Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены встроенные роли Azure в категории "Контейнеры".
АкрУдалить
Удаление репозиториев, тегов или манифестов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/реестры/артефакты/удалить | Удаление артефакта в реестре контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Отправка или получение доверенных образов в реестре контейнеров с поддержкой доверия к содержимому.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | Передача или извлечение метаданных доверия к содержимому для реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | Позволяет отправлять или публиковать доверенные коллекции содержимого реестра контейнеров Похоже на действие Microsoft.ContainerRegistry/registries/sign/write, за исключением того, что это действие с данными |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
АкрПул
Извлечение артефактов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
АкрПуш
Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/push/write | Передача или запись образов в реестр контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Извлечение помещенных в карантин образов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/read, за исключением того, что это действие с данными |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/реестры/карантин/запись | Запись и изменение состояния карантина образов, помещенных в карантин. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/read, за исключением того, что это действие с данными |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | Позволяет записывать или обновлять состояние карантина для артефактов, помещенных на карантин Похоже на действие Microsoft.ContainerRegistry/registries/quarantine/write, за исключением того, что это действие с данными |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль пользователя кластера Kubernetes с поддержкой Azure Arc
Действие вывода учетных данных пользователей кластера.
| Действия | Описание |
|---|---|
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | Перечисление учетных данных clusterUser (предварительная версия) |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| Microsoft.Kubernetes/подключенныеКластеры/списокУчетныхДанныхПользователяКластера/действие | Перечисляет учетные данные clusterUser |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор Kubernetes Azure Arc
Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.Kubernetes/подключённые_кластеры/приложения/ревизии_контроллера/read | Считывает controllerrevisions. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Записывает localsubjectaccessreviews |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/подключенныеКластеры/пакет/задачи/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/подключенныеКластеры/events.k8s.io/события/чтение | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/события/чтение | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/подключенныеКластеры/лимиты/чтение | Считывает limitranges. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/подключенныеКластеры/networking.k8s.io/сетевыеПолитики/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/role/* | |
| Microsoft.Kubernetes/подключенныеКластеры/репликационныеКонтроллеры/* | |
| Microsoft.Kubernetes/подключенныеКластеры/репликационныеКонтроллеры/* | |
| Microsoft.Kubernetes/connectedClusters/квоты_ресурсов/читать | Считывает resourcequotas. |
| Microsoft.Kubernetes/connectedClusters/секреты/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор кластера Kubernetes Azure Arc
Позволяет управлять всеми ресурсами в кластере.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Зритель Kubernetes Azure Arc
Позволяет просматривать все ресурсы в кластере или пространстве имен, за исключением секретов.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.Kubernetes/подключённые_кластеры/приложения/ревизии_контроллера/read | Считывает controllerrevisions. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | Считывает deployments. |
| Microsoft.Kubernetes/подключенныеКластеры/приложения/репликаСеты/читать | Считывает replicasets. |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft.Kubernetes/подключенныеКластеры/пакет/планировщикЗадач/читать | Считывает cronjobs. |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | Считывает jobs. |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | Считывает configmaps. |
| Microsoft.Kubernetes/connectedClusters/endpoints/читать | Считывает endpoints. |
| Microsoft.Kubernetes/подключенныеКластеры/events.k8s.io/события/чтение | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/события/чтение | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | Считывает deployments. |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.Kubernetes/подключенныеКластеры/расширения/сетевыеПолитики/прочитать | Считывает networkpolicies. |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | Считывает replicasets. |
| Microsoft.Kubernetes/подключенныеКластеры/лимиты/чтение | Считывает limitranges. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.Kubernetes/connectedClusters/pods/read | Считывает pods. |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.Kubernetes/connectedClusters/квоты_ресурсов/читать | Считывает resourcequotas. |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.Kubernetes/connectedClusters/services/read | Считывает services. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Писатель Kubernetes Azure Arc
Позволяет обновлять все объекты в кластере или пространстве имен, кроме ролей (кластера) и привязок ролей (кластера).
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.Kubernetes/подключённые_кластеры/приложения/ревизии_контроллера/read | Считывает controllerrevisions. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/подключенныеКластеры/пакет/задачи/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/подключенныеКластеры/events.k8s.io/события/чтение | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/события/чтение | Считывает events. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/подключенныеКластеры/лимиты/чтение | Считывает limitranges. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/подключенныеКластеры/networking.k8s.io/сетевыеПолитики/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/подключенныеКластеры/репликационныеКонтроллеры/* | |
| Microsoft.Kubernetes/подключенныеКластеры/репликационныеКонтроллеры/* | |
| Microsoft.Kubernetes/connectedClusters/квоты_ресурсов/читать | Считывает resourcequotas. |
| Microsoft.Kubernetes/connectedClusters/секреты/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник службы хранилища контейнеров Azure
Установите хранилище контейнеров Azure и управляйте ресурсами хранилища. Включает условие ABAC для ограничения назначений ролей.
| Действия | Описание |
|---|---|
| Microsoft.KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft.KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/расширения/операции/читать | Получение состояния асинхронной операции. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Management/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Действия | |
| Microsoft.Authorization/roleAssignments/write (запись назначения ролей) | Создает назначение роли в указанной области. |
| Microsoft.Authorization/назначенияРолей/удалить | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Условие | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d4d4d4d4d619})) | Добавьте или удалите назначения ролей для следующих ролей: Оператор хранилища контейнеров Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор хранилища контейнеров Azure
Включите управляемое удостоверение для выполнения операций хранилища контейнеров Azure, таких как управление виртуальными машинами и управление виртуальными сетями.
| Действия | Описание |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/местоположения/асинхронные_операции/прочитать | Опрашивает состояние асинхронной операции. |
| Microsoft.Network/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/write | Создает новую виртуальную сеть или обновляет существующую. |
| Microsoft.Network/virtualNetworks/delete | Удаляет виртуальную сеть. |
| Microsoft.Network/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Compute/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft.Compute/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Microsoft.Compute/virtualMachineScaleSets/read | Получение свойств масштабируемого набора виртуальных машин. |
| Microsoft.Compute/virtualMachineScaleSets/write | Создание нового масштабируемого набора виртуальных машин или обновление существующего. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Обновление свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Извлекает свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft.Resources/subscriptions/providers/read | Возвращает поставщики ресурсов или выводит их список. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Владелец хранилища контейнеров Azure
Установите хранилище контейнеров Azure, предоставьте доступ к ресурсам хранилища и настройте сеть эластичных хранилищ Azure (SAN). Включает условие ABAC для ограничения назначений ролей.
| Действия | Описание |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/местоположения/асинхронные_операции/прочитать | Опрашивает состояние асинхронной операции. |
| Microsoft.KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft.KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/расширения/операции/читать | Получение состояния асинхронной операции. |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Management/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Действия | |
| Microsoft.Authorization/roleAssignments/write (запись назначения ролей) | Создает назначение роли в указанной области. |
| Microsoft.Authorization/назначенияРолей/удалить | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Условие | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d4d4d4d4d619})) | Добавьте или удалите назначения ролей для следующих ролей: Оператор хранилища контейнеров Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль участника Диспетчера флота Azure Kubernetes
Предоставляет доступ на чтение и запись к ресурсам Azure, предоставляемым диспетчером флотов Azure Kubernetes, включая флоты, членов флота, стратегии обновления флота, запуски обновлений флота и т. д.
| Действия | Описание |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль агента Центра диспетчера флота Azure Kubernetes
Предоставляет доступ к ресурсам Azure, необходимым агентам центра Azure Kubernetes Fleet Manager.
| Действия | Описание |
|---|---|
| Microsoft.Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft.Network/trafficManagerProfiles/read | Возвращает конфигурацию профиля диспетчера трафика. Он содержит параметры DNS, параметры маршрутизации трафика, параметры отслеживания конечных точек, а также список конечных точек, маршрутизируемых данным профилем диспетчера трафика. |
| Microsoft.Network/trafficManagerProfiles/write | Создает профиль диспетчера трафика или изменяет конфигурацию существующего профиля диспетчера трафика. Сюда входит включение или отключение профиля и изменение параметров DNS, параметров маршрутизации трафика или параметров мониторинга конечных точек. Конечные точки, маршрутизируемые с помощью профиля диспетчера трафика, можно добавлять, удалять, включать и отключать. |
| Microsoft.Network/trafficManagerProfiles/delete | Удаляет профиль диспетчера трафика. Будут утрачены все параметры, связанные с профилем диспетчера трафика, и профиль больше не сможет использоваться для маршрутизации трафика. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/read | Получение конечной точки Azure, которая относится к профилю диспетчера трафика, а также свойств этой конечной точки. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/write | Добавление новой конечной точки Azure в существующий профиль диспетчера трафика или обновление свойств существующей конечной точки Azure в этом профиле. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete | Удаление конечной точки Azure из существующего профиля диспетчера трафика. Диспетчер трафика остановит маршрутизацию трафика в удаленную конечную точку Azure. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants access to Azure resources needed by Azure Kubernetes Fleet Manager hub agents.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"name": "de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/trafficManagerProfiles/read",
"Microsoft.Network/trafficManagerProfiles/write",
"Microsoft.Network/trafficManagerProfiles/delete",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/read",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/write",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Agent Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор RBAC диспетчера парка Azure Kubernetes
Предоставляет доступ на чтение и запись к ресурсам Kubernetes в пространстве имен в кластере, управляемом флотом, предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение флота |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Записывает localsubjectaccessreviews |
| Microsoft.ContainerService/парки/автомасштабирование/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/role/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/fleets/secret/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор кластера RBAC диспетчера парка Azure Kubernetes
Предоставляет доступ на чтение и запись ко всем ресурсам Kubernetes в кластере, управляемом флотом.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/подписки/результаты_операций/читать | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение флота |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения RBAC диспетчера флота Azure Kubernetes
Предоставляет доступ только для чтения к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение флота |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/apps/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.ContainerService/флоты/автомасштабирование/горизонтальныеподавтошкалеры/чтение | Считывает horizontalpodautoscalers. |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft.ContainerService/fleets/batch/jobs/read | Считывает jobs. |
| Microsoft.ContainerService/fleets/configmaps/read | Считывает configmaps. |
| Microsoft.ContainerService/fleets/endpoints/read | Считывает endpoints. |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/читать | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.ContainerService/fleets/services/read | Считывает services. |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Чтение ресурса resourceoverride для автопарка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи RBAC диспетчера флота Azure Kubernetes
Предоставляет доступ на чтение и запись к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получать доступ к секретам в качестве любого ServiceAccount в пространстве имен, поэтому его можно использовать для получения уровней доступа к API любого ServiceAccount в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/fleets/read | Получение флота |
| Microsoft.ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/apps/daemonsets/write | Записывает daemonset |
| Microsoft.ContainerService/fleets/apps/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/apps/deployments/write | Записывает deployments |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.ContainerService/fleets/apps/statefulsets/write | Записывает statefulsets |
| Microsoft.ContainerService/флоты/автомасштабирование/горизонтальныеподавтошкалеры/чтение | Считывает horizontalpodautoscalers. |
| Microsoft.ContainerService/флоты/авто-масштабирование/горизонтальныеподы-авторасширители/запись | Записывает horizontalpodautoscalers |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft.ContainerService/fleets/batch/cronjobs/write | Записывает cronjobs |
| Microsoft.ContainerService/fleets/batch/jobs/read | Считывает jobs. |
| Microsoft.ContainerService/fleets/batch/jobs/write | Записывает jobs |
| Microsoft.ContainerService/fleets/configmaps/read | Считывает configmaps. |
| Microsoft.ContainerService/fleets/configmaps/write | Записывает configmaps |
| Microsoft.ContainerService/fleets/endpoints/read | Считывает endpoints. |
| Microsoft.ContainerService/fleets/endpoints/write | Записывает endpoints |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/events/read | Считывает events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/write | Записывает daemonset |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Считывает deployments. |
| Microsoft.ContainerService/fleets/extensions/deployments/write | Записывает deployments |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/extensions/ingresses/write | Записывает ingresses |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/читать | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/write | Записывает networkpolicies |
| Microsoft.ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write | Записывает ingresses |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write | Записывает networkpolicies |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/write | Записывает persistentvolumeclaims |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write | Записывает poddisruptionbudgets |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/fleets/replicationcontrollers/write | Записывает replicationcontrollers |
| Microsoft.ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/fleets/secret/read | Считывает secrets |
| Microsoft.ContainerService/fleets/secret/write | Записывает secrets |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.ContainerService/fleets/serviceaccounts/write | Записывает serviceaccounts |
| Microsoft.ContainerService/fleets/services/read | Считывает services. |
| Microsoft.ContainerService/fleets/services/write | Записывает services |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Чтение ресурса resourceoverride для автопарка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | Запись ресурса resourceoverride парка |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль администратора кластера Arc Служба Azure Kubernetes
Список действий, выполненных с помощью учетных данных администратора кластера.
| Действия | Описание |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | Выводит учетные данные администратора подготовленного экземпляра кластера, используемого только в прямом режиме. |
| Microsoft.Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль пользователя кластера Arc Служба Azure Kubernetes
Список действий, выполненных с помощью учетных данных пользователя кластера.
| Действия | Описание |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | Выводит учетные данные пользователя AAD для подготовленного экземпляра кластера, используемого только в прямом режиме. |
| Microsoft.Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль участника Служба Azure Kubernetes Arc
Предоставляет доступ к гибридным кластерам для чтения и записи Служба Azure Kubernetes
| Действия | Описание |
|---|---|
| Microsoft.HybridContainerService/Locations/operationStatuses/read | операции чтенияStatuses |
| Microsoft.HybridContainerService/Operations/read | Операции чтения |
| Microsoft.HybridContainerService/kubernetesVersions/read | Список поддерживаемых версий Kubernetes из базового пользовательского расположения |
| Microsoft.HybridContainerService/kubernetesVersions/write | Помещает тип ресурса версии Kubernetes |
| Microsoft.HybridContainerService/kubernetesVersions/delete | Удаление типа ресурса версий Kubernetes |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Microsoft.HybridContainerService/provisionedClusterInstances/записать | Создает экземпляр подготовленного гибридного кластера AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | Удаляет экземпляр подготовленного гибридного кластера AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | Возвращает пулы агентов в экземпляре подготовленного гибридного кластера AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | Обновляет пул агентов в экземпляре подготовленного гибридного кластера AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete | Удаляет пул агентов в экземпляре подготовленного гибридного кластера AKS. |
| Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | чтение обновленийProfiles |
| Microsoft.HybridContainerService/skus/read | Перечисляет поддерживаемые номера SKU виртуальных машин из базового настраиваемого расположения. |
| Microsoft.HybridContainerService/skus/write | Помещает тип ресурса SKU виртуальной машины |
| Microsoft.HybridContainerService/skus/delete | Удаляет тип ресурса SKU виртуальной машины |
| Microsoft.HybridContainerService/virtualNetworks/read | Список гибридных виртуальных сетей AKS по подписке |
| Microsoft.HybridContainerService/virtualNetworks/write | Исправление гибридной виртуальной сети AKS |
| Microsoft.HybridContainerService/виртуальныеСети/удалить | Удаляет виртуальную сеть Hybrid AKS |
| Microsoft.ExtendedLocation/customLocations/deploy/action | Развертывание разрешений в ресурсе пользовательского расположения |
| Microsoft.ExtendedLocation/customLocations/read | Возвращает ресурс пользовательского расположения |
| Microsoft.Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| Microsoft.Kubernetes/присоединенныеКластеры/Запись | Записывает connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/Delete | Удаляет connectedClusters. |
| Microsoft.Kubernetes/подключенныеКластеры/списокУчетныхДанныхПользователяКластера/действие | Перечисляет учетные данные clusterUser |
| Microsoft.AzureStackHCI/clusters/read | Возвращает кластеры |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль администратора кластера в Службе Azure Kubernetes
Список действий, выполненных с помощью учетных данных администратора кластера.
| Действия | Описание |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | Перечисляет учетные данные clusterAdmin управляемого кластера. |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Получение профиля доступа управляемого кластера по имени роли с помощью вывода учетных данных. |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| Microsoft.ContainerService/managedClusters/runcommand/action | Выполняет команду, выданную пользователем, на управляемом сервере kubernetes. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
пользователь мониторинга кластера Служба Azure Kubernetes
Действие учетных данных пользователя мониторинга кластера.
| Действия | Описание |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Перечисляет учетные данные clusterMonitoringUser управляемого кластера. |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль пользователя кластера в Службе Azure Kubernetes
Список действий, выполненных с помощью учетных данных пользователя кластера.
| Действия | Описание |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль участника службы Azure Kubernetes
Предоставляет доступ на чтение и запись для кластеров службы Azure Kubernetes.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ContainerService/locations/* | Чтение расположений, доступных для ресурсов ContainerService |
| Microsoft.ContainerService/managedClusters/* | Создание управляемого кластера и управление ими |
| Microsoft.ContainerService/managedclustersnapshots/* | Создание моментального снимка управляемого кластера и управление ими |
| Microsoft.ContainerService/snapshots/* | Создание моментального снимка и управление ими |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор RBAC для службы Azure Kubernetes
Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | Записывает resourcequotas. |
| Microsoft.ContainerService/managedClusters/resourcequotas/удалить | Удаляет resourcequotas. |
| Microsoft.ContainerService/managedClusters/namespaces/write | Записывает namespaces. |
| Microsoft.ContainerService/managedClusters/namespaces/delete | Удаляет namespaces. |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор кластера RBAC для службы Azure Kubernetes
Позволяет управлять всеми ресурсами в кластере.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель RBAC для Службы контейнеров Azure
Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/управляемыеКластеры/приложения/развертывания/читать | Считывает deployments. |
| Microsoft.ContainerService/managedClusters/apps/replicasets/читать | Считывает replicasets. |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/читать | Считывает cronjobs. |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | Считывает jobs. |
| Microsoft.ContainerService/managedClusters/configmaps/read | Считывает configmaps. |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Microsoft.ContainerService/managedClusters/endpoints/read | Считывает endpoints. |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/managedClusters/events/read (прочитать события в управляемых кластерах) | Считывает events. |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft.ContainerService/managedClusters/расширения/развертывания/читать | Считывает deployments. |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Считывает replicasets. |
| Microsoft.ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Считывает pods. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Считывает nodes |
| Microsoft.ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft.ContainerService/managedClusters/pods/read | Считывает pods. |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft.ContainerService/managedClusters/services/read | Считывает services. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи RBAC для службы Azure Kubernetes
Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/управляемыеКластеры/приложения/развертывания/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/управляемыеКластеры/приложения/statefulsets/* | |
| Microsoft.ContainerService/управляемыеКластеры/автомасштабирование/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | Считывает leases |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | Записывает leases |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | Удаляет leases |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/управляемыеКластеры/расширения/развертывания/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Считывает pods. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Считывает nodes |
| Microsoft.ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft.ContainerService/managedClusters/secret/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Диспетчер облачных контроллеров Azure Red Hat OpenShift
Управление и обновление диспетчера облачных контроллеров, развернутых поверх OpenShift.
| Действия | Описание |
|---|---|
| Microsoft.Compute/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/балансировщики_нагрузки/write | Создает новую подсистему балансировки нагрузки или обновляет существующую. |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft.Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft.Network/networkSecurityGroups/write | Создает новую группу безопасности сети или обновляет существующую. |
| Microsoft.Network/publicIPAddresses/join/action | Присоединяет общедоступный IP-адрес. Не предусматривает отправку оповещений. |
| Microsoft.Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft.Network/publicIPAddresses/write | Создает общедоступный IP-адрес или обновляет существующий общедоступный IP-адрес. |
| Microsoft.Network/виртуальныеСети/подсети/соединение/действие | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Network/publicIPPrefixes/join/action | Присоединяет префикс общедоступного IP-адреса. Не предусматривает отправку оповещений. |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Присоединение правила безопасности к группам безопасности приложений. Не предусматривает отправку оповещений. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage and update the cloud controller manager deployed on top of OpenShift.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a1f96423-95ce-4224-ab27-4e3dc72facd4",
"name": "a1f96423-95ce-4224-ab27-4e3dc72facd4",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/publicIPPrefixes/join/action",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cloud Controller Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор входящего трафика кластера Azure Red Hat OpenShift
Управление маршрутизатором OpenShift и настройка.
| Действия | Описание |
|---|---|
| Microsoft.Network/dnsZones/A/delete | Удаляет из зоны DNS набор записей типа A с заданным именем. |
| Microsoft.Network/dnsZones/A/write | Создает или обновляет набор записей типа A в зоне DNS. Указанные записи заменят текущие записи в наборе записей. |
| Microsoft.Network/privateDnsZones/A/delete | Удаляет из Частной зоны DNS набор записей типа A с заданным именем. |
| Microsoft.Network/privateDnsZones/A/write | Создает или обновляет набор записей типа A в Частной зоне DNS. Указанные записи заменят текущие записи в наборе записей. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/виртуальныеСети/подсети/соединение/действие | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage and configure the OpenShift router.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0336e1d3-7a87-462b-b6db-342b63f7802c",
"name": "0336e1d3-7a87-462b-b6db-342b63f7802c",
"permissions": [
{
"actions": [
"Microsoft.Network/dnsZones/A/delete",
"Microsoft.Network/dnsZones/A/write",
"Microsoft.Network/privateDnsZones/A/delete",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cluster Ingress Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор хранилища дисков Azure Red Hat OpenShift
Установите драйверы интерфейса хранилища контейнеров (CSI), позволяющие кластеру использовать диски Azure. Задайте по умолчанию хранилище на уровне кластера OpenShift, чтобы обеспечить наличие класса хранилища по умолчанию для кластеров.
| Действия | Описание |
|---|---|
| Microsoft.Compute/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Microsoft.Compute/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Обновление свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Извлекает свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft.Compute/virtualMachineScaleSets/read | Получение свойств масштабируемого набора виртуальных машин. |
| Microsoft.Compute/снимки/запись | Создает новый моментальный снимок или обновляет существующий. |
| Microsoft.Compute/snapshots/read | Возвращает свойства моментального снимка. |
| Microsoft.Compute/snapshots/delete | Удаляет моментальный снимок. |
| Microsoft.Compute/локации/операции/read | Возвращает состояние асинхронной операции. |
| Microsoft.Compute/locations/DiskOperations/read | Получение состояния асинхронной операции диска. |
| Microsoft.Compute/disks/write | Создает новый диск или обновляет существующий. |
| Microsoft.Compute/disks/read | Возвращает свойства диска. |
| Microsoft.Compute/диски/удалить | Удаляет диск. |
| Microsoft.Compute/disks/beginGetAccess/action | Возвращает универсальный код ресурса (URI) SAS диска для доступа к большому двоичному объекту. |
| Microsoft.Compute/diskEncryptionSets/read | Получение свойств набора шифрования дисков |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Disks. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b7237c5-45e1-49d6-bc18-a1f62f400748",
"name": "5b7237c5-45e1-49d6-bc18-a1f62f400748",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/DiskOperations/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Disk Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Федеративные учетные данные Azure Red Hat OpenShift
Создание, обновление и удаление федеративных учетных данных на назначенных пользователем управляемых удостоверений для создания отношения доверия между управляемым удостоверением, OpenID Connect (OIDC) и учетной записью службы.
| Действия | Описание |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Получение существующего пользовательского удостоверения. |
| Microsoft.ManagedIdentity/НазначенныеПользователемЛичности/ИдентификационныеДанныеФедеративныхЛичностей/запись | Добавление или обновление федеративных учетных данных удостоверения |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Получение или перечисление учетных данных федеративного удостоверения |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Удаление учетных данных федеративного удостоверения |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Create, update and delete federated credentials on user assigned managed identities in order to build a trust relationship between the managed identity, OpenID Connect (OIDC), and the service account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"name": "ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Federated Credential",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор хранилища файлов OpenShift для Azure Red Hat
Установите драйверы интерфейса хранилища контейнеров (CSI), позволяющие кластеру использовать файлы Azure. Задайте по умолчанию хранилище на уровне кластера OpenShift, чтобы обеспечить наличие класса хранилища по умолчанию для кластеров.
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/удалить | Удаляет существующую учетную запись хранения. |
| Microsoft.Storage/storageAccounts/fileServices/read | Получить свойства службы файлов |
| Microsoft.Storage/storageAccounts/fileServices/shares/delete | Удаление общей папки. |
| Microsoft.Storage/storageAccounts/fileServices/shares/read | Вывод списка общих папок |
| Microsoft.Storage/storageAccounts/fileServices/shares/write | Создание или изменение общей папки. |
| Microsoft.Storage/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/write | Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Network/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft.Network/natGateways/join/action | Присоединяет шлюз NAT |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Files. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0d7aedc0-15fd-4a67-a412-efad370c947e",
"name": "0d7aedc0-15fd-4a67-a412-efad370c947e",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/delete",
"Microsoft.Storage/storageAccounts/fileServices/shares/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/natGateways/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift File Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор реестра образов Azure Red Hat OpenShift
Позволяет оператору управлять одним экземпляром реестра образов OpenShift. Он управляет всей конфигурацией реестра, включая создание хранилища.
| Действия | Описание |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/read | Возвращение свойств или статистики службы BLOB-объектов. |
| Microsoft.Storage/storageAccounts/blobServices/container/read | Возвращает список контейнеров. |
| Microsoft.Storage/storageAccounts/blobServices/контейнеры/запись | Возвращает результат размещения контейнера больших двоичных объектов. |
| Microsoft.Storage/storageAccounts/blobServices/container/delete | Возвращение результата удаления контейнера. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Возвращает ключ делегирования пользователя для службы BLOB-объектов |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/write | Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
| Microsoft.Storage/storageAccounts/удалить | Удаляет существующую учетную запись хранения. |
| Microsoft.Storage/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Resources/tags/write | Обновляет теги ресурса, заменяя их на другой набор тегов, объединяя наборы или удаляя существующие теги. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | Возвращение результата, полученного при удалении большого двоичного объекта. |
| Microsoft.Storage/storageAccounts/blobServices/container/blobs/write | Возвращение результата, полученного при записи большого двоичного объекта. |
| Microsoft.Storage/storageAccounts/blobServices/container/blobs/read | Возвращение большого двоичного объекта или списка таких объектов. |
| Microsoft.Storage/storageAccounts/blobServices/контейнеры/blobs/add/action | Возвращение результата, полученного при добавлении содержимого большого двоичного объекта. |
| Microsoft.Storage/storageAccounts/blobServices/container/blobs/move/action | Перемещает большой двоичный объект из одного пути в другой. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Enables permissions for the operator to manage a singleton instance of the OpenShift image registry. It manages all configuration of the registry, including creating storage.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"name": "8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Resources/tags/write"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action"
],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Image Registry Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор API компьютеров OpenShift для Azure Red Hat
Управляйте жизненным циклом пользовательских определений ресурсов (CRD), контроллеров и объектов Azure RBAC, расширяющих API Kubernetes, чтобы объявить требуемое состояние компьютеров в кластере.
| Действия | Описание |
|---|---|
| Microsoft.Compute/availabilitySets/delete | Удаляет группу доступности. |
| Microsoft.Compute/availabilitySets/read | Возвращает свойства группы доступности. |
| Microsoft.Compute/availabilitySets/write | Создает новую группу доступности или обновляет существующую. |
| Microsoft.Compute/diskEncryptionSets/read | Получение свойств набора шифрования дисков |
| Microsoft.Compute/диски/удалить | Удаляет диск. |
| Microsoft.Compute/галереи/изображения/версии/чтение | Получает свойства версии образа коллекции. |
| Microsoft.Compute/skus/read | Получение списка номеров SKU Microsoft.Compute для вашей подписки. |
| Microsoft.Compute/виртуальныеМашины/удалить | Удаляет виртуальную машину. |
| Microsoft.Compute/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft.Compute/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Microsoft.Compute/capacityReservationGroups/deploy/action | Развертывание новой виртуальной машины или виртуальной машины с помощью группы резервирования емкости |
| Microsoft.ManagedIdentity/userAssignedIdentities/assign/action | Действие RBAC для назначения существующего пользовательского удостоверения для ресурса. |
| Microsoft.Network/applicationSecurityGroups/read | Получение идентификатора группы безопасности приложений. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft.Network/балансировщики_нагрузки/write | Создает новую подсистему балансировки нагрузки или обновляет существующую. |
| Microsoft.Network/networkInterfaces/delete | Удаляет сетевой интерфейс. |
| Microsoft.Network/networkInterfaces/join/action | Подключает виртуальную машину к сетевому интерфейсу. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkInterfaces/loadBalancers/read | Возвращает все подсистемы балансировки нагрузки, в которых используется сетевой интерфейс. |
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft.Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft.Network/networkSecurityGroups/write | Создает новую группу безопасности сети или обновляет существующую. |
| Microsoft.Network/publicIPAddresses/delete | Удаляет общедоступный IP-адрес. |
| Microsoft.Network/publicIPAddresses/join/action | Присоединяет общедоступный IP-адрес. Не предусматривает отправку оповещений. |
| Microsoft.Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft.Network/publicIPAddresses/write | Создает общедоступный IP-адрес или обновляет существующий общедоступный IP-адрес. |
| Microsoft.Network/routeTables/read | Возвращает определение таблицы маршрутов. |
| Microsoft.Network/виртуальныеСети/подсети/соединение/действие | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Присоединение правила безопасности к группам безопасности приложений. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action | Объединяет внешнюю IP-конфигурацию Load Balancer. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/inboundNATRules/join/action | Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage the lifecycle of specific-purpose custom resource definitions (CRD), controllers, and Azure RBAC objects that extend the Kubernetes API to declares the desired state of machines in a cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0358943c-7e01-48ba-8889-02cc51d78637",
"name": "0358943c-7e01-48ba-8889-02cc51d78637",
"permissions": [
{
"actions": [
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/capacityReservationGroups/deploy/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action",
"Microsoft.Network/loadBalancers/inboundNATRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Machine API Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Сетевой оператор Azure Red Hat OpenShift
Установите и обновите сетевые компоненты в кластере OpenShift.
| Действия | Описание |
|---|---|
| Microsoft.Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft.Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/виртуальныеСети/подсети/соединение/действие | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft.Network/loadBalancers/backendAddressPools/read | Возвращает определение внутреннего пула адресов подсистемы балансировки нагрузки. |
| Microsoft.Compute/virtualMachines/read | Получение свойств виртуальной машины |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Install and upgrade the networking components on an OpenShift cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/be7a6435-15ae-4171-8f30-4a343eff9e8f",
"name": "be7a6435-15ae-4171-8f30-4a343eff9e8f",
"permissions": [
{
"actions": [
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Compute/virtualMachines/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Network Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор службы Azure Red Hat OpenShift
Обслуживание работоспособности компьютера, конфигурации сети, мониторинга и других функций, относящихся к непрерывной функциональности кластера OpenShift в качестве управляемой службы.
| Действия | Описание |
|---|---|
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Network/natGateways/join/action | Присоединяет шлюз NAT |
| Microsoft.Network/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft.Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft.Storage/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft.Storage/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Maintain machine health, network configuration, monitoring, and other features that are specific to an OpenShift cluster's continued functionality as a managed service.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4436bae4-7702-4c84-919b-c4069ff25ee2",
"name": "4436bae4-7702-4c84-919b-c4069ff25ee2",
"permissions": [
{
"actions": [
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Service Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения CheckAccess с управляемым удостоверением подключенного кластера
Встроенная роль, которая позволяет управляемому кластеру вызывать API checkAccess.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник container Apps ConnectedEnvironments
Полное управление приложениями-контейнерами ConnectedEnvironments, включая создание, удаление и обновления.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.App/connectedEnvironments/* | |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/*/write | |
| Microsoft.App/connectedEnvironments/*/delete | |
| Microsoft.App/connectedEnvironments/*/action | |
| Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action | Перечисление секретов компонента Dapr |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ConnectedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"name": "6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/connectedEnvironments/*",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/*/write",
"Microsoft.App/connectedEnvironments/*/delete",
"Microsoft.App/connectedEnvironments/*/action",
"Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения приложений-контейнеров ConnectedEnvironments
Доступ на чтение к контейнерным приложениям в ConnectedEnvironments.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.App/connectedEnvironments/read | Получение подключенной среды |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to Container Apps ConnectedEnvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"name": "d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Контрибьютор контейнерных приложений
Полное управление приложениями-контейнерами, включая создание, удаление и обновления.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/контейнерные_приложения/*/write | |
| Microsoft.App/containerApps/*/delete | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | Получение управляемой среды |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft.App/managedEnvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft.App/connectedEnvironments/read | Получение подключенной среды |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/358470bc-b998-42bd-ab17-a7e34c199c0f",
"name": "358470bc-b998-42bd-ab17-a7e34c199c0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/write",
"Microsoft.App/containerApps/*/delete",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Автор заданий контейнерных приложений
Полное управление заданиями контейнерных приложений, включая создание, удаление и обновления.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| microsoft.app/задачи/чтение | Получение задания приложений-контейнеров |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.App/задания/запись | Создание или обновление задания приложений-контейнеров |
| Microsoft.App/задания/удалить | Удаление задания приложений-контейнеров |
| Microsoft.app/managedenvironments/read | Получение управляемой среды |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft.App/managedenvironments/проверканаличияимени/action | Проверка доступности имени для управляемой среды |
| Microsoft.app/connectedEnvironments/read | Получение подключенной среды |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps jobs, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"name": "4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.App/jobs/write",
"Microsoft.App/jobs/delete",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор задач контейнерных приложений
Чтение, запуск и остановка заданий контейнерных приложений.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| microsoft.app/задачи/чтение | Получение задания приложений-контейнеров |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.app/managedenvironments/read | Получение управляемой среды |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft.App/managedenvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft.app/connectedEnvironments/read | Получение подключенной среды |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.App/jobs/logstream/action | Просмотр потока журнала задания приложения контейнера |
| Microsoft.App/jobs/exec/action | Подключение к консоли задания приложения контейнера |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read, start, and stop Container Apps jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"name": "b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/jobs/logstream/action",
"Microsoft.App/jobs/exec/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель заданий контейнерных приложений
Доступ на чтение к заданиям ContainerApps
| Действия | Описание |
|---|---|
| microsoft.app/задачи/чтение | Получение задания приложений-контейнеров |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/управляемыесреды/читать | Получение управляемой среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps jobs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/edd66693-d32a-450b-997d-0158c03976b0",
"name": "edd66693-d32a-450b-997d-0158c03976b0",
"permissions": [
{
"actions": [
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/managedenvironments/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник ManagedEnvironments для контейнерных приложений
Полное управление управляемыми окружениями для контейнерных приложений, включая создание, удаление и обновление.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/*/write | |
| Microsoft.App/managedEnvironments/*/delete | |
| Microsoft.App/managedEnvironments/*/action | |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ManagedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/57cc5028-e6a7-4284-868d-0611c5923f8d",
"name": "57cc5028-e6a7-4284-868d-0611c5923f8d",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/*/write",
"Microsoft.App/managedEnvironments/*/delete",
"Microsoft.App/managedEnvironments/*/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель для управляемых сред приложений контейнеров
Доступ на чтение к управляемым средам ContainerApps.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.App/managedEnvironments/*/read | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps managedenvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"name": "1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор контейнерных приложений
Чтение, ведение журнала и выполнение exec в контейнерных приложениях.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | Получение управляемой среды |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft.App/managedEnvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft.App/connectedEnvironments/read | Получение подключенной среды |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.App/containerApps/logstream/action | Просмотр потока журнала приложения контейнера |
| Microsoft.App/containerApps/exec/action | Подключение к консоли приложения-контейнера |
| Microsoft.App/containerApps/debug/action | Подключение к консоли отладки приложения-контейнера |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read, logstream and exec into Container Apps.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"name": "f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/containerApps/logstream/action",
"Microsoft.App/containerApps/exec/action",
"Microsoft.App/containerApps/debug/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник SessionPools для приложений контейнеров
Полное управление пулами сеансов контейнерных приложений, включая создание, удаление и обновление.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.App/sessionPools/*/read | |
| Microsoft.App/sessionPools/*/write | |
| Microsoft.App/sessionPools/*/delete | |
| Microsoft.App/sessionPools/*/action | |
| Microsoft.App/managedEnvironments/read | Получение управляемой среды |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft.App/managedEnvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft.App/connectedEnvironments/read | Получение подключенной среды |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps SessionPools, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"name": "f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read",
"Microsoft.App/sessionPools/*/write",
"Microsoft.App/sessionPools/*/delete",
"Microsoft.App/sessionPools/*/action",
"microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство просмотра пулов сеансов для приложений контейнеров
Доступ на чтение к пулам сеансов ContainerApps.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.App/sessionPools/*/read | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps sessionpools.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/af61e8fc-2633-4b95-bed3-421ad6826515",
"name": "af61e8fc-2633-4b95-bed3-421ad6826515",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор правила кэширования реестра контейнеров
Создание, чтение, обновление и удаление правил кэша в реестре контейнеров. Эта роль не предоставляет разрешения на управление наборами учетных данных.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | Возвращает свойства указанного правила кэша или перечисляет все правила кэша для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/cacheRules/write | Создает или обновляет правило кэша для реестра контейнеров с указанными параметрами |
| Microsoft.ContainerRegistry/registries/cacheRules/delete | Удаляет правило кэша из реестра контейнеров |
| Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read | Возвращает состояние асинхронной операции правила кэша |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Cache Rules in Container Registry. This role doesn't grant permissions to manage Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/df87f177-bb12-4db1-9793-a413691eff94",
"name": "df87f177-bb12-4db1-9793-a413691eff94",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read",
"Microsoft.ContainerRegistry/registries/cacheRules/write",
"Microsoft.ContainerRegistry/registries/cacheRules/delete",
"Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения правил кэширования контейнерного реестра
Ознакомьтесь с конфигурацией правил кэша в реестре контейнеров. Это разрешение не предоставляет разрешения на чтение наборов учетных данных.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | Возвращает свойства указанного правила кэша или перечисляет все правила кэша для указанного реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Cache Rules in Container Registry. This permission doesn't grant permission to read Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c357b964-0002-4b64-a50d-7a28f02edc52",
"name": "c357b964-0002-4b64-a50d-7a28f02edc52",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения конфигурации реестра контейнеров и средства чтения конфигурации доступа к данным
Предоставляет разрешения для перечисления реестров контейнеров и свойств конфигурации реестра. Предоставляет разрешения для перечисления конфигурации доступа к данным, таких как учетные данные администратора, карты областей и маркеры, которые можно использовать для чтения, записи или удаления репозиториев и изображений. Не предоставляет прямых разрешений на чтение, перечисление или запись содержимого реестра, включая репозитории и изображения. Не предоставляет разрешения на изменение содержимого плоскости данных, например импорта, кэша артефактов или синхронизации и передачи конвейеров. Не предоставляет разрешения для управления задачами.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/operationStatuses/read | Получение состояния асинхронной операции реестра. |
| Microsoft.ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | Возвращает свойства подключения к частной конечной точке или список всех подключений к частным конечным точкам для указанного реестра контейнеров |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Получение состояния асинхронной операции подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/listCredentials/action | Выводит список учетных данных входа для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/token/read | Получает свойства указанного токена или выводит список всех токенов для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/token/operationStatuses/read | Получение состояния асинхронной операции токена. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | Получает свойства указанного сопоставления областей или выводит список сопоставлений областей для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | Получение состояния асинхронной операции сопоставления областей. |
| Microsoft.ContainerRegistry/registries/webhooks/read | Получение свойств указанного веб-перехватчика или списка веб-перехватчиков для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | Получение конфигурации URI службы и пользовательских заголовков для веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | Получение списка последних событий для указанного веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | Получение состояния асинхронной операции веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/replications/read | Получение свойств указанной репликации или списка репликаций для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | Получение состояния асинхронной операции репликации. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | Получение свойств указанного реестра контейнеров или вывод списка всех подключенных реестров для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Возвращает доступные метрики для Реестра контейнеров Майкрософт. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Получение доступных метрик для реестра контейнеров Майкрософт. |
| Microsoft.Insights/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Delete | Удаление классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Microsoft.Insights/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Microsoft.Insights/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Microsoft.Insights/Правила оповещений/Инциденты/Чтение | Чтение инцидента классического оповещения метрики. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник реестра контейнеров и администратор конфигурации доступа к данным
Предоставляет разрешения на создание, перечисление и обновление реестров контейнеров и свойств конфигурации реестра. Предоставляет разрешения на настройку доступа к данным, таких как учетные данные администратора, карты областей и маркеры, которые можно использовать для чтения, записи или удаления репозиториев и изображений. Не предоставляет прямых разрешений на чтение, перечисление или запись содержимого реестра, включая репозитории и изображения. Не предоставляет разрешения на изменение содержимого плоскости данных, например импорта, кэша артефактов или синхронизации и передачи конвейеров. Не предоставляет разрешения для управления задачами.
| Действия | Описание |
|---|---|
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerRegistry/registries/operationStatuses/read | Получение состояния асинхронной операции реестра. |
| Microsoft.ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Microsoft.ContainerRegistry/registries/write | Создание или обновление реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/delete | Удаление реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/listCredentials/action | Выводит список учетных данных входа для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/regenerateCredential/action | Повторное создание учетных данных входа для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/generateCredentials/action | Создание ключей для токена указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/replications/read | Получение свойств указанной репликации или списка репликаций для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/реестры/репликации/запись | Создание или обновление репликаций для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/replications/delete | Удаление репликации из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | Получение состояния асинхронной операции репликации. |
| Microsoft.ContainerRegistry/реестры/утверждениеПодключенийКЧастномуКонечномуТочку/действие | Автоматическое утверждение подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | Возвращает свойства подключения к частной конечной точке или список всех подключений к частным конечным точкам для указанного реестра контейнеров |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/write | Утверждение или отклонение подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete | Удаление подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Получение состояния асинхронной операции подключения к частной конечной точке |
| Microsoft.ContainerRegistry/registries/token/read | Получает свойства указанного токена или выводит список всех токенов для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/token/write | Создание или обновление токена для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/token/delete | Удаление токена из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/token/operationStatuses/read | Получение состояния асинхронной операции токена. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | Получает свойства указанного сопоставления областей или выводит список сопоставлений областей для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/scopeMaps/write | Создание или обновление сопоставления областей для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/scopeMaps/delete | Удаление сопоставления областей из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | Получение состояния асинхронной операции сопоставления областей. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Возвращает доступные метрики для Реестра контейнеров Майкрософт. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Получение доступных метрик для реестра контейнеров Майкрософт. |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | Получение свойств указанного реестра контейнеров или вывод списка всех подключенных реестров для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/write | Создание или обновление подключенного реестра для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/delete | Удаление подключенного реестра из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/деактивация/действие | Деактивирует подключенный реестр для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/webhooks/read | Получение свойств указанного веб-перехватчика или списка веб-перехватчиков для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/webhooks/write | Создание или обновление веб-перехватчика для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/webhooks/delete | Удаление веб-перехватчика из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | Получение конфигурации URI службы и пользовательских заголовков для веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/webhooks/ping/action | Запуск события проверки связи для отправки веб-перехватчику. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | Получение списка последних событий для указанного веб-перехватчика. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | Получение состояния асинхронной операции веб-перехватчика. |
| Microsoft.Insights/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Delete | Удаление классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft.Insights/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Microsoft.Insights/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Microsoft.Insights/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Microsoft.Insights/Правила оповещений/Инциденты/Чтение | Чтение инцидента классического оповещения метрики. |
| Microsoft.ContainerRegistry/locations/operationResults/прочитать | Получение результата асинхронной операции. |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
| Microsoft.Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft.Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft.Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write | Создает новый прокси-сервер службы приватного канала или обновляет существующий. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор набора учетных данных реестра контейнеров
Создание, чтение, обновление и удаление наборов учетных данных в реестре контейнеров. Эта роль не влияет на необходимые разрешения для хранения содержимого в Azure Key Vault. Эта роль также не предоставляет разрешения на управление правилами кэша.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | Возвращает свойства указанного набора учетных данных или перечисляет все наборы учетных данных для указанного реестра контейнеров. |
| Microsoft.ContainerRegistry/реестры/наборы_учетных_данных/запись | Создает или обновляет набор учетных данных для реестра контейнеров с указанными параметрами |
| Microsoft.ContainerRegistry/registries/credentialSets/delete | Удаляет набор учетных данных из реестра контейнеров |
| Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read | Возвращает состояние асинхронной операции набора учетных данных |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Credential Sets in Container Registry. This role doesn't affect the needed permissions for storing content inside Azure Key Vault. This role also doesn't grant permissions to manage Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f094fb07-0703-4400-ad6a-e16dd8000e14",
"name": "f094fb07-0703-4400-ad6a-e16dd8000e14",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read",
"Microsoft.ContainerRegistry/registries/credentialSets/write",
"Microsoft.ContainerRegistry/registries/credentialSets/delete",
"Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель набора учетных данных реестра контейнеров
Прочитайте конфигурацию наборов учетных данных в реестре контейнеров. Это разрешение не позволяет просматривать содержимое в хранилище ключей Azure, а только содержимое в реестре контейнеров. Это разрешение не предоставляет разрешения на чтение правил кэша.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | Возвращает свойства указанного набора учетных данных или перечисляет все наборы учетных данных для указанного реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Credential Sets in Container Registry. This permission doesn't allow permission to see content inside Azure Key vault only the content inside Container Registry. This permission doesn't grant permission to read Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29093635-9924-4f2c-913b-650a12949526",
"name": "29093635-9924-4f2c-913b-650a12949526",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Импорт данных реестра контейнеров и средство чтения данных
Предоставляет возможность импортировать образы в реестр с помощью операции импорта реестра. Предоставляет возможность перечислять репозитории, просматривать изображения и теги, получать манифесты и извлекать изображения. Не предоставляет разрешения для импорта образов с помощью настройки конвейеров передачи реестра, таких как конвейеры импорта и экспорта. Не предоставляет разрешения для импорта с помощью настройки правил кэша артефактов или синхронизации.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/importImage/action | Импорт образа в реестр контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Microsoft.ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/catalog/read | Список репозиториев в реестре контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Список каталогов репозитория контейнеров
Позволяет перечислять все репозитории в Реестр контейнеров Azure. Эта роль находится на этапе предварительной версии и может быть изменена.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/catalog/read | Список репозиториев в реестре контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник репозитория реестра контейнеров
Позволяет просматривать, записывать и удалять доступ к Реестр контейнеров Azure репозиториям, но исключает перечисление каталога. Эта роль находится на этапе предварительной версии и может быть изменена.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/реестры/репозитории/метаданные/запись | Обновляет метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/регистраторы/репозитории/содержимое/запись | Передача или запись образов в реестр контейнеров. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/delete | Удаление метаданных репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/регистры/репозитории/контент/удалить | Удаление артефакта в реестре контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель репозитория реестра контейнеров
Разрешает доступ на чтение к Реестр контейнеров Azure репозиториям, но за исключением перечисления каталога. Эта роль находится на этапе предварительной версии и может быть изменена.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи репозитория реестра контейнеров
Разрешает доступ на чтение и запись к Реестр контейнеров Azure репозиториям, но за исключением перечисления каталога. Эта роль находится на этапе предварительной версии и может быть изменена.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | Обновляет метаданные конкретного репозитория для реестра контейнеров |
| Microsoft.ContainerRegistry/регистраторы/репозитории/содержимое/запись | Передача или запись образов в реестр контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник задач реестра контейнеров
Предоставляет разрешения на настройку, чтение, список, триггер или отмену задач реестра контейнеров, запусков задач, журналов задач, быстрых запусков, быстрых сборок и пулов агентов задач. Разрешения, предоставленные для управления задачами, можно использовать для полного разрешения уровня данных реестра, включая чтение и запись и удаление образов контейнеров в реестрах. Разрешения, предоставленные для управления задачами, также можно использовать для запуска директив сборки, созданных клиентом, и запуска скриптов для создания артефактов программного обеспечения.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/agentpools/read | Получение пула агентов для реестра контейнеров или перечисление всех пулов агентов. |
| Microsoft.ContainerRegistry/registries/agentpools/write | Создание или обновление пула агентов для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/agentpools/delete | Удаление пула агентов из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action | Вывод списка всех состояний очереди пула агентов для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read | Возвращает состояние результата асинхронной операции агента |
| Microsoft.ContainerRegistry/регистры/агентские_пулы/статусы_операций/читать | Возвращает состояние асинхронной операции агента |
| Microsoft.ContainerRegistry/registries/tasks/read | Получение задачи для реестра контейнеров или списка всех задач. |
| Microsoft.ContainerRegistry/registries/tasks/write | Создание или обновление задачи для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/tasks/delete | Удаление задачи для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/tasks/listDetails/action | Список всех сведений о задаче для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/scheduleRun/action | Планирование запуска по реестру контейнеров. |
| Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action | Получение расположения URL-адреса передачи источника для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/runs/read | Получение свойств выполнения по реестру контейнера или списку запусков. |
| Microsoft.ContainerRegistry/registries/runs/write | Обновление выполнения. |
| Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action | Получение URL-адреса SAS журнала для выполнения. |
| Microsoft.ContainerRegistry/registries/runs/cancel/action | Отмена существующего выполнения. |
| Microsoft.ContainerRegistry/registries/taskruns/read | Получение цикла выполнения задачи для реестра контейнеров или вывод списка всех циклов выполнения задачи. |
| Microsoft.ContainerRegistry/registries/taskruns/write | Создание или обновление цикла выполнения задачи для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/taskruns/удалить | Удаление цикла выполнения задачи из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/taskruns/listDetails/action | Выводит список всех сведений о выполнении задач для реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read | Возвращает состояние асинхронной операции запуска задачи |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник конвейера передачи реестра контейнеров
Предоставляет возможность передачи, импорта и экспорта артефактов путем настройки конвейеров передачи реестра, включающих промежуточные учетные записи хранения и хранилища ключей. Не предоставляет разрешения на отправку или извлечение изображений. Не предоставляет разрешения на создание, управление или перечисление учетных записей хранения или хранилищ ключей. Не предоставляет разрешения на выполнение назначений ролей.
| Действия | Описание |
|---|---|
| Microsoft.ContainerRegistry/registries/exportPipelines/read | Получение свойств указанного конвейера экспорта или вывод списка всех конвейеров экспорта для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/exportPipelines/write | Создание или обновление конвейера экспорта для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/exportPipelines/delete | Удаление конвейера экспорта из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/importPipelines/read | Получение свойств указанного конвейера импорта или вывод списка всех конвейеров импорта для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/importPipelines/write | Создание или обновление конвейера импорта для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/importPipelines/delete | Удаление конвейера импорта из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/read | Получение свойств указанного цикла выполнения конвейера или вывод списка всех циклов выполнения конвейера для заданного реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/write | Создание или обновление цикла выполнения конвейера для реестра контейнеров с указанными параметрами. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/delete | Удаление цикла выполнения конвейера из реестра контейнеров. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read | Получение состояния асинхронной операции цикла выполнения конвейера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор Без агента Kubernetes
Предоставляет Microsoft Defender для облака доступ к Служба Azure Kubernetes
| Действия | Описание |
|---|---|
| Microsoft.ContainerService/managedClusters/привязкиДоверенныхРолейЗапись/write | Создание или обновление привязок ролей доверенного доступа для управляемого кластера |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | Получение привязок ролей доверенного доступа для управляемого кластера |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | Удаление привязок ролей доверенного доступа для управляемого кластера |
| Microsoft.ContainerService/managedClusters/read | Получение управляемого кластера. |
| Microsoft.Features/features/read | Возвращает функции подписки. |
| Microsoft.Features/providers/features/read | Возвращает функцию подписки в заданном поставщике ресурсов. |
| Microsoft.Features/providers/features/register/action | Регистрирует функцию для подписки в заданном поставщике ресурсов. |
| Microsoft.Security/pricings/securityoperator/read | Возвращает операторы безопасности для области |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Кластер Kubernetes — подключение Azure Arc
Определение роли, дающее любому пользователю или службе право создавать ресурс connectedClusters.
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/write | Создает или обновляет развертывание. |
| Microsoft.Resources/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft.Resources/подписки/чтение | Возвращает список подписок. |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.Kubernetes/присоединенныеКластеры/Запись | Записывает connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/read | Считывает connectedClusters. |
| Microsoft.KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft.KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/расширения/операции/читать | Получение состояния асинхронной операции. |
| Microsoft.Support/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник расширения Kubernetes
Может создавать, обновлять, получать, перечислять и удалять расширения Kubernetes, а также получать асинхронные операции расширений
| Действия | Описание |
|---|---|
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| Microsoft.KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft.KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft.KubernetesConfiguration/расширения/операции/читать | Получение состояния асинхронной операции. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник кластера Service Fabric
Управление ресурсами кластера Service Fabric. Включает кластеры, типы приложений, версии типов приложений, приложения и службы. Вам потребуются дополнительные разрешения для развертывания базовых ресурсов кластера и управления ими, таких как масштабируемые наборы виртуальных машин, учетные записи хранения, сети и т. д.
| Действия | Описание |
|---|---|
| Microsoft.ServiceFabric/clusters/* | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого кластера Service Fabric
Развертывание ресурсов управляемого кластера Service Fabric и управление ими. Включает управляемые кластеры, типы узлов, типы приложений, версии типов приложений, приложения и службы.
| Действия | Описание |
|---|---|
| Microsoft.ServiceFabric/managedclusters/* | |
| Microsoft.Authorization/*/read | Чтение ролей и назначений ролей |
| Microsoft.Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft.Resources/deployments/* | Создание развертывания и управление им |
| Microsoft.Resources/подписки/группы ресурсов/читать | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}