Wbudowane role platformy Azure dla kontenerów
W tym artykule wymieniono wbudowane role platformy Azure w kategorii Kontenery.
AcrDelete
Usuwanie repozytoriów, tagów lub manifestów z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | Usuń artefakt w rejestrze kontenerów. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Wypychanie zaufanych obrazów do zaufanych obrazów lub ściąganie zaufanych obrazów z rejestru kontenerów włączonego na potrzeby zaufania do zawartości.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | Wypychanie/ściąganie metadanych zaufania zawartości dla rejestru kontenerów. |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | Umożliwia wypychanie lub publikowanie zaufanych kolekcji zawartości rejestru kontenerów. Jest to podobne do akcji Microsoft.ContainerRegistry/registry/sign/write, z tą różnicą, że jest to akcja danych |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
Ściąganie artefaktów z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
Wypychanie artefaktów do lub ściąganie artefaktów z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/push/write | Wypychanie lub zapisywanie obrazów do rejestru kontenerów. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Ściąganie obrazów poddanych kwarantannie z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Ściąganie lub pobieranie obrazów poddanych kwarantannie z rejestru kontenerów |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Umożliwia ściąganie lub pobieranie artefaktów poddanych kwarantannie z rejestru kontenerów. Jest to podobne do Microsoft.ContainerRegistry/registry/quarantine/read, z wyjątkiem tego, że jest to akcja danych |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Wypchnij obrazy poddane kwarantannie do lub ściągnąć obrazy poddane kwarantannie z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Ściąganie lub pobieranie obrazów poddanych kwarantannie z rejestru kontenerów |
| Microsoft.ContainerRegistry/rejestry/kwarantanna/zapis | Zapisywanie/modyfikowanie stanu kwarantanny obrazów poddanych kwarantannie |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Umożliwia ściąganie lub pobieranie artefaktów poddanych kwarantannie z rejestru kontenerów. Jest to podobne do Microsoft.ContainerRegistry/registry/quarantine/read, z wyjątkiem tego, że jest to akcja danych |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | Umożliwia zapisywanie lub aktualizowanie stanu kwarantanny artefaktów poddanych kwarantannie. Jest to podobne do akcji Microsoft.ContainerRegistry/registry/quarantine/write, z tą różnicą, że jest to akcja danych |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola użytkownika klastra Kubernetes z włączoną usługą Azure Arc
Wyświetl akcję poświadczeń użytkownika klastra.
| Akcje | opis |
|---|---|
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | Wyświetlanie listy poświadczeń użytkownika (wersja zapoznawcza) |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń użytkownika |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator usługi Azure Arc Kubernetes
Umożliwia zarządzanie wszystkimi zasobami w obszarze klastra/przestrzeni nazw, z wyjątkiem aktualizowania lub usuwania przydziałów zasobów i przestrzeni nazw.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.Kubernetes/connectedClusters/apps/demononsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje kontrolki localsubjectaccessreviews |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/extensions/demononsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Limity odczytu |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator klastra Kubernetes w usłudze Azure Arc
Umożliwia zarządzanie wszystkimi zasobami w klastrze.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Podgląd platformy Kubernetes w usłudze Azure Arc
Umożliwia wyświetlenie wszystkich zasobów w klastrze/przestrzeni nazw, z wyjątkiem wpisów tajnych.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.Kubernetes/connectedClusters/apps/demononsets/read | Odczytuje demony |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | Odczytuje wdrożenia |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | Odczytuje zestawy replik |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | Odczytuje stanowe zestawy |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | Odczytuje poziomypodautoscalers |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | Odczyty cronjobs |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | Zadania odczytu |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | Odczytuje mapy konfiguracji |
| Microsoft.Kubernetes/connectedClusters/endpoints/read | Odczytuje punkty końcowe |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/extensions/demononsets/read | Odczytuje demony |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | Odczytuje wdrożenia |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | Odczyty przychodzące |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | Odczytuje zestawy replik |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Limity odczytu |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Odczyty przychodzące |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | Odczytuje trwałe operacjevolumeclaim |
| Microsoft.Kubernetes/connectedClusters/pods/read | Odczytuje zasobniki |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | Odczytuje konta usługi |
| Microsoft.Kubernetes/connectedClusters/services/read | Usługi odczytu |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Składnik zapisywania platformy Kubernetes w usłudze Azure Arc
Umożliwia aktualizowanie wszystkich elementów w obszarze klastra/przestrzeni nazw, z wyjątkiem ról (klastra) i powiązań ról (klastra).
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.Kubernetes/connectedClusters/apps/demononsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/extensions/demononsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Limity odczytu |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor usługi Azure Container Storage
Zainstaluj usługę Azure Container Storage i zarządzaj jej zasobami magazynu. Obejmuje warunek ABAC do ograniczenia przypisań ról.
| Akcje | opis |
|---|---|
| Microsoft.KubernetesConfiguration/extensions/write | Tworzy lub aktualizuje zasób rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/read | Pobiera zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/delete | Usuwa zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Pobiera stan operacji asynchronicznych. |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Management/managementGroups/read | Wyświetlanie listy grup zarządzania dla uwierzytelnioowanego użytkownika. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Akcje | |
| Microsoft.Authorization/roleAssignments/write | Utwórz przypisanie roli w określonym zakresie. |
| Microsoft.Authorization/roleAssignments/delete | Usuń przypisanie roli w określonym zakresie. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Warunek | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) i ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) | Dodaj lub usuń przypisania ról dla następujących ról: Azure Container Storage Operator |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Container Storage Operator
Umożliwia tożsamości zarządzanej wykonywanie operacji usługi Azure Container Storage, takich jak zarządzanie maszynami wirtualnymi i zarządzanie sieciami wirtualnymi.
| Akcje | opis |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Sonduje stan operacji asynchronicznej. |
| Microsoft.Network/routeTables/join/action | Łączy tabelę tras. Nie można otrzymywać alertów. |
| Microsoft.Network/networkSecurityGroups/join/action | Dołącza do sieciowej grupy zabezpieczeń. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/write | Tworzy sieć wirtualną lub aktualizuje istniejącą sieć wirtualną |
| Microsoft.Network/virtualNetworks/delete | Usuwa sieć wirtualną |
| Microsoft.Network/virtualNetworks/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/subnets/read | Pobiera definicję podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej |
| Microsoft.Compute/virtualMachines/read | Pobieranie właściwości maszyny wirtualnej |
| Microsoft.Compute/virtualMachines/write | Tworzy nową maszynę wirtualną lub aktualizuje istniejącą maszynę wirtualną |
| Microsoft.Compute/virtualMachineScaleSets/read | Pobieranie właściwości zestawu skalowania maszyn wirtualnych |
| Microsoft.Compute/virtualMachineScaleSets/write | Tworzy nowy zestaw skalowania maszyn wirtualnych lub aktualizuje istniejący |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Aktualizuje właściwości maszyny wirtualnej w zestawie skalowania maszyn wirtualnych |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Pobiera właściwości maszyny wirtualnej w zestawie skalowania maszyn wirtualnych |
| Microsoft.Resources/subscriptions/providers/read | Pobiera lub wyświetla listę dostawców zasobów. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Network/virtualNetworks/read | Pobieranie definicji sieci wirtualnej |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Właściciel usługi Azure Container Storage
Zainstaluj usługę Azure Container Storage, przyznaj dostęp do zasobów magazynu i skonfiguruj sieć azure Elastic Storage Area Network (SAN). Obejmuje warunek ABAC do ograniczenia przypisań ról.
| Akcje | opis |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Sonduje stan operacji asynchronicznej. |
| Microsoft.KubernetesConfiguration/extensions/write | Tworzy lub aktualizuje zasób rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/read | Pobiera zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/delete | Usuwa zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Pobiera stan operacji asynchronicznych. |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Management/managementGroups/read | Wyświetlanie listy grup zarządzania dla uwierzytelnioowanego użytkownika. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Akcje | |
| Microsoft.Authorization/roleAssignments/write | Utwórz przypisanie roli w określonym zakresie. |
| Microsoft.Authorization/roleAssignments/delete | Usuń przypisanie roli w określonym zakresie. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none | |
| Warunek | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) i ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) | Dodaj lub usuń przypisania ról dla następujących ról: Azure Container Storage Operator |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola współautora usługi Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu do zasobów platformy Azure udostępnianych przez usługę Azure Kubernetes Fleet Manager, w tym flot, członków floty, strategii aktualizacji floty, przebiegów aktualizacji floty itp.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator kontroli dostępu opartej na rolach w usłudze Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu do zasobów Kubernetes w przestrzeni nazw w klastrze centrum zarządzanym przez flotę — zapewnia uprawnienia do zapisu dla większości obiektów w przestrzeni nazw, z wyjątkiem obiektu ResourceQuota i samego obiektu przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
| Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/fleets/apps/demononsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje kontrolki localsubjectaccessreviews |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/extensions/demononsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/fleets/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator klastra RBAC usługi Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu do wszystkich zasobów kubernetes w klastrze centrum zarządzanym przez flotę.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
| Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik kontroli dostępu opartej na rolach w usłudze Azure Kubernetes Fleet Manager
Przyznaje dostęp tylko do odczytu większości zasobów Kubernetes w przestrzeni nazw w klastrze centrum zarządzanym przez flotę. Nie zezwala na wyświetlanie ról ani powiązań ról. Ta rola nie zezwala na wyświetlanie wpisów tajnych, ponieważ odczytywanie zawartości wpisów tajnych umożliwia dostęp do poświadczeń usługi ServiceAccount w przestrzeni nazw, co umożliwi dostęp do interfejsu API jako dowolnego konta usługi w przestrzeni nazw (forma eskalacji uprawnień). Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
| Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/fleets/apps/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/fleets/apps/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Odczytuje stanowe zestawy |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Odczytuje poziomypodautoscalers |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Odczyty cronjobs |
| Microsoft.ContainerService/fleets/batch/jobs/read | Zadania odczytu |
| Microsoft.ContainerService/fleets/configmaps/read | Odczytuje mapy konfiguracji |
| Microsoft.ContainerService/fleets/endpoints/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/extensions/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/fleets/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/fleets/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Odczytuje trwałe operacjevolumeclaim |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.ContainerService/fleets/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Odczytuje konta usługi |
| Microsoft.ContainerService/fleets/services/read | Usługi odczytu |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Moduł zapisywania kontroli dostępu opartej na rolach w usłudze Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu większości zasobów Kubernetes w przestrzeni nazw w klastrze centrum zarządzanym przez flotę. Ta rola nie zezwala na wyświetlanie ani modyfikowanie ról ani powiązań ról. Jednak ta rola umożliwia uzyskiwanie dostępu do wpisów tajnych jako dowolnego konta usługi w przestrzeni nazw, dzięki czemu może służyć do uzyskiwania poziomów dostępu do interfejsu API dowolnego konta usługi w przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
| Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/fleets/apps/demononsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/extensions/demononsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/fleets/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola administratora klastra usługi Azure Kubernetes Service Arc
Wyświetl akcję poświadczeń administratora klastra.
| Akcje | opis |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Pobiera wystąpienia klastra aprowizowania hybrydowego usługi AKS skojarzone z połączonym klastrem |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | Wyświetla listę poświadczeń administratora aprowizowanego wystąpienia klastra używanego tylko w trybie bezpośrednim. |
| Microsoft.Kubernetes/connectedClusters/Read | Odczyt connectedClusters |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola użytkownika klastra usługi Azure Kubernetes Service Arc
Wyświetl akcję poświadczeń użytkownika klastra.
| Akcje | opis |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Pobiera wystąpienia klastra aprowizowania hybrydowego usługi AKS skojarzone z połączonym klastrem |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | Wyświetla listę poświadczeń użytkownika usługi AAD dla aprowizowanego wystąpienia klastra używanego tylko w trybie bezpośrednim. |
| Microsoft.Kubernetes/connectedClusters/Read | Odczyt connectedClusters |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola współautora usługi Azure Kubernetes Service Arc
Udziela dostępu do odczytu i zapisu klastrów hybrydowych usługi Azure Kubernetes Services
| Akcje | opis |
|---|---|
| Microsoft.HybridContainerService/Locations/operationStatuses/read | read operationStatuses |
| Microsoft.HybridContainerService/Operations/read | operacje odczytu |
| Microsoft.HybridContainerService/kubernetesVersions/read | Wyświetla listę obsługiwanych wersji platformy Kubernetes z bazowej lokalizacji niestandardowej |
| Microsoft.HybridContainerService/kubernetesVersions/write | Umieszcza typ zasobu wersji kubernetes |
| Microsoft.HybridContainerService/kubernetesVersions/delete | Usuwanie typu zasobu wersji kubernetes |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Pobiera wystąpienia klastra aprowizowania hybrydowego usługi AKS skojarzone z połączonym klastrem |
| Microsoft.HybridContainerService/provisionedClusterInstances/write | Tworzy wystąpienie klastra aprowizowanego hybrydowego usługi AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | Usuwa wystąpienie aprowizowanego klastra hybrydowego usługi AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | Pobiera pule agentów w wystąpieniu aprowizowanego klastra hybrydowego usługi AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | Aktualizuje pulę agentów w wystąpieniu klastra aprowizowania hybrydowego usługi AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete | Usuwa pulę agentów w wystąpieniu klastra aprowizowania hybrydowego usługi AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | read upgradeProfiles |
| Microsoft.HybridContainerService/skus/read | Wyświetla listę obsługiwanych jednostek SKU maszyn wirtualnych z bazowej lokalizacji niestandardowej |
| Microsoft.HybridContainerService/skus/write | Umieszcza typ zasobu jednostek SKU maszyny wirtualnej |
| Microsoft.HybridContainerService/skus/delete | Usuwa typ zasobu jednostki SKU maszyny wirtualnej |
| Microsoft.HybridContainerService/virtualNetworks/read | Wyświetla listę hybrydowych sieci wirtualnych usługi AKS według subskrypcji |
| Microsoft.HybridContainerService/virtualNetworks/write | Poprawia hybrydową sieć wirtualną usługi AKS |
| Microsoft.HybridContainerService/virtualNetworks/delete | Usuwa hybrydową sieć wirtualną usługi AKS |
| Microsoft.ExtendedLocation/customLocations/deploy/action | Wdrażanie uprawnień do zasobu Lokalizacja niestandardowa |
| Microsoft.ExtendedLocation/customLocations/read | Pobiera zasób lokalizacji niestandardowej |
| Microsoft.Kubernetes/connectedClusters/Read | Odczyt connectedClusters |
| Microsoft.Kubernetes/connectedClusters/Write | Zapisy connectedClusters |
| Microsoft.Kubernetes/connectedClusters/Delete | Usuwa element connectedClusters |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń użytkownika |
| Microsoft.AzureStackHCI/clusters/read | Pobiera klastry |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola administratora klastra usługi Azure Kubernetes Service
Wyświetl akcję poświadczeń administratora klastra.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | Wyświetlanie listy poświadczeń clusterAdmin klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Uzyskiwanie profilu dostępu do klastra zarządzanego według nazwy roli przy użyciu poświadczeń listy |
| Microsoft.ContainerService/managedClusters/read | Pobieranie klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/runcommand/action | Uruchom polecenie wydane przez użytkownika względem zarządzanego serwera kubernetes. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Użytkownik monitorowania klastra usługi Azure Kubernetes Service
Wyświetlanie listy akcji poświadczeń użytkownika monitorowania klastra.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Wyświetlanie listy poświadczeń klastraMonitoringUser zarządzanego klastra |
| Microsoft.ContainerService/managedClusters/read | Pobieranie klastra zarządzanego |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola użytkownika klastra usługi Azure Kubernetes Service
Wyświetl akcję poświadczeń użytkownika klastra.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń klastraUżytkownika zarządzanego |
| Microsoft.ContainerService/managedClusters/read | Pobieranie klastra zarządzanego |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola współautora usługi Azure Kubernetes Service
Udziela dostępu do odczytu i zapisu klastrów usługi Azure Kubernetes Service
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.ContainerService/locations/* | Odczyt lokalizacji dostępnych dla zasobów usługi ContainerService |
| Microsoft.ContainerService/managedClusters/* | Tworzenie klastra zarządzanego i zarządzanie nim |
| Microsoft.ContainerService/managedclustersnapshots/* | Tworzenie migawki klastra zarządzanego i zarządzanie nim |
| Microsoft.ContainerService/snapshots/* | Tworzenie migawki i zarządzanie nią |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator kontroli dostępu opartej na rolach usługi Azure Kubernetes Service
Umożliwia zarządzanie wszystkimi zasobami w obszarze klastra/przestrzeni nazw, z wyjątkiem aktualizowania lub usuwania przydziałów zasobów i przestrzeni nazw.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń klastraUżytkownika zarządzanego |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | Zapisuje zasobyquotas |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | Usuwa zasobyquotas |
| Microsoft.ContainerService/managedClusters/namespaces/write | Zapisuje przestrzenie nazw |
| Microsoft.ContainerService/managedClusters/namespaces/delete | Usuwa przestrzenie nazw |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator klastra RBAC usługi Azure Kubernetes Service
Umożliwia zarządzanie wszystkimi zasobami w klastrze.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń klastraUżytkownika zarządzanego |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik kontroli dostępu opartej na rolach usługi Azure Kubernetes Service
Umożliwia dostęp tylko do odczytu, aby wyświetlić większość obiektów w przestrzeni nazw. Nie zezwala na wyświetlanie ról ani powiązań ról. Ta rola nie zezwala na wyświetlanie wpisów tajnych, ponieważ odczytywanie zawartości wpisów tajnych umożliwia dostęp do poświadczeń usługi ServiceAccount w przestrzeni nazw, co umożliwi dostęp do interfejsu API jako dowolnego konta usługi w przestrzeni nazw (forma eskalacji uprawnień). Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/managedClusters/apps/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | Odczytuje zestawy replik |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Odczytuje stanowe zestawy |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Odczytuje poziomypodautoscalers |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | Odczyty cronjobs |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | Zadania odczytu |
| Microsoft.ContainerService/managedClusters/configmaps/read | Odczytuje mapy konfiguracji |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/managedClusters/endpoints/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/managedClusters/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/managedClusters/extensions/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Odczytuje zestawy replik |
| Microsoft.ContainerService/managedClusters/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Odczytuje zasobniki |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Węzły odczytu |
| Microsoft.ContainerService/managedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | Odczytuje trwałe operacjevolumeclaim |
| Microsoft.ContainerService/managedClusters/pods/read | Odczytuje zasobniki |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | Odczytuje konta usługi |
| Microsoft.ContainerService/managedClusters/services/read | Usługi odczytu |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Składnik zapisywania kontroli dostępu opartej na rolach usługi Azure Kubernetes Service
Umożliwia dostęp do odczytu/zapisu do większości obiektów w przestrzeni nazw. Ta rola nie zezwala na wyświetlanie ani modyfikowanie ról ani powiązań ról. Jednak ta rola umożliwia uzyskiwanie dostępu do wpisów tajnych i uruchamianie zasobników jako dowolnego konta usługi w przestrzeni nazw, dzięki czemu może służyć do uzyskiwania poziomów dostępu interfejsu API dowolnego konta usługi w przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions | |
| none | |
| DataActions | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/managedClusters/apps/demononsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | Odczytuje dzierżawy |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | Zapisuje dzierżawy |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | Usuwa dzierżawy |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/demononsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Odczytuje zasobniki |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Węzły odczytu |
| Microsoft.ContainerService/managedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytnik funkcji CheckAccess tożsamości zarządzanej połączonego klastra
Wbudowana rola, która umożliwia tożsamości zarządzanej połączonego klastra wywoływanie interfejsu API checkAccess
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator bez agenta platformy Kubernetes
Przyznaje Microsoft Defender dla Chmury dostęp do usług Azure Kubernetes Services
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | Tworzenie lub aktualizowanie powiązań ról zaufanego dostępu dla klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | Uzyskiwanie powiązań ról zaufanego dostępu dla klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | Usuwanie powiązań ról zaufanego dostępu dla klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/read | Pobieranie klastra zarządzanego |
| Microsoft.Features/features/read | Pobiera funkcje subskrypcji. |
| Microsoft.Features/providers/features/read | Pobiera funkcję subskrypcji w danym dostawcy zasobów. |
| Microsoft.Features/providers/features/register/action | Rejestruje funkcję subskrypcji w danym dostawcy zasobów. |
| Microsoft.Security/pricings/securityoperators/read | Pobiera operatory zabezpieczeń dla zakresu |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Klaster Kubernetes — dołączanie do usługi Azure Arc
Definicja roli autoryzowania dowolnego użytkownika/usługi w celu utworzenia zasobu connectedClusters
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subscriptions/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subscriptions/read | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Kubernetes/connectedClusters/Write | Zapisy connectedClusters |
| Microsoft.Kubernetes/connectedClusters/read | Odczyt connectedClusters |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor rozszerzenia Kubernetes
Może tworzyć, aktualizować, pobierać, wyświetlać i usuwać rozszerzenia Kubernetes oraz pobierać operacje asynchroniczne rozszerzeń
| Akcje | Opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.KubernetesConfiguration/extensions/write | Tworzy lub aktualizuje zasób rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/read | Pobiera zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/delete | Usuwa zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Pobiera stan operacji asynchronicznych. |
| NotActions | |
| none | |
| DataActions | |
| none | |
| NotDataActions | |
| none |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}