이 문서에서는 컨테이너 범주의 Azure 기본 제공 역할을 나열합니다.
AcrDelete
컨테이너 레지스트리에서 리포지토리, 태그 또는 매니페스트를 삭제합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | 컨테이너 레지스트리의 아티팩트를 삭제합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
이 역할을 사용하지 마십시오. Azure Container Registry 및 AcrImageSigner 역할의 콘텐츠 신뢰는 더 이상 사용되지 않으며 2028년 3월 31일에 완전히 제거됩니다. 자세한 내용 및 전환 지침은 다음을 참조하세요 https://aka.ms/acr/dctdeprecation.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/레지스트리/서명/쓰기 | 컨테이너 레지스트리에 대한 콘텐츠 신뢰 메타데이터를 푸시/풀합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | 컨테이너 레지스트리 콘텐츠의 신뢰할 수 있는 컬렉션을 푸시하거나 게시할 수 있습니다. 이는 데이터 작업이라는 점을 제외하고 Microsoft.ContainerRegistry/registries/sign/write 작업과 유사합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
아크풀
컨테이너 레지스트리에서 아티팩트를 풀합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | 컨테이너 레지스트리에서 이미지를 풀하거나 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
컨테이너 레지스트리에 아티팩트를 푸시하거나 컨테이너 레지스트리에서 아티팩트를 풀합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | 컨테이너 레지스트리에서 이미지를 풀하거나 가져옵니다. |
| Microsoft.ContainerRegistry/registries/push/write | 컨테이너 레지스트리에 이미지를 푸시하거나 씁니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
컨테이너 레지스트리에서 격리된 이미지를 풀합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | 컨테이너 레지스트리에서 격리된 이미지를 풀하거나 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | 컨테이너 레지스트리에서 격리된 아티팩트를 풀하거나 가져올 수 있습니다. 이는 데이터 작업이라는 점을 제외하고 Microsoft.ContainerRegistry/registries/quarantine/read와 유사합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
컨테이너 레지스트리에 격리된 이미지를 푸시하거나 컨테이너 레지스트리에서 격리된 이미지를 풀합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | 컨테이너 레지스트리에서 격리된 이미지를 풀하거나 가져옵니다. |
| Microsoft.ContainerRegistry/registries/quarantine/write | 격리된 이미지의 격리 상태를 작성/수정합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | 컨테이너 레지스트리에서 격리된 아티팩트를 풀하거나 가져올 수 있습니다. 이는 데이터 작업이라는 점을 제외하고 Microsoft.ContainerRegistry/registries/quarantine/read와 유사합니다. |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | 격리된 아티팩트의 격리 상태를 쓰거나 업데이트할 수 있습니다. 이는 데이터 작업이라는 점을 제외하고 Microsoft.ContainerRegistry/registries/quarantine/write 작업과 유사합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc 지원 Kubernetes 클러스터 사용자 역할
클러스터 사용자 자격 증명 동작을 나열합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Resources/배포/쓰기 | 배포를 만들거나 업데이트합니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | clusterUser 자격 증명(미리 보기)을 나열합니다. |
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | clusterUser 자격 증명을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes 관리자
리소스 할당량 및 네임스페이스 업데이트 또는 삭제를 제외하고 클러스터/네임스페이스의 모든 리소스를 관리할 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/배포/쓰기 | 배포를 만들거나 업데이트합니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | localsubjectaccessreviews를 씁니다. |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | events를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/events/read | events를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | namespaces를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes 클러스터 관리자
클러스터의 모든 리소스를 관리할 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/배포/쓰기 | 배포를 만들거나 업데이트합니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes 뷰어
비밀을 제외하고 클러스터/네임스페이스의 모든 리소스를 볼 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/배포/쓰기 | 배포를 만들거나 업데이트합니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | daemonsets를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | deployments를 읽습니다. |
| Microsoft.Kubernetes/연결된클러스터/앱/레플리카셋/읽기 | replicasets를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | statefulsets를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | cronjobs를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | jobs를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | configmaps를 읽습니다. |
| Microsoft.Kubernetes/연결된클러스터/엔드포인트/읽기 | endpoints를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | events를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/events/read | events를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | daemonsets를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | deployments를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | ingresses를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | networkpolicies를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | replicasets를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | namespaces를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | ingresses를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | networkpolicies를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | persistentvolumeclaims를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/pods/read | pods를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | poddisruptionbudgets를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | replicationcontrollers를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | replicationcontrollers를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | serviceaccounts를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/services/read | services를 읽습니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes 작성자
(클러스터)역할 및 (클러스터)역할 바인딩을 제외하고 클러스터/네임스페이스의 모든 항목을 업데이트할 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/배포/쓰기 | 배포를 만들거나 업데이트합니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | events를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/events/read | events를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | namespaces를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Container Instances 기여자 역할
Azure Container Instances에서 제공하는 컨테이너 그룹에 대한 읽기/쓰기 액세스 권한 부여
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerInstance/containerGroups/* | 컨테이너 그룹 만들기 및 관리 |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to container groups provided by Azure Container Instances",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"name": "5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"permissions": [
{
"actions": [
"Microsoft.ContainerInstance/containerGroups/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Instances Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure 컨테이너 스토리지 기여자
Azure 컨테이너 스토리지를 설치하고 해당 스토리지 리소스를 관리합니다. 역할 할당을 제한하는 ABAC 조건을 포함합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.KubernetesConfiguration/extensions/write | 확장 리소스를 만들거나 업데이트합니다. |
| Microsoft.KubernetesConfiguration/extensions/read | 확장 인스턴스 리소스를 가져옵니다. |
| Microsoft.KubernetesConfiguration/확장/삭제 | 확장 인스턴스 리소스를 삭제합니다. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 비동기 작업 상태를 가져옵니다. |
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Management/관리 그룹/읽기 | 인증된 사용자의 관리 그룹을 나열합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 | |
| 작업 | |
| Microsoft.Authorization/roleAssignments/write | 지정된 범위에서 역할 할당을 만듭니다. |
| Microsoft.Authorization/roleAssignments/delete | 지정된 범위에서 역할 할당을 삭제합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 | |
| 상태 | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) | 다음 역할에 대한 역할 할당을 추가하거나 제거합니다. Azure 컨테이너 스토리지 연산자 |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure 컨테이너 스토리지 연산자
관리형 ID를 사용하도록 설정하여 가상 머신 관리 및 가상 네트워크 관리와 같은 Azure 컨테이너 스토리지 작업을 수행합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | 비동기 작업의 상태를 폴링합니다. |
| Microsoft.Network/routeTables/join/action | 경로 테이블을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/네트워크보안그룹/join/action | 네트워크 보안 그룹을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/virtualNetworks/write | 가상 네트워크를 만들거나 기존 가상 네트워크를 업데이트합니다. |
| Microsoft.Network/virtualNetworks/delete | 가상 네트워크를 삭제합니다. |
| Microsoft.Network/virtualNetworks/join/action | 가상 네트워크를 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/virtualNetworks/subnets/read | 가상 네트워크 서브넷 정의를 가져옵니다. |
| Microsoft.Network/virtualNetworks/subnets/write | 가상 네트워크 서브넷을 만들거나 기존 가상 네트워크 서브넷을 업데이트합니다. |
| Microsoft.Compute/virtualMachines/read | 가상 머신의 속성을 가져옵니다. |
| Microsoft.Compute/virtualMachines/write | 새 가상 머신을 만들거나 기존 가상 머신을 업데이트합니다. |
| Microsoft.Compute/virtualMachineScaleSets/read | 가상 머신 확장 집합의 속성을 가져옵니다. |
| Microsoft.Compute/virtualMachineScaleSets/write | 새 가상 머신 확장 집합을 만들거나 기존 가상 머신 확장 집합을 업데이트합니다. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | VM 확장 집합에 있는 가상 머신의 속성을 업데이트합니다. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | VM 확장 집합에 있는 가상 머신의 속성을 가져옵니다. |
| Microsoft.Resources/subscriptions/providers/read | 리소스 공급자를 가져오거나 나열합니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Network/virtualNetworks/read | 가상 네트워크 정의를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure 컨테이너 스토리지 소유자
Azure 컨테이너 스토리지를 설치하고, 스토리지 리소스에 대한 액세스 권한을 부여하고, Azure Elastic SAN(저장 영역 네트워크)을 구성합니다. 역할 할당을 제한하는 ABAC 조건을 포함합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | 비동기 작업의 상태를 폴링합니다. |
| Microsoft.KubernetesConfiguration/extensions/write | 확장 리소스를 만들거나 업데이트합니다. |
| Microsoft.KubernetesConfiguration/extensions/read | 확장 인스턴스 리소스를 가져옵니다. |
| Microsoft.KubernetesConfiguration/확장/삭제 | 확장 인스턴스 리소스를 삭제합니다. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 비동기 작업 상태를 가져옵니다. |
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Management/관리 그룹/읽기 | 인증된 사용자의 관리 그룹을 나열합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 | |
| 작업 | |
| Microsoft.Authorization/roleAssignments/write | 지정된 범위에서 역할 할당을 만듭니다. |
| Microsoft.Authorization/roleAssignments/delete | 지정된 범위에서 역할 할당을 삭제합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 | |
| 상태 | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) | 다음 역할에 대한 역할 할당을 추가하거나 제거합니다. Azure 컨테이너 스토리지 연산자 |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager 기여자 역할
집합, 집합 멤버, 집합 업데이트 전략, 집합 업데이트 실행 등을 포함하여 Azure Kubernetes Fleet Manager에서 제공하는 Azure 리소스에 대한 읽기/쓰기 권한을 부여합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager 허브 에이전트 역할
Azure Kubernetes Fleet Manager 허브 에이전트에 필요한 Azure 리소스에 대한 액세스 권한을 부여합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Network/publicIPAddresses/read | 공용 IP 주소 정의를 가져옵니다. |
| Microsoft.Network/trafficManagerProfiles/read | Traffic Manager 프로필 구성을 가져옵니다. 여기에는 DNS 설정, 트래픽 라우팅 설정, 엔드포인트 모니터링 설정 및 이 Traffic Manager 프로필에서 라우팅된 엔드포인트 목록이 포함됩니다. |
| Microsoft.Network/trafficManagerProfiles/write | Traffic Manager 프로필을 만들거나 기존 Traffic Manager 프로필의 구성을 수정합니다. 여기에는 프로필을 사용하거나 사용하지 않도록 설정하고 DNS 설정, 트래픽 라우팅 설정 또는 엔드포인트 모니터링 설정을 수정하는 것이 포함됩니다. Traffic Manager 프로필에 의해 라우팅된 엔드포인트를 추가, 제거, 사용 또는 비활성화할 수 있습니다. |
| Microsoft.Network/trafficManagerProfiles/delete | Traffic Manager 프로필을 삭제합니다. Traffic Manager 프로필과 연결된 모든 설정이 손실되고 더 이상 트래픽을 라우팅하는 데 프로필을 사용할 수 없습니다. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/read | Azure 엔드포인트의 속성을 포함하여 Traffic Manager 프로필에 속한 Azure 엔드포인트를 가져옵니다. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/write | 기존 Traffic Manager 프로필에 새 Azure 엔드포인트를 추가하거나 해당 Traffic Manager 프로필에서 기존 Azure 엔드포인트의 속성을 업데이트합니다. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete | 기존 Traffic Manager 프로필에서 Azure 엔드포인트를 삭제합니다. Traffic Manager는 삭제된 Azure 엔드포인트에 대한 트래픽 라우팅을 중지합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants access to Azure resources needed by Azure Kubernetes Fleet Manager hub agents.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"name": "de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/trafficManagerProfiles/read",
"Microsoft.Network/trafficManagerProfiles/write",
"Microsoft.Network/trafficManagerProfiles/delete",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/read",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/write",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Agent Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC 관리자
Fleet 관리형 허브 클러스터의 네임스페이스 내에서 Kubernetes 리소스에 대한 읽기/쓰기 권한을 부여합니다. ResourceQuota 개체와 네임스페이스 개체 자체를 제외하고 네임스페이스 내의 대부분의 개체에 대한 쓰기 권한을 제공합니다. 클러스터 범위에 이 역할을 적용하면 모든 네임스페이스에 대한 액세스 권한이 부여됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.ContainerService/fleets/read | 플릿을 가져옵니다. |
| Microsoft.ContainerService/fleets/listCredentials/action | 집합 자격 증명을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions를 읽습니다. |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | localsubjectaccessreviews를 씁니다. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | events를 읽습니다. |
| Microsoft.ContainerService/fleets/events/read | events를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges를 읽습니다. |
| Microsoft.ContainerService/fleets/namespaces/read | namespaces를 읽습니다. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas를 읽습니다. |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | 집합 internalmembercluster 리소스를 읽습니다. |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | 집합 resourceoverridesnapshot 리소스를 읽습니다. |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | 집합 작업 리소스를 읽습니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC 클러스터 관리자
집합 관리 허브 클러스터의 모든 Kubernetes 리소스에 대한 읽기/쓰기 권한을 부여합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.ContainerService/fleets/read | 플릿을 가져옵니다. |
| Microsoft.ContainerService/fleets/listCredentials/action | 집합 자격 증명을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC 읽기 권한자
집합 관리 허브 클러스터의 네임스페이스 내 대부분의 Kubernetes 리소스에 대한 읽기 전용 액세스 권한을 부여합니다. 역할 또는 역할 바인딩을 볼 수 없습니다. 이 역할은 비밀을 볼 수 없습니다. 비밀 내용을 읽으면 네임스페이스의 ServiceAccount 자격 증명에 액세스할 수 있으므로 네임스페이스의 ServiceAccount로 API 액세스가 허용될 수 있기 때문입니다(일종의 권한 상승). 클러스터 범위에 이 역할을 적용하면 모든 네임스페이스에 대한 액세스 권한이 부여됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.ContainerService/fleets/read | 플릿을 가져옵니다. |
| Microsoft.ContainerService/fleets/listCredentials/action | 집합 자격 증명을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions를 읽습니다. |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | daemonsets를 읽습니다. |
| Microsoft.ContainerService/fleets/apps/deployments/read | deployments를 읽습니다. |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | statefulsets를 읽습니다. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers를 읽습니다. |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | cronjobs를 읽습니다. |
| Microsoft.ContainerService/fleets/batch/jobs/read | jobs를 읽습니다. |
| Microsoft.ContainerService/fleets/configmaps/read | configmaps를 읽습니다. |
| Microsoft.ContainerService/fleets/endpoints/read | endpoints를 읽습니다. |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | events를 읽습니다. |
| Microsoft.ContainerService/fleets/events/read | events를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | daemonsets를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/deployments/read | deployments를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | ingresses를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | networkpolicies를 읽습니다. |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges를 읽습니다. |
| Microsoft.ContainerService/fleets/namespaces/read | namespaces를 읽습니다. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | ingresses를 읽습니다. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | networkpolicies를 읽습니다. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | persistentvolumeclaims를 읽습니다. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | poddisruptionbudgets를 읽습니다. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers를 읽습니다. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers를 읽습니다. |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas를 읽습니다. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | serviceaccounts를 읽습니다. |
| Microsoft.ContainerService/fleets/services/read | services를 읽습니다. |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | 집합 internalmembercluster 리소스를 읽습니다. |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | 집합 resourceoverride 리소스를 읽습니다. |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | 집합 resourceoverridesnapshot 리소스를 읽습니다. |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | 집합 작업 리소스를 읽습니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC 작성자
집합 관리 허브 클러스터의 네임스페이스 내 대부분의 Kubernetes 리소스에 대한 읽기/쓰기 권한을 부여합니다. 이 역할은 역할 또는 역할 바인딩을 보거나 수정하는 것을 허용하지 않습니다. 그러나 이 역할을 사용하여 네임스페이스의 ServiceAccount로 비밀에 액세스할 수 있으므로 네임스페이스에 있는 모든 ServiceAccount의 API 액세스 수준을 얻을 수 있습니다. 클러스터 범위에 이 역할을 적용하면 모든 네임스페이스에 대한 액세스 권한이 부여됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.ContainerService/fleets/read | 플릿을 가져옵니다. |
| Microsoft.ContainerService/fleets/listCredentials/action | 집합 자격 증명을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions를 읽습니다. |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | daemonsets를 읽습니다. |
| Microsoft.ContainerService/fleets/apps/daemonsets/write | daemonsets를 씁니다. |
| Microsoft.ContainerService/fleets/apps/deployments/read | deployments를 읽습니다. |
| Microsoft.ContainerService/fleets/apps/deployments/write | deployments를 씁니다. |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | statefulsets를 읽습니다. |
| Microsoft.ContainerService/fleets/apps/statefulsets/write | statefulsets를 씁니다. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers를 읽습니다. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write | horizontalpodautoscalers를 씁니다. |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | cronjobs를 읽습니다. |
| Microsoft.ContainerService/fleets/batch/cronjobs/write | cronjobs를 씁니다. |
| Microsoft.ContainerService/fleets/batch/jobs/read | jobs를 읽습니다. |
| Microsoft.ContainerService/fleets/batch/jobs/write | jobs를 씁니다. |
| Microsoft.ContainerService/fleets/configmaps/read | configmaps를 읽습니다. |
| Microsoft.ContainerService/fleets/configmaps/write | configmaps를 씁니다. |
| Microsoft.ContainerService/fleets/endpoints/read | endpoints를 읽습니다. |
| Microsoft.ContainerService/fleets/endpoints/write | endpoints를 씁니다. |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | events를 읽습니다. |
| Microsoft.ContainerService/fleets/events/read | events를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | daemonsets를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/write | daemonsets를 씁니다. |
| Microsoft.ContainerService/fleets/extensions/deployments/read | deployments를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/deployments/write | deployments를 씁니다. |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | ingresses를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/ingresses/write | ingresses를 씁니다. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | networkpolicies를 읽습니다. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/write | networkpolicies를 씁니다. |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges를 읽습니다. |
| Microsoft.ContainerService/fleets/namespaces/read | namespaces를 읽습니다. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | ingresses를 읽습니다. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write | ingresses를 씁니다. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | networkpolicies를 읽습니다. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write | networkpolicies를 씁니다. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | persistentvolumeclaims를 읽습니다. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/write | persistentvolumeclaims를 씁니다. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | poddisruptionbudgets를 읽습니다. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write | poddisruptionbudgets를 씁니다. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers를 읽습니다. |
| Microsoft.ContainerService/fleets/replicationcontrollers/write | replicationcontrollers를 씁니다. |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas를 읽습니다. |
| Microsoft.ContainerService/fleets/secrets/read | secrets를 읽습니다. |
| Microsoft.ContainerService/fleets/secrets/write | secrets를 씁니다. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | serviceaccounts를 읽습니다. |
| Microsoft.ContainerService/fleets/serviceaccounts/write | serviceaccounts를 씁니다. |
| Microsoft.ContainerService/fleets/services/read | services를 읽습니다. |
| Microsoft.ContainerService/fleets/services/write | services를 씁니다. |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | 집합 internalmembercluster 리소스를 읽습니다. |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | 집합 resourceoverride 리소스를 읽습니다. |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | 집합 resourceoverride 리소스를 씁니다. |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | 집합 resourceoverridesnapshot 리소스를 읽습니다. |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | 집합 작업 리소스를 읽습니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc 클러스터 관리자 역할
클러스터 관리자 자격 증명 작업을 나열합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 연결된 클러스터와 연관된 하이브리드 AKS 프로비전된 클러스터 인스턴스를 가져옵니다. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | 직접 모드에서만 사용되는 프로비전된 클러스터 인스턴스의 관리자 자격 증명을 나열합니다. |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters를 읽습니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc 클러스터 사용자 역할
클러스터 사용자 자격 증명 작업을 나열합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 연결된 클러스터와 연관된 하이브리드 AKS 프로비전된 클러스터 인스턴스를 가져옵니다. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | 직접 모드에서만 사용되는 프로비전된 클러스터 인스턴스의 AAD 사용자 자격 증명을 나열합니다. |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters를 읽습니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc 기여자 역할
Azure Kubernetes Service 하이브리드 클러스터를 읽고 쓸 수 있는 액세스 권한을 부여합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.HybridContainerService/Locations/operationStatuses/read | operationStatuses를 읽습니다. |
| Microsoft.HybridContainerService/Operations/read | Operations를 읽습니다. |
| Microsoft.HybridContainerService/kubernetesVersions/read | 기본 사용자 지정 위치에서 지원되는 Kubernetes 버전을 나열합니다. |
| Microsoft.HybridContainerService/kubernetesVersions/write | Kubernetes 버전 리소스 종류를 배치합니다. |
| Microsoft.HybridContainerService/kubernetesVersions/delete | Kubernetes 버전 리소스 종류를 삭제합니다. |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 연결된 클러스터와 연관된 하이브리드 AKS 프로비전된 클러스터 인스턴스를 가져옵니다. |
| Microsoft.HybridContainerService/설치된클러스터인스턴스/쓰기 | 하이브리드 AKS 프로비전된 클러스터 인스턴스를 만듭니다. |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | 하이브리드 AKS 프로비전된 클러스터 인스턴스를 삭제합니다. |
| Microsoft.HybridContainerService/프로비전된클러스터인스턴스/에이전트풀/읽기 | 하이브리드 AKS 프로비전된 클러스터 인스턴스에서 에이전트 풀을 가져옵니다. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | 하이브리드 AKS 프로비전된 클러스터 인스턴스의 에이전트 풀을 업데이트합니다. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete | 하이브리드 AKS 프로비전된 클러스터 인스턴스의 에이전트 풀을 삭제합니다. |
| Microsoft.HybridContainerService/프로비전된클러스터인스턴스/업그레이드프로필/읽기 | upgradeProfiles를 읽습니다. |
| Microsoft.HybridContainerService/skus/read | 기본 사용자 지정 위치에서 지원되는 VM SKU를 나열합니다. |
| Microsoft.HybridContainerService/skus/write | VM SKU 리소스 종류를 배치합니다. |
| Microsoft.HybridContainerService/skus/delete | VM SKU 리소스 종류를 삭제합니다. |
| Microsoft.HybridContainerService/가상네트워크/읽기 | 구독별로 하이브리드 AKS 가상 네트워크를 나열합니다. |
| Microsoft.HybridContainerService/virtualNetworks/write | 하이브리드 AKS 가상 네트워크를 패치합니다. |
| Microsoft.HybridContainerService/virtualNetworks/delete | 하이브리드 AKS 가상 네트워크를 삭제합니다. |
| Microsoft.ExtendedLocation/customLocations/deploy/action | 사용자 지정 위치 리소스에 대한 권한을 배포합니다. |
| Microsoft.ExtendedLocation/customLocations/read | 사용자 지정 위치 리소스를 가져옵니다. |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters를 읽습니다. |
| Microsoft.Kubernetes/connectedClusters/Write | connectedClusters를 씁니다. |
| Microsoft.Kubernetes/연결된클러스터/삭제 | connectedClusters를 삭제합니다. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | clusterUser 자격 증명을 나열합니다. |
| Microsoft.AzureStackHCI/clusters/read | 클러스터를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 클러스터 관리자 역할
클러스터 관리자 자격 증명 작업을 나열합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | 관리형 클러스터의 clusterAdmin 자격 증명을 나열합니다. |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | 자격 증명 나열을 사용하여 역할 이름별로 관리형 클러스터 액세스 프로필을 가져옵니다. |
| Microsoft.ContainerService/managedClusters/read | 관리형 클러스터를 가져옵니다. |
| Microsoft.ContainerService/managedClusters/runcommand/action | 관리형 Kubernetes 서버에 대해 사용자가 실행한 명령을 실행합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 클러스터 모니터링 사용자
클러스터 모니터링 사용자 자격 증명 작업을 나열합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | 관리형 클러스터의 clusterMonitoringUser 자격 증명을 나열합니다. |
| Microsoft.ContainerService/managedClusters/read | 관리형 클러스터를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 클러스터 사용자 역할
클러스터 사용자 자격 증명 작업을 나열합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 관리형 클러스터의 clusterUser 자격 증명을 나열합니다. |
| Microsoft.ContainerService/managedClusters/read | 관리형 클러스터를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 기여자 역할
Azure Kubernetes Service 클러스터를 읽고 쓸 수 있는 액세스 권한을 부여합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.ContainerService/locations/* | ContainerService 리소스에 사용할 수 있는 위치를 읽습니다. |
| Microsoft.ContainerService/managedClusters/* | 관리형 클러스터를 만들고 구성합니다. |
| Microsoft.ContainerService/managedclustersnapshots/* | 관리형 클러스터 스냅샷을 만들고 관리합니다. |
| Microsoft.ContainerService/snapshots/* | 스냅샷을 만들고 관리합니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 네임스페이스 기여자
사용자가 Azure Kubernetes Service 네임스페이스 리소스를 만들고 관리할 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.ContainerService/managedClusters/managedNamespaces/* | 네임스페이스 만들기 및 관리 |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Allows users to create and manage Azure Kubernetes Service namespace resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/289d8817-ee69-43f1-a0af-43a45505b488",
"name": "289d8817-ee69-43f1-a0af-43a45505b488",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 네임스페이스 사용자
사용자가 Azure Kubernetes Service 네임스페이스 리소스를 읽을 수 있습니다. 클러스터 내 네임스페이스 액세스에는 Entra ID 사용 클러스터에 대한 네임스페이스 리소스에 Azure Kubernetes Service RBAC 역할을 할당해야 합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerService/managedClusters/managedNamespaces/read | 관리형 클러스터의 관리되는 네임스페이스 가져오기 |
| Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action | 관리되는 네임스페이스의 클러스터 자격 증명 나열 |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Allows users to read Azure Kubernetes Service namespace resources. In-cluster namespace access further requires assignment of Azure Kubernetes Service RBAC roles to the namespace resource for an Entra ID enabled cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"name": "c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/managedNamespaces/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 관리자
리소스 할당량 및 네임스페이스 업데이트 또는 삭제를 제외하고 클러스터/네임스페이스의 모든 리소스를 관리할 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 관리형 클러스터의 clusterUser 자격 증명을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | resourcequotas를 씁니다. |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | resourcequotas를 삭제합니다. |
| Microsoft.ContainerService/관리클러스터/네임스페이스/쓰기 | namespaces를 씁니다. |
| Microsoft.ContainerService/managedClusters/namespaces/delete | namespaces를 삭제합니다. |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 클러스터 관리자
클러스터의 모든 리소스를 관리할 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 관리형 클러스터의 clusterUser 자격 증명을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 읽기 권한자
네임스페이스에 있는 대부분의 개체를 볼 수 있는 읽기 전용 권한을 허용합니다. 역할 또는 역할 바인딩을 볼 수 없습니다. 이 역할은 비밀을 볼 수 없습니다. 비밀 내용을 읽으면 네임스페이스의 ServiceAccount 자격 증명에 액세스할 수 있으므로 네임스페이스의 ServiceAccount로 API 액세스가 허용될 수 있기 때문입니다(일종의 권한 상승). 클러스터 범위에 이 역할을 적용하면 모든 네임스페이스에 대한 액세스 권한이 부여됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions를 읽습니다. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | daemonsets를 읽습니다. |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | deployments를 읽습니다. |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | replicasets를 읽습니다. |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | statefulsets를 읽습니다. |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers를 읽습니다. |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | cronjobs를 읽습니다. |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | jobs를 읽습니다. |
| Microsoft.ContainerService/managedClusters/configmaps/read | configmaps를 읽습니다. |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices를 읽습니다. |
| Microsoft.ContainerService/managedClusters/endpoints/read | endpoints를 읽습니다. |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | events를 읽습니다. |
| Microsoft.ContainerService/managedClusters/events/read | events를 읽습니다. |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | daemonsets를 읽습니다. |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | deployments를 읽습니다. |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | ingresses를 읽습니다. |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | networkpolicies를 읽습니다. |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | replicasets를 읽습니다. |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges를 읽습니다. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | pods를 읽습니다. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | nodes를 읽습니다. |
| Microsoft.ContainerService/managedClusters/namespaces/read | namespaces를 읽습니다. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | ingresses를 읽습니다. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | networkpolicies를 읽습니다. |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | persistentvolumeclaims를 읽습니다. |
| Microsoft.ContainerService/managedClusters/pods/read | pods를 읽습니다. |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | poddisruptionbudgets를 읽습니다. |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | replicationcontrollers를 읽습니다. |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas를 읽습니다. |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | serviceaccounts를 읽습니다. |
| Microsoft.ContainerService/managedClusters/services/read | services를 읽습니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 쓰기 권한자
네임스페이스에 있는 대부분의 개체에 대해 읽기/쓰기 액세스 권한을 허용합니다. 이 역할은 역할 또는 역할 바인딩을 보거나 수정하는 것을 허용하지 않습니다. 그러나 이 역할을 사용하여 네임스페이스의 ServiceAccount로 Pod를 실행하고 비밀에 액세스할 수 있으므로 네임스페이스에 있는 모든 ServiceAccount의 API 액세스 수준을 얻을 수 있습니다. 클러스터 범위에 이 역할을 적용하면 모든 네임스페이스에 대한 액세스 권한이 부여됩니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions를 읽습니다. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | leases를 읽습니다. |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | leases를 씁니다. |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | leases를 삭제합니다. |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices를 읽습니다. |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | events를 읽습니다. |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges를 읽습니다. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | pods를 읽습니다. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | nodes를 읽습니다. |
| Microsoft.ContainerService/managedClusters/namespaces/read | namespaces를 읽습니다. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/관리된클러스터/복제제어기/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas를 읽습니다. |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift Cloud Controller Manager
OpenShift 위에 배포된 클라우드 컨트롤러 관리자를 관리하고 업데이트합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Compute/virtualMachines/read | 가상 머신의 속성을 가져옵니다. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | 부하 분산 장치 백 엔드 주소 풀을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/loadBalancers/read | 부하 분산 장치 정의를 가져옵니다. |
| Microsoft.Network/로드밸런서/쓰기 | 부하 분산 장치를 만들거나 기존 부하 분산 장치를 업데이트합니다. |
| Microsoft.Network/networkInterfaces/read | 네트워크 인터페이스 정의를 가져옵니다. |
| Microsoft.Network/네트워크 인터페이스/쓰기 (write) | 네트워크 인터페이스를 만들거나 기존 네트워크 인터페이스를 업데이트합니다. |
| Microsoft.Network/networkSecurityGroups/read | 네트워크 보안 그룹 정의를 가져옵니다. |
| Microsoft.Network/networkSecurityGroups/write | 네트워크 보안 그룹을 만들거나 기존 네트워크 보안 그룹을 업데이트합니다. |
| Microsoft.Network/publicIPAddresses/join/action | 공용 IP 주소를 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/publicIPAddresses/read | 공용 IP 주소 정의를 가져옵니다. |
| Microsoft.Network/publicIPAddresses/write | 공용 IP 주소를 만들거나 기존 공용 IP 주소를 업데이트합니다. |
| Microsoft.Network/virtualNetworks/subnets/join/action | 가상 네트워크를 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/virtualNetworks/subnets/read | 가상 네트워크 서브넷 정의를 가져옵니다. |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | 부하 분산 장치 인바운드 NAT 규칙을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/네트워크보안그룹/join/action | 네트워크 보안 그룹을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/publicIPPrefixes/join/action | PublicIPPrefix를 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | 보안 규칙을 애플리케이션 보안 그룹에 조인합니다. 경고할 수 없습니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Manage and update the cloud controller manager deployed on top of OpenShift.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a1f96423-95ce-4224-ab27-4e3dc72facd4",
"name": "a1f96423-95ce-4224-ab27-4e3dc72facd4",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/publicIPPrefixes/join/action",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cloud Controller Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift 클러스터 수신 연산자
OpenShift 라우터를 관리하고 구성합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Network/dnsZones/A/delete | DNS 영역에서 지정된 이름의 레코드 집합 및 'A' 형식을 제거합니다. |
| Microsoft.Network/dnsZones/A/write | DNS 영역 내에서 'A' 형식의 레코드 집합을 만들거나 업데이트합니다. 지정된 레코드는 레코드 집합의 현재 레코드를 대체합니다. |
| Microsoft.Network/privateDnsZones/A/delete | 프라이빗 DNS 영역에서 지정된 이름의 레코드 집합 및 'A' 형식을 제거합니다. |
| Microsoft.Network/privateDnsZones/A/write | 프라이빗 DNS 영역 내에서 'A' 형식의 레코드 집합을 만들거나 업데이트합니다. 지정된 레코드는 레코드 집합의 현재 레코드를 대체합니다. |
| Microsoft.Network/virtualNetworks/subnets/read | 가상 네트워크 서브넷 정의를 가져옵니다. |
| Microsoft.Network/virtualNetworks/subnets/join/action | 가상 네트워크를 조인합니다. 경고할 수 없습니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Manage and configure the OpenShift router.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0336e1d3-7a87-462b-b6db-342b63f7802c",
"name": "0336e1d3-7a87-462b-b6db-342b63f7802c",
"permissions": [
{
"actions": [
"Microsoft.Network/dnsZones/A/delete",
"Microsoft.Network/dnsZones/A/write",
"Microsoft.Network/privateDnsZones/A/delete",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cluster Ingress Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift Disk Storage 연산자
클러스터에서 Azure Disks를 사용할 수 있도록 하는 CSI(Container Storage Interface) 드라이버를 설치합니다. 클러스터에 대한 기본 스토리지 클래스가 있는지 확인하려면 OpenShift 클러스터 전체 스토리지 기본값을 설정합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Compute/virtualMachines/write | 새 가상 머신을 만들거나 기존 가상 머신을 업데이트합니다. |
| Microsoft.Compute/virtualMachines/read | 가상 머신의 속성을 가져옵니다. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | VM 확장 집합에 있는 가상 머신의 속성을 업데이트합니다. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | VM 확장 집합에 있는 가상 머신의 속성을 가져옵니다. |
| Microsoft.Compute/virtualMachineScaleSets/read | 가상 머신 확장 집합의 속성을 가져옵니다. |
| Microsoft.Compute/스냅샷/쓰기 | 새 스냅샷을 만들거나 기존 스냅샷을 업데이트합니다. |
| Microsoft.Compute/snapshots/read | 스냅샷의 속성을 가져옵니다. |
| Microsoft.Compute/snapshots/delete | 스냅샷을 삭제합니다. |
| Microsoft.Compute/locations/operations/read | 비동기 작업의 상태를 가져옵니다. |
| Microsoft.Compute/locations/DiskOperations/read | 비동기 디스크 작업의 상태를 가져옵니다. |
| Microsoft.Compute/디스크/쓰기 | 새 디스크를 만들거나 기존 디스크를 업데이트합니다. |
| Microsoft.Compute/disks/read | 디스크의 속성을 가져옵니다. |
| Microsoft.Compute/디스크/삭제 | 디스크를 삭제합니다. |
| Microsoft.Compute/disks/beginGetAccess/action | Blob 액세스에 대한 디스크의 SAS URI를 가져옵니다. |
| Microsoft.Compute/diskEncryptionSets/read | 디스크 암호화 집합의 속성을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Disks. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b7237c5-45e1-49d6-bc18-a1f62f400748",
"name": "5b7237c5-45e1-49d6-bc18-a1f62f400748",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/DiskOperations/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Disk Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift 페더레이션 자격 증명
관리형 ID, OIDC(OpenID Connect), 서비스 계정 간에 트러스트 관계를 구축하기 위해 사용자 할당 관리형 ID에서 페더레이션 자격 증명을 만들고 업데이트하고 삭제합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | 기존 사용자 할당 ID를 가져옵니다. |
| Microsoft.ManagedIdentity/사용자지정ID/연합ID자격증명/쓰기 | 페더레이션 ID 자격 증명을 추가하거나 업데이트합니다. |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | 페더레이션 ID 자격 증명을 가져오거나 나열합니다. |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/삭제 | 페더레이션 ID 자격 증명을 삭제합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Create, update and delete federated credentials on user assigned managed identities in order to build a trust relationship between the managed identity, OpenID Connect (OIDC), and the service account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"name": "ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Federated Credential",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift 파일 스토리지 연산자
클러스터에서 Azure Files를 사용할 수 있도록 하는 CSI(Container Storage Interface) 드라이버를 설치합니다. 클러스터에 대한 기본 스토리지 클래스가 있는지 확인하려면 OpenShift 클러스터 전체 스토리지 기본값을 설정합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Storage/storageAccounts/delete (스토리지 계정 삭제) | 기존 스토리지 계정을 삭제합니다. |
| Microsoft.Storage/storageAccounts/fileServices/read | 파일 서비스 속성을 가져옵니다. |
| Microsoft.Storage/스토리지계정/파일서비스/공유/삭제 | 파일 공유를 삭제합니다. |
| Microsoft.Storage/storageAccounts/fileServices/shares/read | 파일 공유를 나열합니다. |
| Microsoft.Storage/storageAccounts/fileServices/shares/write | 파일 공유를 만들거나 업데이트합니다. |
| Microsoft.Storage/storageAccounts/listKeys/action | 지정된 스토리지 계정에 대한 액세스 키를 반환합니다. |
| Microsoft.Storage/스토리지계정/읽기 | 스토리지 계정의 목록을 반환하거나 지정된 스토리지 계정의 속성을 가져옵니다. |
| Microsoft.Storage/storageAccounts/write | 지정된 매개 변수를 사용하여 스토리지 계정을 만들거나, 속성 또는 태그를 업데이트하거나, 지정된 스토리지 계정의 사용자 지정 도메인을 추가합니다. |
| Microsoft.Network/네트워크보안그룹/join/action | 네트워크 보안 그룹을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/virtualNetworks/subnets/read | 가상 네트워크 서브넷 정의를 가져옵니다. |
| Microsoft.Network/virtualNetworks/subnets/write | 가상 네트워크 서브넷을 만들거나 기존 가상 네트워크 서브넷을 업데이트합니다. |
| Microsoft.Network/routeTables/join/action | 경로 테이블을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/natGateways/join/action | NAT 게이트웨이를 조인합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Files. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0d7aedc0-15fd-4a67-a412-efad370c947e",
"name": "0d7aedc0-15fd-4a67-a412-efad370c947e",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/delete",
"Microsoft.Storage/storageAccounts/fileServices/shares/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/natGateways/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift File Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift 이미지 레지스트리 연산자
연산자가 OpenShift 이미지 레지스트리의 싱글톤 인스턴스를 관리할 수 있는 권한을 사용하도록 설정합니다. 스토리지 만들기를 포함하여 레지스트리의 모든 구성을 관리합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Storage/저장소계정/blob서비스/읽기 | Blob service 속성 또는 통계를 반환합니다. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read (스토리지 계정 블롭 서비스 내 컨테이너 읽기) | 컨테이너 목록을 반환합니다. |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Blob 컨테이너 배치 결과를 반환합니다. |
| Microsoft.Storage/저장소계정/blob서비스/컨테이너/삭제 | 컨테이너 삭제 결과를 반환합니다. |
| Microsoft.Storage/스토리지 계정/blob 서비스/사용자 위임 키 생성/작업 | Blob service에 대한 사용자 위임 키를 반환합니다. |
| Microsoft.Storage/스토리지계정/읽기 | 스토리지 계정의 목록을 반환하거나 지정된 스토리지 계정의 속성을 가져옵니다. |
| Microsoft.Storage/storageAccounts/write | 지정된 매개 변수를 사용하여 스토리지 계정을 만들거나, 속성 또는 태그를 업데이트하거나, 지정된 스토리지 계정의 사용자 지정 도메인을 추가합니다. |
| Microsoft.Storage/storageAccounts/delete (스토리지 계정 삭제) | 기존 스토리지 계정을 삭제합니다. |
| Microsoft.Storage/storageAccounts/listKeys/action | 지정된 스토리지 계정에 대한 액세스 키를 반환합니다. |
| Microsoft.Resources/tags/write | 기존 태그를 새 태그 집합으로 교체 또는 병합하거나 기존 태그를 제거하여 리소스의 태그를 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | Blob 삭제 결과를 반환합니다. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | Blob 쓰기 결과를 반환합니다. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | Blob 또는 Blob 목록을 반환합니다. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action | Blob 콘텐츠 추가 결과를 반환합니다. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action | Blob을 한 경로에서 다른 경로로 이동합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Enables permissions for the operator to manage a singleton instance of the OpenShift image registry. It manages all configuration of the registry, including creating storage.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"name": "8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Resources/tags/write"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action"
],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Image Registry Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift 머신 API 연산자
Kubernetes API를 확장하여 클러스터에서 원하는 머신 상태를 선언하는 특정 용도의 CRD(사용자 지정 리소스 정의), 컨트롤러, Azure RBAC 개체의 수명 주기를 관리합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Compute/availabilitySets/delete | 가용성 집합을 삭제합니다. |
| Microsoft.Compute/가용성셋/읽기 | 가용성 집합의 속성을 가져옵니다. |
| Microsoft.Compute/availabilitySets/write (쓰기) | 새 가용성 집합을 만들거나 기존 가용성 집합을 업데이트합니다. |
| Microsoft.Compute/diskEncryptionSets/read | 디스크 암호화 집합의 속성을 가져옵니다. |
| Microsoft.Compute/디스크/삭제 | 디스크를 삭제합니다. |
| Microsoft.Compute/galleries/images/versions/read | 갤러리 이미지 버전의 속성을 가져옵니다. |
| Microsoft.Compute/skus/read | 구독에 사용할 수 있는 Microsoft.Compute SKU 목록을 가져옵니다. |
| Microsoft.Compute/virtualMachines/delete | 가상 머신을 삭제합니다. |
| Microsoft.Compute/virtualMachines/read | 가상 머신의 속성을 가져옵니다. |
| Microsoft.Compute/virtualMachines/write | 새 가상 머신을 만들거나 기존 가상 머신을 업데이트합니다. |
| Microsoft.Compute/capacityReservationGroups/deploy/action | 용량 예약 그룹을 사용하여 새 VM/VMSS를 배포합니다. |
| Microsoft.ManagedIdentity/userAssignedIdentities/assign/action | 기존 사용자 할당 ID를 리소스에 할당하기 위한 RBAC 작업입니다. |
| Microsoft.Network/applicationSecurityGroups/read | 애플리케이션 보안 그룹 ID를 가져옵니다. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | 부하 분산 장치 백 엔드 주소 풀을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/loadBalancers/read | 부하 분산 장치 정의를 가져옵니다. |
| Microsoft.Network/로드밸런서/쓰기 | 부하 분산 장치를 만들거나 기존 부하 분산 장치를 업데이트합니다. |
| Microsoft.Network/네트워크인터페이스/삭제 | 네트워크 인터페이스를 삭제합니다. |
| Microsoft.Network/networkInterfaces/join/action | 가상 머신을 네트워크 인터페이스에 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/네트워크 인터페이스/로드 밸런서/읽기 | 네트워크 인터페이스가 속하는 모든 부하 분산 장치를 가져옵니다. |
| Microsoft.Network/networkInterfaces/read | 네트워크 인터페이스 정의를 가져옵니다. |
| Microsoft.Network/네트워크 인터페이스/쓰기 (write) | 네트워크 인터페이스를 만들거나 기존 네트워크 인터페이스를 업데이트합니다. |
| Microsoft.Network/networkSecurityGroups/read | 네트워크 보안 그룹 정의를 가져옵니다. |
| Microsoft.Network/networkSecurityGroups/write | 네트워크 보안 그룹을 만들거나 기존 네트워크 보안 그룹을 업데이트합니다. |
| Microsoft.Network/공용IP주소/삭제 | 공용 IP 주소를 삭제합니다. |
| Microsoft.Network/publicIPAddresses/join/action | 공용 IP 주소를 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/publicIPAddresses/read | 공용 IP 주소 정의를 가져옵니다. |
| Microsoft.Network/publicIPAddresses/write | 공용 IP 주소를 만들거나 기존 공용 IP 주소를 업데이트합니다. |
| Microsoft.Network/routeTables/read | 경로 테이블 정의를 가져옵니다. |
| Microsoft.Network/virtualNetworks/subnets/join/action | 가상 네트워크를 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/virtualNetworks/subnets/read | 가상 네트워크 서브넷 정의를 가져옵니다. |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | 보안 규칙을 애플리케이션 보안 그룹에 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action | 부하 분산 장치 프런트 엔드 IP 구성을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/loadBalancers/inboundNATRules/join/action | 부하 분산 장치 인바운드 NAT 규칙을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/네트워크보안그룹/join/action | 네트워크 보안 그룹을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Manage the lifecycle of specific-purpose custom resource definitions (CRD), controllers, and Azure RBAC objects that extend the Kubernetes API to declares the desired state of machines in a cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0358943c-7e01-48ba-8889-02cc51d78637",
"name": "0358943c-7e01-48ba-8889-02cc51d78637",
"permissions": [
{
"actions": [
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/capacityReservationGroups/deploy/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action",
"Microsoft.Network/loadBalancers/inboundNATRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Machine API Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift 네트워크 연산자
OpenShift 클러스터에 네트워킹 구성 요소를 설치하고 업그레이드합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Network/networkInterfaces/read | 네트워크 인터페이스 정의를 가져옵니다. |
| Microsoft.Network/네트워크 인터페이스/쓰기 (write) | 네트워크 인터페이스를 만들거나 기존 네트워크 인터페이스를 업데이트합니다. |
| Microsoft.Network/virtualNetworks/read | 가상 네트워크 정의를 가져옵니다. |
| Microsoft.Network/virtualNetworks/subnets/join/action | 가상 네트워크를 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | 부하 분산 장치 백 엔드 주소 풀을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/loadBalancers/backendAddressPools/read | 부하 분산 장치 백 엔드 주소 풀 정의를 가져옵니다. |
| Microsoft.Compute/virtualMachines/read | 가상 머신의 속성을 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Install and upgrade the networking components on an OpenShift cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/be7a6435-15ae-4171-8f30-4a343eff9e8f",
"name": "be7a6435-15ae-4171-8f30-4a343eff9e8f",
"permissions": [
{
"actions": [
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Compute/virtualMachines/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Network Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift 서비스 연산자
관리형 서비스로서 OpenShift 클러스터의 지속적인 기능과 관련된 머신 상태, 네트워크 구성, 모니터링, 기타 기능을 유지 관리합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Network/virtualNetworks/subnets/read | 가상 네트워크 서브넷 정의를 가져옵니다. |
| Microsoft.Network/virtualNetworks/subnets/write | 가상 네트워크 서브넷을 만들거나 기존 가상 네트워크 서브넷을 업데이트합니다. |
| Microsoft.Network/natGateways/join/action | NAT 게이트웨이를 조인합니다. |
| Microsoft.Network/routeTables/join/action | 경로 테이블을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/네트워크보안그룹/join/action | 네트워크 보안 그룹을 조인합니다. 경고할 수 없습니다. |
| Microsoft.Storage/storageAccounts/listKeys/action | 지정된 스토리지 계정에 대한 액세스 키를 반환합니다. |
| Microsoft.Storage/스토리지계정/읽기 | 스토리지 계정의 목록을 반환하거나 지정된 스토리지 계정의 속성을 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Maintain machine health, network configuration, monitoring, and other features that are specific to an OpenShift cluster's continued functionality as a managed service.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4436bae4-7702-4c84-919b-c4069ff25ee2",
"name": "4436bae4-7702-4c84-919b-c4069ff25ee2",
"permissions": [
{
"actions": [
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Service Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
연결된 클러스터 관리형 ID CheckAccess 읽기 권한자
연결된 클러스터 관리형 ID가 checkAccess API를 호출할 수 있도록 하는 기본 제공 역할입니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ConnectedEnvironments 기여자
만들기, 삭제 및 업데이트를 포함하여 Container Apps ConnectedEnvironments의 전체 관리
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.App/connectedEnvironments/* | |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/*/write | |
| Microsoft.App/connectedEnvironments/*/delete | |
| Microsoft.App/connectedEnvironments/*/action | |
| Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action | Dapr 구성 요소의 비밀을 나열합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ConnectedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"name": "6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/connectedEnvironments/*",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/*/write",
"Microsoft.App/connectedEnvironments/*/delete",
"Microsoft.App/connectedEnvironments/*/action",
"Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ConnectedEnvironments 읽기 권한자
Container Apps ConnectedEnvironments에 대한 읽기 액세스 권한입니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.App/연결된환경/읽기 | 연결된 환경을 가져옵니다. |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read access to Container Apps ConnectedEnvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"name": "d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps 기여자
만들기, 삭제 및 업데이트를 포함하여 Container Apps의 전체 관리
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/write | |
| Microsoft.App/containerApps/*/delete | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | 관리형 환경을 가져옵니다. |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | 관리형 환경에서 컨테이너 앱을 만들 수 있습니다. |
| Microsoft.App/managedEnvironments/checknameavailability/action | 관리형 환경에 대한 리소스 이름 가용성을 확인합니다. |
| Microsoft.App/연결된환경/읽기 | 연결된 환경을 가져옵니다. |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | 연결된 환경에서 컨테이너 앱 또는 Container Apps 작업을 만들 수 있습니다. |
| Microsoft.App/connectedEnvironments/checknameavailability/action | 연결된 환경에 대한 리소스 이름 가용성을 확인합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/358470bc-b998-42bd-ab17-a7e34c199c0f",
"name": "358470bc-b998-42bd-ab17-a7e34c199c0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/write",
"Microsoft.App/containerApps/*/delete",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps 작업 기여자
만들기, 삭제 및 업데이트를 비롯한 Container Apps 작업의 전체 관리
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| microsoft.app/jobs/read | Container Apps 작업을 가져옵니다. |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.App/jobs/write | Container Apps 작업을 만들거나 업데이트합니다. |
| Microsoft.App/jobs/delete | Container Apps 작업을 삭제합니다. |
| Microsoft.app/managedenvironments/read | 관리형 환경을 가져옵니다. |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | 관리형 환경에서 컨테이너 앱을 만들 수 있습니다. |
| Microsoft.App/managedenvironments/checknameavailability/action | 관리형 환경에 대한 리소스 이름 가용성을 확인합니다. |
| Microsoft.app/connectedEnvironments/read | 연결된 환경을 가져옵니다. |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | 연결된 환경에서 컨테이너 앱 또는 Container Apps 작업을 만들 수 있습니다. |
| Microsoft.App/connectedEnvironments/checknameavailability/action | 연결된 환경에 대한 리소스 이름 가용성을 확인합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps jobs, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"name": "4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.App/jobs/write",
"Microsoft.App/jobs/delete",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps 작업 연산자
Container Apps 작업을 읽고, 시작하고, 중지합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| microsoft.app/jobs/read | Container Apps 작업을 가져옵니다. |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.app/managedenvironments/read | 관리형 환경을 가져옵니다. |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | 관리형 환경에서 컨테이너 앱을 만들 수 있습니다. |
| Microsoft.App/managedenvironments/checknameavailability/action | 관리형 환경에 대한 리소스 이름 가용성을 확인합니다. |
| Microsoft.app/connectedEnvironments/read | 연결된 환경을 가져옵니다. |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | 연결된 환경에서 컨테이너 앱 또는 Container Apps 작업을 만들 수 있습니다. |
| Microsoft.App/connectedEnvironments/checknameavailability/action | 연결된 환경에 대한 리소스 이름 가용성을 확인합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.App/jobs/logstream/action | 컨테이너 앱 작업의 로그 스트림을 봅니다. |
| Microsoft.App/jobs/exec/action | Container App 작업의 콘솔에 연결합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read, start, and stop Container Apps jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"name": "b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/jobs/logstream/action",
"Microsoft.App/jobs/exec/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps 작업 읽기 권한자
ContainerApps 작업에 대한 읽기 액세스 권한입니다.
| 작업 | 설명 |
|---|---|
| microsoft.app/jobs/read | Container Apps 작업을 가져옵니다. |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/managedenvironments/read | 관리형 환경을 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps jobs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/edd66693-d32a-450b-997d-0158c03976b0",
"name": "edd66693-d32a-450b-997d-0158c03976b0",
"permissions": [
{
"actions": [
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/managedenvironments/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ManagedEnvironments 기여자
만들기, 삭제 및 업데이트를 포함하여 Container Apps ManagedEnvironments의 전체 관리
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/*/write | |
| Microsoft.App/managedEnvironments/*/delete | |
| Microsoft.App/managedEnvironments/*/action | |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ManagedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/57cc5028-e6a7-4284-868d-0611c5923f8d",
"name": "57cc5028-e6a7-4284-868d-0611c5923f8d",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/*/write",
"Microsoft.App/managedEnvironments/*/delete",
"Microsoft.App/managedEnvironments/*/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ManagedEnvironments 읽기 권한자
ContainerApps managedenvironments에 대한 읽기 액세스 권한입니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.App/managedEnvironments/*/read | |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps managedenvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"name": "1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps 운영자
Container Apps로 읽고, 로그스트림하고, exec합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | 관리형 환경을 가져옵니다. |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | 관리형 환경에서 컨테이너 앱을 만들 수 있습니다. |
| Microsoft.App/managedEnvironments/checknameavailability/action | 관리형 환경에 대한 리소스 이름 가용성을 확인합니다. |
| Microsoft.App/연결된환경/읽기 | 연결된 환경을 가져옵니다. |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | 연결된 환경에서 컨테이너 앱 또는 Container Apps 작업을 만들 수 있습니다. |
| Microsoft.App/connectedEnvironments/checknameavailability/action | 연결된 환경에 대한 리소스 이름 가용성을 확인합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.App/containerApps/logstream/action | 컨테이너 앱의 로그 스트림을 봅니다. |
| Microsoft.App/containerApps/exec/action | 컨테이너 앱의 콘솔에 연결합니다. |
| Microsoft.App/containerApps/debug/action | 컨테이너 앱의 디버그 콘솔에 연결합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read, logstream and exec into Container Apps.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"name": "f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/containerApps/logstream/action",
"Microsoft.App/containerApps/exec/action",
"Microsoft.App/containerApps/debug/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps SessionPools 기여자
만들기, 삭제 및 업데이트를 포함하여 Container Apps SessionPools의 전체 관리
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.App/sessionPools/*/read | |
| Microsoft.App/sessionPools/*/write | |
| Microsoft.App/sessionPools/*/delete | |
| Microsoft.App/sessionPools/*/action | |
| microsoft.App/managedEnvironments/read | 관리형 환경을 가져옵니다. |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | 관리형 환경에서 컨테이너 앱을 만들 수 있습니다. |
| Microsoft.App/managedEnvironments/checknameavailability/action | 관리형 환경에 대한 리소스 이름 가용성을 확인합니다. |
| microsoft.App/connectedEnvironments/read | 연결된 환경을 가져옵니다. |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | 연결된 환경에서 컨테이너 앱 또는 Container Apps 작업을 만들 수 있습니다. |
| Microsoft.App/connectedEnvironments/checknameavailability/action | 연결된 환경에 대한 리소스 이름 가용성을 확인합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps SessionPools, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"name": "f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read",
"Microsoft.App/sessionPools/*/write",
"Microsoft.App/sessionPools/*/delete",
"Microsoft.App/sessionPools/*/action",
"microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps SessionPools 읽기 권한자
ContainerApps sessionpools에 대한 읽기 액세스 권한입니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.App/sessionPools/*/read | |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps sessionpools.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/af61e8fc-2633-4b95-bed3-421ad6826515",
"name": "af61e8fc-2633-4b95-bed3-421ad6826515",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 캐시 규칙 관리자
Container Registry에서 캐시 규칙을 만들고, 읽고, 업데이트하고, 삭제합니다. 이 역할은 자격 증명 집합을 관리할 수 있는 권한을 부여하지 않습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | 지정된 캐시 규칙의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 모든 캐시 규칙을 나열합니다. |
| Microsoft.ContainerRegistry/registries/cacheRules/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 캐시 규칙을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/cacheRules/delete | 컨테이너 레지스트리에서 캐시 규칙을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read | 캐시 규칙 비동기 작업 상태를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Cache Rules in Container Registry. This role doesn't grant permissions to manage Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/df87f177-bb12-4db1-9793-a413691eff94",
"name": "df87f177-bb12-4db1-9793-a413691eff94",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read",
"Microsoft.ContainerRegistry/registries/cacheRules/write",
"Microsoft.ContainerRegistry/registries/cacheRules/delete",
"Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 캐시 규칙 읽기 권한자
Container Registry에서 캐시 규칙의 구성을 읽습니다. 이 권한은 자격 증명 집합을 읽을 수 있는 권한을 부여하지 않습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | 지정된 캐시 규칙의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 모든 캐시 규칙을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Cache Rules in Container Registry. This permission doesn't grant permission to read Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c357b964-0002-4b64-a50d-7a28f02edc52",
"name": "c357b964-0002-4b64-a50d-7a28f02edc52",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 구성 읽기 권한자 및 데이터 액세스 구성 읽기 권한자
컨테이너 레지스트리 및 레지스트리 구성 속성을 나열할 수 있는 권한을 제공합니다. 리포지토리 및 이미지를 읽거나 쓰거나 삭제하는 데 사용할 수 있는 관리 사용자 자격 증명, 범위 맵, 토큰과 같은 데이터 액세스 구성을 나열할 수 있는 권한을 제공합니다. 리포지토리 및 이미지를 포함하여 레지스트리 콘텐츠를 읽거나 나열하거나 쓸 수 있는 직접 권한을 제공하지 않습니다. 가져오기, 아티팩트 캐시 또는 동기화, 파이프라인 전송과 같은 데이터 평면 콘텐츠를 수정할 수 있는 권한을 제공하지 않습니다. 작업을 관리하기 위한 권한을 제공하지 않습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/operationStatuses/read | 레지스트리 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/read | 지정된 컨테이너 레지스트리의 속성을 가져오거나 지정된 리소스 그룹 또는 구독에 속한 모든 컨테이너 레지스트리를 나열합니다. |
| Microsoft.ContainerRegistry/레지스트리/프라이빗엔드포인트연결/읽기 | 프라이빗 엔드포인트 연결의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 모든 프라이빗 엔드포인트 연결을 나열합니다. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | 프라이빗 엔드포인트 연결 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/listCredentials/action | 지정된 컨테이너 레지스트리에 대한 로그인 자격 증명을 나열합니다. |
| Microsoft.ContainerRegistry / registries / tokens / read | 지정된 토큰 속성을 가져오거나 지정된 컨테이너 레지스트리의 모든 토큰을 나열합니다. |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | 토큰 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | 지정된 범위 맵 속성을 가져오거나 지정된 컨테이너 레지스트리의 모든 범위 맵을 나열합니다. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | 범위 맵 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/webhooks/read | 지정된 웹후크 속성을 가져오거나 지정된 컨테이너 레지스트리의 모든 웹후크를 나열합니다. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | 웹후크에 대한 서비스 URI 및 사용자 지정 헤더의 구성을 가져옵니다. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | 지정된 웹후크에 대한 최신 이벤트를 나열합니다. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | 웹후크 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/레지스트리/복제/읽기 | 지정된 복제 속성을 가져오거나 지정된 컨테이너 레지스트리의 모든 복제를 나열합니다. |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | 복제 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/레지스트리/연결된레지스트리/읽기 | 지정된 연결된 레지스트리의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 연결된 모든 레지스트리를 나열합니다. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | 리소스에 대한 진단 설정을 가져옵니다. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | 리소스에 대한 진단 설정을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Microsoft ContainerRegistry에 사용 가능한 로그를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Microsoft ContainerRegistry에 사용 가능한 메트릭을 가져옵니다. |
| Microsoft.Insights/AlertRules/Write | 클래식 메트릭 경고를 만들거나 업데이트합니다. |
| Microsoft.Insights/AlertRules/Delete | 클래식 메트릭 경고를 삭제합니다. |
| Microsoft.Insights/AlertRules/Read | 클래식 메트릭 경고를 읽습니다. |
| Microsoft.Insights/AlertRules/Activated/Action | 클래식 메트릭 경고가 활성화되었습니다. |
| Microsoft.Insights/AlertRules/Resolved/Action | 클래식 메트릭 경고가 해결되었습니다. |
| Microsoft.Insights/AlertRules/Throttled/Action | 클래식 메트릭 경고 규칙이 제한되었습니다. |
| Microsoft.Insights/AlertRules/Incidents/Read | 클래식 메트릭 경고 인시던트를 읽습니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 기여자 및 데이터 액세스 구성 관리자
컨테이너 레지스트리 및 레지스트리 구성 속성을 만들고 나열하고 업데이트할 수 있는 권한을 제공합니다. 리포지토리 및 이미지를 읽거나 쓰거나 삭제하는 데 사용할 수 있는 관리 사용자 자격 증명, 범위 맵, 토큰과 같은 데이터 액세스를 구성할 수 있는 권한을 제공합니다. 리포지토리 및 이미지를 포함하여 레지스트리 콘텐츠를 읽거나 나열하거나 쓸 수 있는 직접 권한을 제공하지 않습니다. 가져오기, 아티팩트 캐시 또는 동기화, 파이프라인 전송과 같은 데이터 평면 콘텐츠를 수정할 수 있는 권한을 제공하지 않습니다. 작업을 관리하기 위한 권한을 제공하지 않습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.ContainerRegistry/registries/operationStatuses/read | 레지스트리 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/read | 지정된 컨테이너 레지스트리의 속성을 가져오거나 지정된 리소스 그룹 또는 구독에 속한 모든 컨테이너 레지스트리를 나열합니다. |
| Microsoft.ContainerRegistry/registries/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리를 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/delete | 컨테이너 레지스트리를 삭제합니다. |
| Microsoft.ContainerRegistry/registries/listCredentials/action | 지정된 컨테이너 레지스트리에 대한 로그인 자격 증명을 나열합니다. |
| Microsoft.ContainerRegistry/registries/regenerateCredential/action | 지정된 컨테이너 레지스트리에 대한 로그인 자격 증명 중 하나를 다시 생성합니다. |
| Microsoft.ContainerRegistry/registries/자격증명생성/action | 지정된 컨테이너 레지스트리의 토큰에 대한 키를 생성합니다. |
| Microsoft.ContainerRegistry/레지스트리/복제/읽기 | 지정된 복제 속성을 가져오거나 지정된 컨테이너 레지스트리의 모든 복제를 나열합니다. |
| Microsoft.ContainerRegistry/registries/replications/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 복제를 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/replications/delete | 컨테이너 레지스트리에서 복제를 삭제합니다. |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | 복제 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action | 프라이빗 엔드포인트 연결을 자동 승인합니다. |
| Microsoft.ContainerRegistry/레지스트리/프라이빗엔드포인트연결/읽기 | 프라이빗 엔드포인트 연결의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 모든 프라이빗 엔드포인트 연결을 나열합니다. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/write | 프라이빗 엔드포인트 연결을 승인/거부합니다. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete | 프라이빗 엔드포인트 연결을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | 프라이빗 엔드포인트 연결 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry / registries / tokens / read | 지정된 토큰 속성을 가져오거나 지정된 컨테이너 레지스트리의 모든 토큰을 나열합니다. |
| Microsoft.ContainerRegistry/registries/tokens/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 토큰을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/tokens/delete | 컨테이너 레지스트리에서 토큰을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | 토큰 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | 지정된 범위 맵 속성을 가져오거나 지정된 컨테이너 레지스트리의 모든 범위 맵을 나열합니다. |
| Microsoft.ContainerRegistry/registries/scopeMaps/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 범위 맵을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/scopeMaps/delete | 컨테이너 레지스트리에서 범위 맵을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | 범위 맵 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | 리소스에 대한 진단 설정을 가져옵니다. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | 리소스에 대한 진단 설정을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Microsoft ContainerRegistry에 사용 가능한 로그를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Microsoft ContainerRegistry에 사용 가능한 메트릭을 가져옵니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.ContainerRegistry/레지스트리/연결된레지스트리/읽기 | 지정된 연결된 레지스트리의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 연결된 모든 레지스트리를 나열합니다. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 연결된 레지스트리를 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/delete | 컨테이너 레지스트리에서 연결된 레지스트리를 삭제합니다. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action (연결된 레지스트리 비활성화) | 컨테이너 레지스트리에 대해 연결된 레지스트리를 비활성화합니다. |
| Microsoft.ContainerRegistry/registries/webhooks/read | 지정된 웹후크 속성을 가져오거나 지정된 컨테이너 레지스트리의 모든 웹후크를 나열합니다. |
| Microsoft.ContainerRegistry/registries/webhooks/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 웹후크를 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/webhooks/delete | 컨테이너 레지스트리에서 웹후크를 삭제합니다. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | 웹후크에 대한 서비스 URI 및 사용자 지정 헤더의 구성을 가져옵니다. |
| Microsoft.ContainerRegistry/registries/webhooks/ping/action | 웹후크로 보낼 ping 이벤트를 트리거합니다. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | 지정된 웹후크에 대한 최신 이벤트를 나열합니다. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | 웹후크 비동기 작업 상태를 가져옵니다. |
| Microsoft.Insights/AlertRules/Write | 클래식 메트릭 경고를 만들거나 업데이트합니다. |
| Microsoft.Insights/AlertRules/Delete | 클래식 메트릭 경고를 삭제합니다. |
| Microsoft.Insights/AlertRules/Read | 클래식 메트릭 경고를 읽습니다. |
| Microsoft.Insights/AlertRules/Activated/Action | 클래식 메트릭 경고가 활성화되었습니다. |
| Microsoft.Insights/AlertRules/Resolved/Action | 클래식 메트릭 경고가 해결되었습니다. |
| Microsoft.Insights/AlertRules/Throttled/Action | 클래식 메트릭 경고 규칙이 제한되었습니다. |
| Microsoft.Insights/AlertRules/Incidents/Read | 클래식 메트릭 경고 인시던트를 읽습니다. |
| Microsoft.ContainerRegistry/위치/작업결과/읽기 | 비동기 작업 결과를 가져옵니다. |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | 스토리지 계정 또는 SQL 데이터베이스와 같은 리소스를 서브넷에 조인합니다. 경고할 수 없습니다. |
| Microsoft.Network/virtualNetworks/subnets/read | 가상 네트워크 서브넷 정의를 가져옵니다. |
| Microsoft.Network/virtualNetworks/subnets/write | 가상 네트워크 서브넷을 만들거나 기존 가상 네트워크 서브넷을 업데이트합니다. |
| Microsoft.Network/virtualNetworks/read | 가상 네트워크 정의를 가져옵니다. |
| Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write | 새로운 프라이빗 링크 서비스 프록시를 만들거나 기존 프라이빗 링크 서비스 프록시를 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 자격 증명 집합 관리자
Container Registry에서 자격 증명 집합을 만들고, 읽고, 업데이트하고, 삭제합니다. 이 역할은 Azure Key Vault 내에 콘텐츠를 저장하는 데 필요한 권한에 영향을 주지 않습니다. 또한 이 역할은 캐시 규칙을 관리할 수 있는 권한을 부여하지 않습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | 지정된 자격 증명 집합의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 모든 자격 증명 집합을 나열합니다. |
| Microsoft.ContainerRegistry/registries/credentialSets/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 자격 증명 집합을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/credentialSets/delete | 컨테이너 레지스트리에서 자격 증명 집합을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read | 자격 증명 집합 비동기 작업 상태를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Credential Sets in Container Registry. This role doesn't affect the needed permissions for storing content inside Azure Key Vault. This role also doesn't grant permissions to manage Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f094fb07-0703-4400-ad6a-e16dd8000e14",
"name": "f094fb07-0703-4400-ad6a-e16dd8000e14",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read",
"Microsoft.ContainerRegistry/registries/credentialSets/write",
"Microsoft.ContainerRegistry/registries/credentialSets/delete",
"Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 자격 증명 집합 읽기 권한자
Container Registry에서 자격 증명 집합의 구성을 읽습니다. 이 권한은 Container Registry 내의 콘텐츠만 볼 수 있으며, Azure Key Vault 내의 콘텐츠를 볼 수 있는 권한은 없습니다. 이 권한은 캐시 규칙을 읽을 수 있는 권한을 부여하지 않습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | 지정된 자격 증명 집합의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 모든 자격 증명 집합을 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Credential Sets in Container Registry. This permission doesn't allow permission to see content inside Azure Key vault only the content inside Container Registry. This permission doesn't grant permission to read Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29093635-9924-4f2c-913b-650a12949526",
"name": "29093635-9924-4f2c-913b-650a12949526",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 데이터 가져오기 및 데이터 읽기 권한자
레지스트리 가져오기 작업을 통해 레지스트리로 이미지를 가져오는 기능을 제공합니다. 리포지토리를 나열하고, 이미지와 태그를 보고, 매니페스트를 가져오고, 이미지를 풀하는 기능을 제공합니다. 가져오기 및 내보내기 파이프라인과 같은 레지스트리 전송 파이프라인을 구성하여 이미지를 가져오기 위한 권한을 제공하지 않습니다. 아티팩트 캐시 또는 동기화 규칙을 구성하여 가져올 수 있는 권한을 제공하지 않습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/importImage/action | 지정된 매개 변수를 사용하여 이미지를 컨테이너 레지스트리로 가져옵니다. |
| Microsoft.ContainerRegistry/registries/read | 지정된 컨테이너 레지스트리의 속성을 가져오거나 지정된 리소스 그룹 또는 구독에 속한 모든 컨테이너 레지스트리를 나열합니다. |
| Microsoft.ContainerRegistry/registries/pull/read | 컨테이너 레지스트리에서 이미지를 풀하거나 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/repositories/content/read | 컨테이너 레지스트리에서 이미지를 풀하거나 가져옵니다. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | 컨테이너 레지스트리에 대한 특정 리포지토리의 메타데이터를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/catalog/read | 컨테이너 레지스트리의 리포지토리를 나열합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 리포지토리 카탈로그 목록 작성자
Azure Container Registry의 모든 리포지토리를 나열할 수 있습니다. 이 역할은 미리 보기 상태이며 변경될 수 있습니다.
| 작업 | 설명 |
|---|---|
| 없음 | |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/catalog/read | 컨테이너 레지스트리의 리포지토리를 나열합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 리포지토리 기여자
Azure Container Registry 리포지토리에 대한 읽기, 쓰기, 삭제 권한 액세스를 허용하지만 카탈로그 목록은 제외합니다. 이 역할은 미리 보기 상태이며 변경될 수 있습니다.
| 작업 | 설명 |
|---|---|
| 없음 | |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | 컨테이너 레지스트리에 대한 특정 리포지토리의 메타데이터를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/repositories/content/read | 컨테이너 레지스트리에서 이미지를 풀하거나 가져옵니다. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | 컨테이너 레지스트리에 대한 리포지토리의 메타데이터를 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/repositories/content/write | 컨테이너 레지스트리에 이미지를 푸시하거나 씁니다. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/delete | 컨테이너 레지스트리에 대한 리포지토리의 메타데이터를 삭제합니다. |
| Microsoft.ContainerRegistry/registries/repositories/content/delete | 컨테이너 레지스트리의 아티팩트를 삭제합니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 리포지토리 읽기 권한자
Azure Container Registry 리포지토리에 대한 읽기 권한 액세스를 허용하지만 카탈로그 목록은 제외합니다. 이 역할은 미리 보기 상태이며 변경될 수 있습니다.
| 작업 | 설명 |
|---|---|
| 없음 | |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | 컨테이너 레지스트리에 대한 특정 리포지토리의 메타데이터를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/repositories/content/read | 컨테이너 레지스트리에서 이미지를 풀하거나 가져옵니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 리포지토리 쓰기 권한자
Azure Container Registry 리포지토리에 대한 읽기 및 쓰기 권한 액세스를 허용하지만 카탈로그 목록은 제외합니다. 이 역할은 미리 보기 상태이며 변경될 수 있습니다.
| 작업 | 설명 |
|---|---|
| 없음 | |
| NotActions | |
| 없음 | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | 컨테이너 레지스트리에 대한 특정 리포지토리의 메타데이터를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/repositories/content/read | 컨테이너 레지스트리에서 이미지를 풀하거나 가져옵니다. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | 컨테이너 레지스트리에 대한 리포지토리의 메타데이터를 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/repositories/content/write | 컨테이너 레지스트리에 이미지를 푸시하거나 씁니다. |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 작업 기여자
컨테이너 레지스트리 작업, 작업 실행, 작업 로그, 빠른 실행, 빠른 빌드, 작업 에이전트 풀을 구성, 읽기, 나열, 트리거 또는 취소할 수 있는 권한을 제공합니다. 작업 관리에 부여된 사용 권한은 레지스트리의 컨테이너 이미지 읽기/쓰기/삭제를 비롯한 전체 레지스트리 데이터 평면 권한에 사용할 수 있습니다. 작업 관리에 부여된 사용 권한은 고객이 작성한 빌드 지시문을 실행하고 스크립트를 실행하여 소프트웨어 아티팩트 빌드에도 사용할 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/agentpools/read | 컨테이너 레지스트리에 대한 에이전트 풀을 가져오거나 모든 에이전트 풀을 나열합니다. |
| Microsoft.ContainerRegistry/registries/agentpools/write | 컨테이너 레지스트리에 대한 에이전트 풀을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/agentpools/delete | 컨테이너 레지스트리에 대한 에이전트 풀을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action | 컨테이너 레지스트리에 대한 에이전트 풀의 모든 큐 상태를 나열합니다. |
| Microsoft.ContainerRegistry/레지스트리/에이전트풀/작업결과/상태/읽기 | 에이전트 풀 비동기 작업 결과 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read | 에이전트 풀 비동기 작업 상태를 가져옵니다. |
| Microsoft.ContainerRegistry/registries/tasks/read | 컨테이너 레지스트리에 대한 작업을 가져오거나 모든 작업을 나열합니다. |
| Microsoft.ContainerRegistry/registries/tasks/write | 컨테이너 레지스트리에 대한 작업을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/tasks/delete | 컨테이너 레지스트리에 대한 작업을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/tasks/listDetails/action | 컨테이너 레지스트리에 대한 작업의 모든 세부 정보를 나열합니다. |
| Microsoft.ContainerRegistry/registries/scheduleRun/action | 컨테이너 레지스트리에 대한 실행을 예약합니다. |
| Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action | 컨테이너 레지스트리에 대한 원본 업로드 URL 위치를 가져옵니다. |
| Microsoft.ContainerRegistry/레지스트리/실행/읽기 | 컨테이너 레지스트리 또는 목록 실행에 대한 실행 속성을 가져옵니다. |
| Microsoft.ContainerRegistry/registries/runs/write | 실행을 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action | 실행을 위한 로그 SAS URL을 가져옵니다. |
| Microsoft.ContainerRegistry/registries/runs/cancel/action | 기존 실행을 취소합니다. |
| Microsoft.ContainerRegistry/registries/taskruns/read | 컨테이너 레지스트리에 대한 작업 실행을 가져오거나 모든 작업 실행을 나열합니다. |
| Microsoft.ContainerRegistry/registries/taskruns/write | 컨테이너 레지스트리에 대한 작업 실행을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/taskruns/delete | 컨테이너 레지스트리에 대한 작업 실행을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/taskruns/listDetails/action | 컨테이너 레지스트리에 대한 작업 실행의 모든 세부 정보를 나열합니다. |
| Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read | 작업 실행 비동기 작업 상태를 가져옵니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.ContainerRegistry/registries/read | 지정된 컨테이너 레지스트리의 속성을 가져오거나 지정된 리소스 그룹 또는 구독에 속한 모든 컨테이너 레지스트리를 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
컨테이너 레지스트리 전송 파이프라인 기여자
중간 스토리지 계정 및 키 자격 증명 모음을 포함하는 레지스트리 전송 파이프라인을 구성하여 아티팩트 전송, 가져오기, 내보내기 기능을 제공합니다. 이미지를 푸시하거나 풀할 수 있는 권한을 제공하지 않습니다. 스토리지 계정 또는 키 자격 증명 모음을 만들거나 관리하거나 나열할 수 있는 권한을 제공하지 않습니다. 역할 할당을 수행할 수 있는 권한을 제공하지 않습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerRegistry/registries/exportPipelines/read | 지정된 내보내기 파이프라인의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 모든 내보내기 파이프라인을 나열합니다. |
| Microsoft.ContainerRegistry/registries/exportPipelines/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 내보내기 파이프라인을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/exportPipelines/delete | 컨테이너 레지스트리에서 내보내기 파이프라인을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/importPipelines/read | 지정된 가져오기 파이프라인의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 모든 가져오기 파이프라인을 나열합니다. |
| Microsoft.ContainerRegistry/레지스트리/임포트파이프라인/쓰기 | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 가져오기 파이프라인을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/importPipelines/delete | 컨테이너 레지스트리에서 가져오기 파이프라인을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/read | 지정된 파이프라인 실행의 속성을 가져오거나 지정된 컨테이너 레지스트리에 대한 모든 파이프라인 실행을 나열합니다. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/write | 지정된 매개 변수를 사용하여 컨테이너 레지스트리에 대한 파이프라인 실행을 만들거나 업데이트합니다. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/delete | 컨테이너 레지스트리에서 파이프라인 실행을 삭제합니다. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read | 파이프라인 실행 비동기 작업 상태를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes 에이전트 없는 연산자
Azure Kubernetes Services에 대한 클라우드용 Microsoft Defender 액세스 권한 부여
| 작업 | 설명 |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | 관리형 클러스터에 대한 신뢰할 수 있는 액세스 역할 바인딩을 만들거나 업데이트합니다. |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | 관리형 클러스터에 대한 신뢰할 수 있는 액세스 역할 바인딩을 가져옵니다. |
| Microsoft.ContainerService/관리 클러스터/신뢰할 수 있는 액세스 역할 바인딩/삭제 | 관리형 클러스터에 대한 신뢰할 수 있는 액세스 역할 바인딩을 삭제합니다. |
| Microsoft.ContainerService/managedClusters/read | 관리형 클러스터를 가져옵니다. |
| Microsoft.Features/features/read | 구독 기능을 가져옵니다. |
| Microsoft.Features/providers/features/read | 지정된 리소스 공급자에서 구독의 기능을 가져옵니다. |
| Microsoft.Features/providers/features/register/action | 지정된 리소스 공급자에서 구독의 기능을 등록합니다. |
| Microsoft.Security/pricings/securityoperators/read | 범위에 대한 보안 연산자를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes 클러스터 - Azure Arc 온보딩
connectedClusters 리소스를 만들기 위해 모든 사용자/서비스에 권한을 부여하는 역할 정의입니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/배포/쓰기 | 배포를 만들거나 업데이트합니다. |
| Microsoft.Resources/subscriptions/operationresults/read | 구독 작업 결과를 가져옵니다. |
| Microsoft.Resources/subscriptions/read | 구독 목록을 가져옵니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.Kubernetes/connectedClusters/Write | connectedClusters를 씁니다. |
| Microsoft.Kubernetes/connectedClusters/read | connectedClusters를 읽습니다. |
| Microsoft.KubernetesConfiguration/extensions/write | 확장 리소스를 만들거나 업데이트합니다. |
| Microsoft.KubernetesConfiguration/extensions/read | 확장 인스턴스 리소스를 가져옵니다. |
| Microsoft.KubernetesConfiguration/확장/삭제 | 확장 인스턴스 리소스를 삭제합니다. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 비동기 작업 상태를 가져옵니다. |
| Microsoft.Support/* | 지원 티켓을 만들고 업데이트합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes 확장 기여자
Kubernetes 확장을 생성, 업데이트, 가져오기, 나열 및 삭제하고 확장 비동기 작업을 가져올 수 있습니다.
| 작업 | 설명 |
|---|---|
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| Microsoft.KubernetesConfiguration/extensions/write | 확장 리소스를 만들거나 업데이트합니다. |
| Microsoft.KubernetesConfiguration/extensions/read | 확장 인스턴스 리소스를 가져옵니다. |
| Microsoft.KubernetesConfiguration/확장/삭제 | 확장 인스턴스 리소스를 삭제합니다. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 비동기 작업 상태를 가져옵니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Service Fabric 클러스터 기여자
Service Fabric 클러스터 리소스를 관리합니다. 클러스터, 애플리케이션 유형, 애플리케이션 유형 버전, 애플리케이션, 서비스를 포함합니다. 가상 머신 스케일링 집합, 스토리지 계정, 네트워크 등 클러스터의 기본 리소스를 배포하고 관리하려면 추가 권한이 필요합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ServiceFabric/clusters/* | |
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Service Fabric 관리형 클러스터 기여자
Service Fabric 관리형 클러스터 리소스를 배포하고 관리합니다. 관리형 클러스터, 노드 형식, 애플리케이션 유형, 애플리케이션 유형 버전, 애플리케이션, 서비스를 포함합니다.
| 작업 | 설명 |
|---|---|
| Microsoft.ServiceFabric/managedclusters/* | |
| Microsoft.Authorization/*/read | 역할 및 역할 할당을 읽습니다. |
| Microsoft.Insights/alertRules/* | 클래식 메트릭 경고를 만들고 관리합니다. |
| Microsoft.Resources/deployments/* | 배포를 만들고 관리합니다. |
| Microsoft.Resources/구독/리소스 그룹/읽기 | 리소스 그룹을 가져오거나 나열합니다. |
| NotActions | |
| 없음 | |
| DataActions | |
| 없음 | |
| NotDataActions | |
| 없음 |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}