrittura a tutte le risorse Kubernetes nel cluster hub gestito dalla flotta.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.ContainerService/fleets/read | Ottieni flotta |
Microsoft.ContainerService/fleets/listCredentials/action | Elencare le credenziali della flotta |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/fleets/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ruolo con autorizzazioni di lettura del lettore del controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure
Concede l'accesso in sola lettura alla maggior parte delle risorse Kubernetes all'interno di uno spazio dei nomi nel cluster hub gestito dalla flotta. Non consente di visualizzare ruoli o associazioni di ruolo. Questo ruolo non consente la visualizzazione dei segreti, poiché la lettura dei contenuti dei segreti consente l'accesso alle credenziali di ServiceAccount nello spazio dei nomi, che consentirebbe l'accesso all'API analogamente a qualsiasi ServiceAccount nello spazio dei nomi, ovvero una forma di escalation dei privilegi. L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.ContainerService/fleets/read | Ottieni flotta |
Microsoft.ContainerService/fleets/listCredentials/action | Elencare le credenziali della flotta |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Legge i controllerrevisions |
Microsoft.ContainerService/fleets/apps/daemonsets/read | Legge i daemonset |
Microsoft.ContainerService/fleets/apps/deployments/read | Legge le distribuzioni |
Microsoft.ContainerService/fleets/apps/statefulsets/read | Legge set con stato |
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Legge horizontalpodautoscaler |
Microsoft.ContainerService/fleets/batch/cronjobs/read | Legge cronjobs |
Microsoft.ContainerService/fleets/batch/jobs/read | Legge i processi |
Microsoft.ContainerService/fleets/configmaps/read | Legge le mappe di configurazione |
Microsoft.ContainerService/fleets/endpoints/read | Legge gli endpoint |
Microsoft.ContainerService/fleets/events.k8s.io/events/read | Legge gli eventi |
Microsoft.ContainerService/fleets/events/read | Legge gli eventi |
Microsoft.ContainerService/fleets/extensions/daemonsets/read | Legge i daemonset |
Microsoft.ContainerService/fleets/extensions/deployments/read | Legge le distribuzioni |
Microsoft.ContainerService/fleets/extensions/ingresses/read | Letture in ingresso |
Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Legge i criteri di rete |
Microsoft.ContainerService/fleets/limitranges/read | Letture di limiti |
Microsoft.ContainerService/fleets/namespaces/read | Legge gli spazi dei nomi |
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Letture in ingresso |
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Legge i criteri di rete |
Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Legge persistentvolumeclaims |
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Legge poddisruptionbudgets |
Microsoft.ContainerService/fleets/replicationcontrollers/read | Legge icontroller di replica |
Microsoft.ContainerService/fleets/replicationcontrollers/read | Legge icontroller di replica |
Microsoft.ContainerService/fleets/resourcequotas/read | Legge le virgolette di risorse |
Microsoft.ContainerService/fleets/serviceaccounts/read | Legge gli account del servizio |
Microsoft.ContainerService/fleets/services/read | Legge i servizi |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Autore controllo degli accessi in base al ruolo di Gestione flotta Kubernetes di Azure
Concede l'accesso in lettura/scrittura alla maggior parte delle risorse Kubernetes all'interno di uno spazio dei nomi nel cluster hub gestito dalla flotta. Questo ruolo non consente la visualizzazione o la modifica di ruoli o associazioni di ruolo. Tuttavia, questo ruolo consente di accedere ai segreti come qualsiasi ServiceAccount nello spazio dei nomi, pertanto può essere usato per ottenere i livelli di accesso all'API di qualsiasi ServiceAccount nello spazio dei nomi. L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.ContainerService/fleets/read | Ottieni flotta |
Microsoft.ContainerService/fleets/listCredentials/action | Elencare le credenziali della flotta |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Legge i controllerrevisions |
Microsoft.ContainerService/fleets/apps/daemonsets/* | |
Microsoft.ContainerService/fleets/apps/deployments/* | |
Microsoft.ContainerService/fleets/apps/statefulsets/* | |
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
Microsoft.ContainerService/fleets/batch/cronjobs/* | |
Microsoft.ContainerService/fleets/batch/jobs/* | |
Microsoft.ContainerService/fleets/configmaps/* | |
Microsoft.ContainerService/fleets/endpoints/* | |
Microsoft.ContainerService/fleets/events.k8s.io/events/read | Legge gli eventi |
Microsoft.ContainerService/fleets/events/read | Legge gli eventi |
Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
Microsoft.ContainerService/fleets/extensions/deployments/* | |
Microsoft.ContainerService/fleets/extensions/ingresses/* | |
Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
Microsoft.ContainerService/fleets/limitranges/read | Letture di limiti |
Microsoft.ContainerService/fleets/namespaces/read | Legge gli spazi dei nomi |
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/resourcequotas/read | Legge le virgolette di risorse |
Microsoft.ContainerService/fleets/secrets/* | |
Microsoft.ContainerService/fleets/serviceaccounts/* | |
Microsoft.ContainerService/fleets/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ruolo di amministratore del cluster del servizio Azure Kubernetes
Elencare l'azione delle credenziali di amministratore del cluster.
Azioni | Descrizione |
---|---|
Microsoft.ContainerService/managedClusters/listCluster Amministrazione Credential/action | Elenca la credenziale clusterAdmin di un cluster gestito |
Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Recupera il profilo di accesso per un cluster gestito in base al nome del ruolo con un'operazione di elenco delle credenziali |
Microsoft.ContainerService/managedClusters/read | Recupera un cluster gestito |
Microsoft.ContainerService/managedClusters/runcommand/action | Eseguire il comando eseguito dall'utente sul server kubernetes gestito. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Utente di monitoraggio cluster del servizio Azure Kubernetes
Elenca le azioni per le credenziali utente di monitoraggio del cluster.
Azioni | Descrizione |
---|---|
Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Elencare le credenziali clusterMonitoringUser di un cluster gestito |
Microsoft.ContainerService/managedClusters/read | Recupera un cluster gestito |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ruolo di utente del cluster del servizio Azure Kubernetes
Elencare l'azione delle credenziali di utente del cluster.
Azioni | Descrizione |
---|---|
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Elenca la credenziale clusterUser di un cluster gestito |
Microsoft.ContainerService/managedClusters/read | Recupera un cluster gestito |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ruolo collaboratore servizio Azure Kubernetes
Concede l'accesso in lettura e scrittura ai cluster del servizio Azure Kubernetes
Azioni | Descrizione |
---|---|
Microsoft.ContainerService/managedClusters/read | Recupera un cluster gestito |
Microsoft.ContainerService/managedClusters/write | Crea un nuovo cluster gestito o ne aggiorna uno esistente |
Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/write",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Amministratore del Controllo degli accessi in base al ruolo del servizio Azure Kubernetes
Consente di gestire tutte le risorse nel cluster e/o nello spazio dei nomi, ad eccezione dell'aggiornamento o dell'eliminazione di spazi dei nomi o quote delle risorse.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Elenca la credenziale clusterUser di un cluster gestito |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/managedClusters/* | |
NotDataActions | |
Microsoft.ContainerService/managedClusters/resourcequotas/write | Scrive le virgotrici di risorse |
Microsoft.ContainerService/managedClusters/resourcequotas/delete | Elimina le virgotrici di risorse |
Microsoft.ContainerService/managedClusters/namespaces/write | Scrive spazi dei nomi |
Microsoft.ContainerService/managedClusters/namespaces/delete | Elimina spazi dei nomi |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Amministratore dei cluster del Controllo degli accessi in base al ruolo del servizio Azure Kubernetes
Consente di gestire tutte le risorse nel cluster.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Elenca la credenziale clusterUser di un cluster gestito |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/managedClusters/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ruolo con autorizzazioni di lettura per il Controllo degli accessi in base al ruolo del servizio Azure Kubernetes
Consente l'accesso in sola lettura per visualizzare la maggior parte degli oggetti in uno spazio dei nomi. Non consente di visualizzare ruoli o associazioni di ruolo. Questo ruolo non consente la visualizzazione dei segreti, poiché la lettura dei contenuti dei segreti consente l'accesso alle credenziali di ServiceAccount nello spazio dei nomi, che consentirebbe l'accesso all'API analogamente a qualsiasi ServiceAccount nello spazio dei nomi, ovvero una forma di escalation dei privilegi. L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Legge i controllerrevisions |
Microsoft.ContainerService/managedClusters/apps/daemonsets/read | Legge i daemonset |
Microsoft.ContainerService/managedClusters/apps/deployments/read | Legge le distribuzioni |
Microsoft.ContainerService/managedClusters/apps/replicasets/read | Legge i set di repliche |
Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Legge set con stato |
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Legge horizontalpodautoscaler |
Microsoft.ContainerService/managedClusters/batch/cronjobs/read | Legge cronjobs |
Microsoft.ContainerService/managedClusters/batch/jobs/read | Legge i processi |
Microsoft.ContainerService/managedClusters/configmaps/read | Legge le mappe di configurazione |
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Legge gli endpointslices |
Microsoft.ContainerService/managedClusters/endpoints/read | Legge gli endpoint |
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Legge gli eventi |
Microsoft.ContainerService/managedClusters/events/read | Legge gli eventi |
Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | Legge i daemonset |
Microsoft.ContainerService/managedClusters/extensions/deployments/read | Legge le distribuzioni |
Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Letture in ingresso |
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Legge i criteri di rete |
Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Legge i set di repliche |
Microsoft.ContainerService/managedClusters/limitranges/read | Letture di limiti |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Legge i pod |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Legge i nodi |
Microsoft.ContainerService/managedClusters/namespaces/read | Legge gli spazi dei nomi |
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Letture in ingresso |
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Legge i criteri di rete |
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | Legge persistentvolumeclaims |
Microsoft.ContainerService/managedClusters/pods/read | Legge i pod |
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Legge poddisruptionbudgets |
Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Legge icontroller di replica |
Microsoft.ContainerService/managedClusters/resourcequotas/read | Legge le virgolette di risorse |
Microsoft.ContainerService/managedClusters/serviceaccounts/read | Legge gli account del servizio |
Microsoft.ContainerService/managedClusters/services/read | Legge i servizi |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Ruolo con autorizzazioni di scrittura per il Controllo degli accessi in base al ruolo del servizio Azure Kubernetes
Consente l'accesso in lettura/scrittura alla maggior parte degli oggetti in uno spazio dei nomi. Questo ruolo non consente la visualizzazione o la modifica di ruoli o associazioni di ruolo. Tuttavia, questo ruolo consente di accedere ai segreti ed eseguire pod come qualsiasi ServiceAccount nello spazio dei nomi, pertanto può essere usato per ottenere i livelli di accesso all'API di qualsiasi ServiceAccount nello spazio dei nomi. L'applicazione di questo ruolo a livello di ambito del cluster consentirà l'accesso in tutti gli spazi dei nomi.
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Legge i controllerrevisions |
Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
Microsoft.ContainerService/managedClusters/apps/deployments/* | |
Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | Legge i lease |
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | Scrive lease |
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | Elimina i lease |
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Legge gli endpointslices |
Microsoft.ContainerService/managedClusters/batch/jobs/* | |
Microsoft.ContainerService/managedClusters/configmaps/* | |
Microsoft.ContainerService/managedClusters/endpoints/* | |
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Legge gli eventi |
Microsoft.ContainerService/managedClusters/events/* | |
Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
Microsoft.ContainerService/managedClusters/limitranges/read | Letture di limiti |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Legge i pod |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Legge i nodi |
Microsoft.ContainerService/managedClusters/namespaces/read | Legge gli spazi dei nomi |
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
Microsoft.ContainerService/managedClusters/pods/* | |
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
Microsoft.ContainerService/managedClusters/resourcequotas/read | Legge le virgolette di risorse |
Microsoft.ContainerService/managedClusters/secrets/* | |
Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
Microsoft.ContainerService/managedClusters/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operatore senza agente Kubernetes
Concede ai servizi Azure Kubernetes di accedere a Microsoft Defender per il cloud
Azioni | Descrizione |
---|---|
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | Creare o aggiornare associazioni di ruoli di accesso trusted per il cluster gestito |
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | Ottenere associazioni di ruoli di accesso attendibili per il cluster gestito |
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | Eliminare associazioni di ruoli di accesso attendibili per il cluster gestito |
Microsoft.ContainerService/managedClusters/read | Recupera un cluster gestito |
Microsoft.Features/features/read | Ottiene le funzionalità di una sottoscrizione. |
Microsoft.Features/providers/features/read | Ottiene la funzionalità di una sottoscrizione in un provider di risorse specificato. |
Microsoft.Features/providers/features/register/action | Registra la funzionalità per una sottoscrizione in un provider di risorse specificato. |
Microsoft.Security/pricings/securityoperators/read | Ottiene gli operatori di sicurezza per l'ambito |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cluster Kubernetes - Ruolo di onboarding di Azure Arc
Definizione del ruolo per autorizzare qualsiasi utente/servizio alla creazione di risorse di tipo connectedClusters
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Insights/alertRules/* | Creare e gestire un avviso classico per le metriche |
Microsoft.Resources/deployments/write | Crea o aggiorna una distribuzione. |
Microsoft.Resources/subscriptions/operationresults/read | Ottiene i risultati dell'operazione di sottoscrizione. |
Microsoft.Resources/subscriptions/read | Ottiene l'elenco delle sottoscrizioni. |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.Kubernetes/connectedClusters/Write | Scrive connectedClusters |
Microsoft.Kubernetes/connectedClusters/read | Leggere connectedClusters |
Microsoft.Support/* | Creare e aggiornare un ticket di supporto |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Collaboratore estensione Kubernetes
Consente di creare, aggiornare, ottenere, elencare ed eliminare le estensioni Kubernetes e di ottenere operazioni asincrone dell'estensione
Azioni | Descrizione |
---|---|
Microsoft.Authorization/*/read | Leggere i ruoli e le assegnazioni di ruoli |
Microsoft.Insights/alertRules/* | Creare e gestire un avviso classico per le metriche |
Microsoft.Resources/deployments/* | Creare e gestire una distribuzione |
Microsoft.Resources/subscriptions/resourceGroups/read | Ottiene o elenca i gruppi di risorse. |
Microsoft.KubernetesConfiguration/extensions/write | Crea o aggiorna la risorsa di estensione. |
Microsoft.KubernetesConfiguration/extensions/read | Ottiene la risorsa dell'istanza dell'estensione. |
Microsoft.KubernetesConfiguration/extensions/delete | Elimina la risorsa dell'istanza dell'estensione. |
Microsoft.KubernetesConfiguration/extensions/operations/read | Ottiene lo stato dell'operazione asincrona. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}