Wbudowane role platformy Azure dla kontenerów
W tym artykule wymieniono wbudowane role platformy Azure w kategorii Kontenery.
AcrDelete
Usuwanie repozytoriów, tagów lub manifestów z rejestru kontenerów.
Akcje | opis |
---|---|
Microsoft.ContainerRegistry/registries/artifacts/delete | Usuń artefakt w rejestrze kontenerów. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Wypychanie zaufanych obrazów do zaufanych obrazów lub ściąganie zaufanych obrazów z rejestru kontenerów włączonego na potrzeby zaufania do zawartości.
Akcje | opis |
---|---|
Microsoft.ContainerRegistry/registries/sign/write | Wypychanie/ściąganie metadanych zaufania zawartości dla rejestru kontenerów. |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerRegistry/registries/trustedCollections/write | Umożliwia wypychanie lub publikowanie zaufanych kolekcji zawartości rejestru kontenerów. Jest to podobne do akcji Microsoft.ContainerRegistry/registry/sign/write, z tą różnicą, że jest to akcja danych |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
Ściąganie artefaktów z rejestru kontenerów.
Akcje | opis |
---|---|
Microsoft.ContainerRegistry/registries/pull/read | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
Wypychanie artefaktów do lub ściąganie artefaktów z rejestru kontenerów.
Akcje | opis |
---|---|
Microsoft.ContainerRegistry/registries/pull/read | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
Microsoft.ContainerRegistry/registries/push/write | Wypychanie lub zapisywanie obrazów do rejestru kontenerów. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Ściąganie obrazów poddanych kwarantannie z rejestru kontenerów.
Akcje | opis |
---|---|
Microsoft.ContainerRegistry/registries/quarantine/read | Ściąganie lub pobieranie obrazów poddanych kwarantannie z rejestru kontenerów |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Umożliwia ściąganie lub pobieranie artefaktów poddanych kwarantannie z rejestru kontenerów. Jest to podobne do Microsoft.ContainerRegistry/registry/quarantine/read, z wyjątkiem tego, że jest to akcja danych |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Wypchnij obrazy poddane kwarantannie do lub ściągnąć obrazy poddane kwarantannie z rejestru kontenerów.
Akcje | opis |
---|---|
Microsoft.ContainerRegistry/registries/quarantine/read | Ściąganie lub pobieranie obrazów poddanych kwarantannie z rejestru kontenerów |
Microsoft.ContainerRegistry/rejestry/kwarantanna/zapis | Zapisywanie/modyfikowanie stanu kwarantanny obrazów poddanych kwarantannie |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Umożliwia ściąganie lub pobieranie artefaktów poddanych kwarantannie z rejestru kontenerów. Jest to podobne do Microsoft.ContainerRegistry/registry/quarantine/read, z wyjątkiem tego, że jest to akcja danych |
Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | Umożliwia zapisywanie lub aktualizowanie stanu kwarantanny artefaktów poddanych kwarantannie. Jest to podobne do akcji Microsoft.ContainerRegistry/registry/quarantine/write, z tą różnicą, że jest to akcja danych |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola użytkownika klastra Kubernetes z włączoną usługą Azure Arc
Wyświetl akcję poświadczeń użytkownika klastra.
Akcje | opis |
---|---|
Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | Wyświetlanie listy poświadczeń użytkownika (wersja zapoznawcza) |
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft. Szczegółowe informacje/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń użytkownika |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usługa Azure Arc Kubernetes Administracja
Umożliwia zarządzanie wszystkimi zasobami w obszarze klastra/przestrzeni nazw, z wyjątkiem aktualizowania lub usuwania przydziałów zasobów i przestrzeni nazw.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft. Szczegółowe informacje/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
NotActions | |
none | |
DataActions | |
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
Microsoft.Kubernetes/connectedClusters/apps/demononsets/* | |
Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje kontrolki localsubjectaccessreviews |
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
Microsoft.Kubernetes/connectedClusters/configmaps/* | |
Microsoft.Kubernetes/connectedClusters/endpoints/* | |
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
Microsoft.Kubernetes/connectedClusters/events/read | Odczytuje zdarzenia |
Microsoft.Kubernetes/connectedClusters/extensions/demononsets/* | |
Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/limitranges/read | Limity odczytu |
Microsoft.Kubernetes/connectedClusters/namespaces/read | Odczytuje przestrzenie nazw |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
Microsoft.Kubernetes/connectedClusters/pods/* | |
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Odczytuje zasobyquotas |
Microsoft.Kubernetes/connectedClusters/secrets/* | |
Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
Microsoft.Kubernetes/connectedClusters/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administracja klastra Kubernetes usługi Azure Arc
Umożliwia zarządzanie wszystkimi zasobami w klastrze.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft. Szczegółowe informacje/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
NotActions | |
none | |
DataActions | |
Microsoft.Kubernetes/connectedClusters/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Podgląd platformy Kubernetes w usłudze Azure Arc
Umożliwia wyświetlenie wszystkich zasobów w klastrze/przestrzeni nazw, z wyjątkiem wpisów tajnych.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft. Szczegółowe informacje/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
NotActions | |
none | |
DataActions | |
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
Microsoft.Kubernetes/connectedClusters/apps/demononsets/read | Odczytuje demony |
Microsoft.Kubernetes/connectedClusters/apps/deployments/read | Odczytuje wdrożenia |
Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | Odczytuje zestawy replik |
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | Odczytuje stanowe zestawy |
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | Odczytuje poziomypodautoscalers |
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | Odczyty cronjobs |
Microsoft.Kubernetes/connectedClusters/batch/jobs/read | Zadania odczytu |
Microsoft.Kubernetes/connectedClusters/configmaps/read | Odczytuje mapy konfiguracji |
Microsoft.Kubernetes/connectedClusters/endpoints/read | Odczytuje punkty końcowe |
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
Microsoft.Kubernetes/connectedClusters/events/read | Odczytuje zdarzenia |
Microsoft.Kubernetes/connectedClusters/extensions/demononsets/read | Odczytuje demony |
Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | Odczytuje wdrożenia |
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | Odczyty przychodzące |
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | Odczytuje zasady sieci |
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | Odczytuje zestawy replik |
Microsoft.Kubernetes/connectedClusters/limitranges/read | Limity odczytu |
Microsoft.Kubernetes/connectedClusters/namespaces/read | Odczytuje przestrzenie nazw |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Odczyty przychodzące |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | Odczytuje trwałe operacjevolumeclaim |
Microsoft.Kubernetes/connectedClusters/pods/read | Odczytuje zasobniki |
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Odczytuje kontrolek replikacji |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Odczytuje kontrolek replikacji |
Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Odczytuje zasobyquotas |
Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | Odczytuje konta usługi |
Microsoft.Kubernetes/connectedClusters/services/read | Usługi odczytu |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Składnik zapisywania platformy Kubernetes w usłudze Azure Arc
Umożliwia aktualizowanie wszystkich elementów w obszarze klastra/przestrzeni nazw, z wyjątkiem ról (klastra) i powiązań ról (klastra).
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft. Szczegółowe informacje/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
NotActions | |
none | |
DataActions | |
Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
Microsoft.Kubernetes/connectedClusters/apps/demononsets/* | |
Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
Microsoft.Kubernetes/connectedClusters/configmaps/* | |
Microsoft.Kubernetes/connectedClusters/endpoints/* | |
Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
Microsoft.Kubernetes/connectedClusters/events/read | Odczytuje zdarzenia |
Microsoft.Kubernetes/connectedClusters/extensions/demononsets/* | |
Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
Microsoft.Kubernetes/connectedClusters/limitranges/read | Limity odczytu |
Microsoft.Kubernetes/connectedClusters/namespaces/read | Odczytuje przestrzenie nazw |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
Microsoft.Kubernetes/connectedClusters/pods/* | |
Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Odczytuje zasobyquotas |
Microsoft.Kubernetes/connectedClusters/secrets/* | |
Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
Microsoft.Kubernetes/connectedClusters/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola współautora usługi Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu do zasobów platformy Azure udostępnianych przez usługę Azure Kubernetes Fleet Manager, w tym flot, członków floty, strategii aktualizacji floty, przebiegów aktualizacji floty itp.
Akcje | opis |
---|---|
Microsoft.ContainerService/fleets/* | |
Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administracja RBAC usługi Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu do zasobów Kubernetes w przestrzeni nazw w klastrze centrum zarządzanym przez flotę — zapewnia uprawnienia do zapisu dla większości obiektów w przestrzeni nazw, z wyjątkiem obiektu ResourceQuota i samego obiektu przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
Microsoft.ContainerService/fleets/apps/demononsets/* | |
Microsoft.ContainerService/fleets/apps/deployments/* | |
Microsoft.ContainerService/fleets/apps/statefulsets/* | |
Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje kontrolki localsubjectaccessreviews |
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
Microsoft.ContainerService/fleets/batch/cronjobs/* | |
Microsoft.ContainerService/fleets/batch/jobs/* | |
Microsoft.ContainerService/fleets/configmaps/* | |
Microsoft.ContainerService/fleets/endpoints/* | |
Microsoft.ContainerService/fleets/events.k8s.io/events/read | Odczytuje zdarzenia |
Microsoft.ContainerService/fleets/events/read | Odczytuje zdarzenia |
Microsoft.ContainerService/fleets/extensions/demononsets/* | |
Microsoft.ContainerService/fleets/extensions/deployments/* | |
Microsoft.ContainerService/fleets/extensions/ingresses/* | |
Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
Microsoft.ContainerService/fleets/limitranges/read | Limity odczytu |
Microsoft.ContainerService/fleets/namespaces/read | Odczytuje przestrzenie nazw |
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/resourcequotas/read | Odczytuje zasobyquotas |
Microsoft.ContainerService/fleets/secrets/* | |
Microsoft.ContainerService/fleets/serviceaccounts/* | |
Microsoft.ContainerService/fleets/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Klaster RBAC usługi Azure Kubernetes Fleet Manager Administracja
Przyznaje dostęp do odczytu/zapisu do wszystkich zasobów kubernetes w klastrze centrum zarządzanym przez flotę.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/fleets/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik kontroli dostępu opartej na rolach w usłudze Azure Kubernetes Fleet Manager
Przyznaje dostęp tylko do odczytu większości zasobów Kubernetes w przestrzeni nazw w klastrze centrum zarządzanym przez flotę. Nie zezwala na wyświetlanie ról ani powiązań ról. Ta rola nie zezwala na wyświetlanie wpisów tajnych, ponieważ odczytywanie zawartości wpisów tajnych umożliwia dostęp do poświadczeń usługi ServiceAccount w przestrzeni nazw, co umożliwi dostęp do interfejsu API jako dowolnego konta usługi w przestrzeni nazw (forma eskalacji uprawnień). Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
Microsoft.ContainerService/fleets/apps/demononsets/read | Odczytuje demony |
Microsoft.ContainerService/fleets/apps/deployments/read | Odczytuje wdrożenia |
Microsoft.ContainerService/fleets/apps/statefulsets/read | Odczytuje stanowe zestawy |
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Odczytuje poziomypodautoscalers |
Microsoft.ContainerService/fleets/batch/cronjobs/read | Odczyty cronjobs |
Microsoft.ContainerService/fleets/batch/jobs/read | Zadania odczytu |
Microsoft.ContainerService/fleets/configmaps/read | Odczytuje mapy konfiguracji |
Microsoft.ContainerService/fleets/endpoints/read | Odczytuje punkty końcowe |
Microsoft.ContainerService/fleets/events.k8s.io/events/read | Odczytuje zdarzenia |
Microsoft.ContainerService/fleets/events/read | Odczytuje zdarzenia |
Microsoft.ContainerService/fleets/extensions/demononsets/read | Odczytuje demony |
Microsoft.ContainerService/fleets/extensions/deployments/read | Odczytuje wdrożenia |
Microsoft.ContainerService/fleets/extensions/ingresses/read | Odczyty przychodzące |
Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Odczytuje zasady sieci |
Microsoft.ContainerService/fleets/limitranges/read | Limity odczytu |
Microsoft.ContainerService/fleets/namespaces/read | Odczytuje przestrzenie nazw |
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Odczyty przychodzące |
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Odczytuje trwałe operacjevolumeclaim |
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
Microsoft.ContainerService/fleets/replicationcontrollers/read | Odczytuje kontrolek replikacji |
Microsoft.ContainerService/fleets/replicationcontrollers/read | Odczytuje kontrolek replikacji |
Microsoft.ContainerService/fleets/resourcequotas/read | Odczytuje zasobyquotas |
Microsoft.ContainerService/fleets/serviceaccounts/read | Odczytuje konta usługi |
Microsoft.ContainerService/fleets/services/read | Usługi odczytu |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Moduł zapisywania kontroli dostępu opartej na rolach w usłudze Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu większości zasobów Kubernetes w przestrzeni nazw w klastrze centrum zarządzanym przez flotę. Ta rola nie zezwala na wyświetlanie ani modyfikowanie ról ani powiązań ról. Jednak ta rola umożliwia uzyskiwanie dostępu do wpisów tajnych jako dowolnego konta usługi w przestrzeni nazw, dzięki czemu może służyć do uzyskiwania poziomów dostępu do interfejsu API dowolnego konta usługi w przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
Microsoft.ContainerService/fleets/apps/demononsets/* | |
Microsoft.ContainerService/fleets/apps/deployments/* | |
Microsoft.ContainerService/fleets/apps/statefulsets/* | |
Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
Microsoft.ContainerService/fleets/batch/cronjobs/* | |
Microsoft.ContainerService/fleets/batch/jobs/* | |
Microsoft.ContainerService/fleets/configmaps/* | |
Microsoft.ContainerService/fleets/endpoints/* | |
Microsoft.ContainerService/fleets/events.k8s.io/events/read | Odczytuje zdarzenia |
Microsoft.ContainerService/fleets/events/read | Odczytuje zdarzenia |
Microsoft.ContainerService/fleets/extensions/demononsets/* | |
Microsoft.ContainerService/fleets/extensions/deployments/* | |
Microsoft.ContainerService/fleets/extensions/ingresses/* | |
Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
Microsoft.ContainerService/fleets/limitranges/read | Limity odczytu |
Microsoft.ContainerService/fleets/namespaces/read | Odczytuje przestrzenie nazw |
Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/replicationcontrollers/* | |
Microsoft.ContainerService/fleets/resourcequotas/read | Odczytuje zasobyquotas |
Microsoft.ContainerService/fleets/secrets/* | |
Microsoft.ContainerService/fleets/serviceaccounts/* | |
Microsoft.ContainerService/fleets/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola klastra usługi Azure Kubernetes Service Administracja
Wyświetl akcję poświadczeń administratora klastra.
Akcje | opis |
---|---|
Microsoft.ContainerService/managedClusters/listCluster Administracja Credential/action | Wyświetlanie listy poświadczeń klastra Administracja zarządzanego klastra |
Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Uzyskiwanie profilu dostępu do klastra zarządzanego według nazwy roli przy użyciu poświadczeń listy |
Microsoft.ContainerService/managedClusters/read | Pobieranie klastra zarządzanego |
Microsoft.ContainerService/managedClusters/runcommand/action | Uruchom polecenie wydane przez użytkownika względem zarządzanego serwera kubernetes. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Użytkownik monitorowania klastra usługi Azure Kubernetes Service
Wyświetlanie listy akcji poświadczeń użytkownika monitorowania klastra.
Akcje | opis |
---|---|
Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Wyświetlanie listy poświadczeń klastraMonitoringUser zarządzanego klastra |
Microsoft.ContainerService/managedClusters/read | Pobieranie klastra zarządzanego |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola użytkownika klastra usługi Azure Kubernetes Service
Wyświetl akcję poświadczeń użytkownika klastra.
Akcje | opis |
---|---|
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń klastraUżytkownika zarządzanego |
Microsoft.ContainerService/managedClusters/read | Pobieranie klastra zarządzanego |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola współautora usługi Azure Kubernetes Service
Udziela dostępu do odczytu i zapisu klastrów usługi Azure Kubernetes Service
Akcje | opis |
---|---|
Microsoft.ContainerService/managedClusters/read | Pobieranie klastra zarządzanego |
Microsoft.ContainerService/managedClusters/write | Tworzy nowy klaster zarządzany lub aktualizuje istniejący |
Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/write",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administracja RBAC usługi Azure Kubernetes Service
Umożliwia zarządzanie wszystkimi zasobami w obszarze klastra/przestrzeni nazw, z wyjątkiem aktualizowania lub usuwania przydziałów zasobów i przestrzeni nazw.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń klastraUżytkownika zarządzanego |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/managedClusters/* | |
NotDataActions | |
Microsoft.ContainerService/managedClusters/resourcequotas/write | Zapisuje zasobyquotas |
Microsoft.ContainerService/managedClusters/resourcequotas/delete | Usuwa zasobyquotas |
Microsoft.ContainerService/managedClusters/namespaces/write | Zapisuje przestrzenie nazw |
Microsoft.ContainerService/managedClusters/namespaces/delete | Usuwa przestrzenie nazw |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Klaster RBAC usługi Azure Kubernetes Service Administracja
Umożliwia zarządzanie wszystkimi zasobami w klastrze.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń klastraUżytkownika zarządzanego |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/managedClusters/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik kontroli dostępu opartej na rolach usługi Azure Kubernetes Service
Umożliwia dostęp tylko do odczytu, aby wyświetlić większość obiektów w przestrzeni nazw. Nie zezwala na wyświetlanie ról ani powiązań ról. Ta rola nie zezwala na wyświetlanie wpisów tajnych, ponieważ odczytywanie zawartości wpisów tajnych umożliwia dostęp do poświadczeń usługi ServiceAccount w przestrzeni nazw, co umożliwi dostęp do interfejsu API jako dowolnego konta usługi w przestrzeni nazw (forma eskalacji uprawnień). Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
Microsoft.ContainerService/managedClusters/apps/demononsets/read | Odczytuje demony |
Microsoft.ContainerService/managedClusters/apps/deployments/read | Odczytuje wdrożenia |
Microsoft.ContainerService/managedClusters/apps/replicasets/read | Odczytuje zestawy replik |
Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Odczytuje stanowe zestawy |
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Odczytuje poziomypodautoscalers |
Microsoft.ContainerService/managedClusters/batch/cronjobs/read | Odczyty cronjobs |
Microsoft.ContainerService/managedClusters/batch/jobs/read | Zadania odczytu |
Microsoft.ContainerService/managedClusters/configmaps/read | Odczytuje mapy konfiguracji |
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Odczytuje punkty końcowe |
Microsoft.ContainerService/managedClusters/endpoints/read | Odczytuje punkty końcowe |
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
Microsoft.ContainerService/managedClusters/events/read | Odczytuje zdarzenia |
Microsoft.ContainerService/managedClusters/extensions/demononsets/read | Odczytuje demony |
Microsoft.ContainerService/managedClusters/extensions/deployments/read | Odczytuje wdrożenia |
Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Odczyty przychodzące |
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Odczytuje zasady sieci |
Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Odczytuje zestawy replik |
Microsoft.ContainerService/managedClusters/limitranges/read | Limity odczytu |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Odczytuje zasobniki |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Węzły odczytu |
Microsoft.ContainerService/managedClusters/namespaces/read | Odczytuje przestrzenie nazw |
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Odczyty przychodzące |
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | Odczytuje trwałe operacjevolumeclaim |
Microsoft.ContainerService/managedClusters/pods/read | Odczytuje zasobniki |
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Odczytuje kontrolek replikacji |
Microsoft.ContainerService/managedClusters/resourcequotas/read | Odczytuje zasobyquotas |
Microsoft.ContainerService/managedClusters/serviceaccounts/read | Odczytuje konta usługi |
Microsoft.ContainerService/managedClusters/services/read | Usługi odczytu |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Składnik zapisywania kontroli dostępu opartej na rolach usługi Azure Kubernetes Service
Umożliwia dostęp do odczytu/zapisu do większości obiektów w przestrzeni nazw. Ta rola nie zezwala na wyświetlanie ani modyfikowanie ról ani powiązań ról. Jednak ta rola umożliwia uzyskiwanie dostępu do wpisów tajnych i uruchamianie zasobników jako dowolnego konta usługi w przestrzeni nazw, dzięki czemu może służyć do uzyskiwania poziomów dostępu interfejsu API dowolnego konta usługi w przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
NotActions | |
none | |
DataActions | |
Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
Microsoft.ContainerService/managedClusters/apps/demononsets/* | |
Microsoft.ContainerService/managedClusters/apps/deployments/* | |
Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | Odczytuje dzierżawy |
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | Zapisuje dzierżawy |
Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | Usuwa dzierżawy |
Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Odczytuje punkty końcowe |
Microsoft.ContainerService/managedClusters/batch/jobs/* | |
Microsoft.ContainerService/managedClusters/configmaps/* | |
Microsoft.ContainerService/managedClusters/endpoints/* | |
Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
Microsoft.ContainerService/managedClusters/events/* | |
Microsoft.ContainerService/managedClusters/extensions/demononsets/* | |
Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
Microsoft.ContainerService/managedClusters/limitranges/read | Limity odczytu |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Odczytuje zasobniki |
Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Węzły odczytu |
Microsoft.ContainerService/managedClusters/namespaces/read | Odczytuje przestrzenie nazw |
Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
Microsoft.ContainerService/managedClusters/pods/* | |
Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
Microsoft.ContainerService/managedClusters/resourcequotas/read | Odczytuje zasobyquotas |
Microsoft.ContainerService/managedClusters/secrets/* | |
Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
Microsoft.ContainerService/managedClusters/services/* | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator bez agenta platformy Kubernetes
Przyznaje Microsoft Defender dla Chmury dostęp do usług Azure Kubernetes Services
Akcje | opis |
---|---|
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | Tworzenie lub aktualizowanie powiązań ról zaufanego dostępu dla klastra zarządzanego |
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | Uzyskiwanie powiązań ról zaufanego dostępu dla klastra zarządzanego |
Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | Usuwanie powiązań ról zaufanego dostępu dla klastra zarządzanego |
Microsoft.ContainerService/managedClusters/read | Pobieranie klastra zarządzanego |
Microsoft.Features/features/read | Pobiera funkcje subskrypcji. |
Microsoft.Features/providers/features/read | Pobiera funkcję subskrypcji w danym dostawcy zasobów. |
Microsoft.Features/providers/features/register/action | Rejestruje funkcję subskrypcji w danym dostawcy zasobów. |
Microsoft.Security/pricings/securityoperators/read | Pobiera operatory zabezpieczeń dla zakresu |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Klaster Kubernetes — dołączanie do usługi Azure Arc
Definicja roli autoryzowania dowolnego użytkownika/usługi w celu utworzenia zasobu connectedClusters
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft. Szczegółowe informacje/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.Kubernetes/connectedClusters/Write | Zapisy connectedClusters |
Microsoft.Kubernetes/connectedClusters/read | Odczyt connectedClusters |
Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor rozszerzenia Kubernetes
Może tworzyć, aktualizować, pobierać, wyświetlać i usuwać rozszerzenia Kubernetes oraz pobierać operacje asynchroniczne rozszerzeń
Akcje | Opis |
---|---|
Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
Microsoft. Szczegółowe informacje/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
Microsoft.KubernetesConfiguration/extensions/write | Tworzy lub aktualizuje zasób rozszerzenia. |
Microsoft.KubernetesConfiguration/extensions/read | Pobiera zasób wystąpienia rozszerzenia. |
Microsoft.KubernetesConfiguration/extensions/delete | Usuwa zasób wystąpienia rozszerzenia. |
Microsoft.KubernetesConfiguration/extensions/operations/read | Pobiera stan operacji asynchronicznych. |
NotActions | |
none | |
DataActions | |
none | |
NotDataActions | |
none |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}