Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены встроенные роли Azure в категории "Контейнеры".
АкрУдалить
Удаление репозиториев, тегов или манифестов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/artifacts/delete | Удаление артефакта в реестре контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Избегайте использования этой роли. Доверие к содержимому в Azure Container Registry и роли AcrImageSigner устарели и будет полностью удалено 31 марта 2028 года. Дополнительные сведения и рекомендации по переходу см. в статье https://aka.ms/acr/dctdeprecation.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/sign/write | Передача или извлечение метаданных доверия к содержимому для реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerRegistry/registries/trustedCollections/write | Позволяет отправлять или публиковать доверенные коллекции содержимого реестра контейнеров Это похоже на Microsoft. ContainerRegistry/registries/sign/write action, за исключением того, что это действие данных |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Planned DEPRECATION on March 31, 2028. Grant the signing permission for content trust. As content trust is being deprecated and will be completely removed on March 31, 2028, this role will also be removed. Refer to https://aka.ms/acr/dctdeprecation for details and transition guidance.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
АкрПул
Извлечение артефактов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
АкрПуш
Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/push/write | Передача или запись образов в реестр контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Извлечение помещенных в карантин образов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/реестры/карантин/чтение | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Это похоже на Microsoft. ContainerRegistry/registries/quarantine/read, за исключением того, что это действие данных |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/реестры/карантин/чтение | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| Microsoft. ContainerRegistry/реестры/карантин/запись | Запись и изменение состояния карантина образов, помещенных в карантин. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Это похоже на Microsoft. ContainerRegistry/registries/quarantine/read, за исключением того, что это действие данных |
| Microsoft. ContainerRegistry/registries/quarantinedArtifacts/write | Позволяет записывать или обновлять состояние карантина для артефактов, помещенных на карантин Это похоже на Microsoft. ContainerRegistry/registries/quarantine/write action, за исключением того, что это действие данных |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль пользователя кластера Kubernetes с поддержкой Azure Arc
Действие вывода учетных данных пользователей кластера.
| Действия | Описание |
|---|---|
| Microsoft. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Kubernetes/connectedClusters/listClusterUserCredentials/action | Перечисление учетных данных clusterUser (предварительная версия) |
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Поддержка/* | Создание и обновление запроса в службу поддержки |
| Microsoft. Kubernetes/connectedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор Kubernetes Azure Arc
Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. Kubernetes/connectedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft. Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft. Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft. Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft. Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Записывает localsubjectaccessreviews |
| Microsoft. Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft. Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft. Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft. Kubernetes/connectedClusters/configmaps/* | |
| Microsoft. Kubernetes/connectedClusters/endpoints/* | |
| Microsoft. Kubernetes/connectedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft. Kubernetes/connectedClusters/events/read | Считывает events. |
| Microsoft. Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft. Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft. Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft. Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft. Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft. Kubernetes/connectedClusters/limitranges/read | Считывает limitranges. |
| Microsoft. Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Microsoft. Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft. Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft. Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft. Kubernetes/connectedClusters/pods/* | |
| Microsoft. Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft. Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft. Kubernetes/connectedClusters/rbac.authorization.k8s.io/role/* | |
| Microsoft. Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft. Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft. Kubernetes/connectedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. Kubernetes/connectedClusters/secret/* | |
| Microsoft. Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft. Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор кластера Kubernetes Azure Arc
Позволяет управлять всеми ресурсами в кластере.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. Kubernetes/connectedClusters/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
средство просмотра kubernetes Azure Arc
Позволяет просматривать все ресурсы в кластере или пространстве имен, за исключением секретов.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. Kubernetes/connectedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. Kubernetes/connectedClusters/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft. Kubernetes/connectedClusters/apps/deployments/read | Считывает deployments. |
| Microsoft. Kubernetes/connectedClusters/apps/replicasets/read | Считывает replicasets. |
| Microsoft. Kubernetes/connectedClusters/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft. Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft. Kubernetes/connectedClusters/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft. Kubernetes/connectedClusters/batch/jobs/read | Считывает jobs. |
| Microsoft. Kubernetes/connectedClusters/configmaps/read | Считывает configmaps. |
| Microsoft. Kubernetes/connectedClusters/endpoints/read | Считывает endpoints. |
| Microsoft. Kubernetes/connectedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft. Kubernetes/connectedClusters/events/read | Считывает events. |
| Microsoft. Kubernetes/connectedClusters/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft. Kubernetes/connectedClusters/extensions/deployments/read | Считывает deployments. |
| Microsoft. Kubernetes/connectedClusters/extensions/ingresses/read | Считывает ingresses. |
| Microsoft. Kubernetes/connectedClusters/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. Kubernetes/connectedClusters/extensions/replicasets/read | Считывает replicasets. |
| Microsoft. Kubernetes/connectedClusters/limitranges/read | Считывает limitranges. |
| Microsoft. Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Microsoft. Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft. Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. Kubernetes/connectedClusters/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft. Kubernetes/connectedClusters/pods/read | Считывает pods. |
| Microsoft. Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft. Kubernetes/connectedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft. Kubernetes/connectedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft. Kubernetes/connectedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. Kubernetes/connectedClusters/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft. Kubernetes/connectedClusters/services/read | Считывает services. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc модуль записи Kubernetes
Позволяет обновлять все объекты в кластере или пространстве имен, кроме ролей (кластера) и привязок ролей (кластера).
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. Kubernetes/connectedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft. Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft. Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft. Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft. Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft. Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft. Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft. Kubernetes/connectedClusters/configmaps/* | |
| Microsoft. Kubernetes/connectedClusters/endpoints/* | |
| Microsoft. Kubernetes/connectedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft. Kubernetes/connectedClusters/events/read | Считывает events. |
| Microsoft. Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft. Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft. Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft. Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft. Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft. Kubernetes/connectedClusters/limitranges/read | Считывает limitranges. |
| Microsoft. Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Microsoft. Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft. Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft. Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft. Kubernetes/connectedClusters/pods/* | |
| Microsoft. Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft. Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft. Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft. Kubernetes/connectedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. Kubernetes/connectedClusters/secret/* | |
| Microsoft. Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft. Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль участника Azure Container Instances
Предоставляет доступ на чтение и запись к группам контейнеров, предоставляемым Azure Container Instances
| Действия | Описание |
|---|---|
| Microsoft. ContainerInstance/containerGroups/* | Создание групп контейнеров и управление ими |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to container groups provided by Azure Container Instances",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"name": "5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"permissions": [
{
"actions": [
"Microsoft.ContainerInstance/containerGroups/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Instances Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
участник хранилища контейнеров Azure
Установите Azure хранилище контейнеров и управляйте ресурсами хранилища. Включает условие ABAC для ограничения назначений ролей.
| Действия | Описание |
|---|---|
| Microsoft. KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft. KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft. KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft. KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Управление/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Действия | |
| Microsoft. Авторизация/roleAssignments/write | Создает назначение роли в указанной области. |
| Microsoft. Авторизация/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Условие | |
| ((! (ActionMatches{'Microsoft. Authorization/roleAssignments/write'}) OR (@Request[Microsoft. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85ddd25dd251b4d619}) AND (!( ActionMatches{'Microsoft. Authorization/roleAssignments/delete'}) OR (@Resource[Microsoft. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85ddd251b4d619})) | Добавьте или удалите назначения ролей для следующих ролей: Оператор хранилища контейнеров Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор хранилища контейнеров Azure
Включите управляемое удостоверение для выполнения Azure операций хранилища контейнеров, таких как управление виртуальными машинами и управление виртуальными сетями.
| Действия | Описание |
|---|---|
| Microsoft. ElasticSan/elasticSans/* | |
| Microsoft. ElasticSan/locations/asyncoperations/read | Опрашивает состояние асинхронной операции. |
| Microsoft. Сеть/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft. Сеть/virtualNetworks/write | Создает новую виртуальную сеть или обновляет существующую. |
| Microsoft. Network/virtualNetworks/delete | Удаляет виртуальную сеть. |
| Microsoft. Сеть/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft. Вычисления/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Microsoft. Вычисления/virtualMachineScaleSets/read | Получение свойств масштабируемого набора виртуальных машин. |
| Microsoft. Вычисления/virtualMachineScaleSets/write | Создание нового масштабируемого набора виртуальных машин или обновление существующего. |
| Microsoft. Вычисления/virtualMachineScaleSets/virtualMachines/write | Обновление свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft. Вычисления/virtualMachineScaleSets/virtualMachines/read | Извлекает свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft. Ресурсы/subscriptions/providers/read | Возвращает поставщики ресурсов или выводит их список. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
владелец хранилища контейнеров Azure
Установите Azure хранилище контейнеров, предо Azure ставьте доступ к ресурсам хранилища и настройте сеть эластичных хранилищ (SAN). Включает условие ABAC для ограничения назначений ролей.
| Действия | Описание |
|---|---|
| Microsoft. ElasticSan/elasticSans/* | |
| Microsoft. ElasticSan/locations/* | |
| Microsoft. ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft. ElasticSan/elasticSans/volumeGroups/volumeGroups/volumes/* | |
| Microsoft. ElasticSan/locations/asyncoperations/read | Опрашивает состояние асинхронной операции. |
| Microsoft. KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft. KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft. KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft. KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Управление/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Действия | |
| Microsoft. Авторизация/roleAssignments/write | Создает назначение роли в указанной области. |
| Microsoft. Авторизация/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Условие | |
| ((! (ActionMatches{'Microsoft. Authorization/roleAssignments/write'}) OR (@Request[Microsoft. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85ddd25dd251b4d619}) AND (!( ActionMatches{'Microsoft. Authorization/roleAssignments/delete'}) OR (@Resource[Microsoft. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85ddd251b4d619})) | Добавьте или удалите назначения ролей для следующих ролей: Оператор хранилища контейнеров Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль участника Kubernetes Fleet Manager Azure
Предоставляет доступ на чтение и запись к ресурсам Azure, предоставляемым Azure диспетчером флотов Kubernetes, включая флоты, членов флота, стратегии обновления флота, запуски обновлений флота и т. д.
| Действия | Описание |
|---|---|
| Microsoft. ContainerService/fleets/* | |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. ContainerService/fleetMemberships/* | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*",
"Microsoft.ContainerService/fleetMemberships/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль агента центра диспетчера флота Kubernetes Azure
Предоставляет доступ к Azure ресурсам, необходимым для Azure агентов центра Kubernetes Fleet Manager.
| Действия | Описание |
|---|---|
| Microsoft. Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft. Network/trafficManagerProfiles/read | Возвращает конфигурацию профиля диспетчера трафика. Он содержит параметры DNS, параметры маршрутизации трафика, параметры отслеживания конечных точек, а также список конечных точек, маршрутизируемых данным профилем диспетчера трафика. |
| Microsoft. Network/trafficManagerProfiles/write | Создает профиль диспетчера трафика или изменяет конфигурацию существующего профиля диспетчера трафика. Сюда входит включение или отключение профиля и изменение параметров DNS, параметров маршрутизации трафика или параметров мониторинга конечных точек. Конечные точки, маршрутизируемые с помощью профиля диспетчера трафика, можно добавлять, удалять, включать и отключать. |
| Microsoft. Network/trafficManagerProfiles/delete | Удаляет профиль диспетчера трафика. Будут утрачены все параметры, связанные с профилем диспетчера трафика, и профиль больше не сможет использоваться для маршрутизации трафика. |
| Microsoft. Network/trafficManagerProfiles/azureEndpoints/read | Возвращает конечную точку Azure, которая принадлежит профилю диспетчера трафика, включая все свойства этой Azure конечной точки. |
| Microsoft. Network/trafficManagerProfiles/azureEndpoints/write | Добавьте новую конечную точку Azure в существующий профиль диспетчера трафика или обновите свойства существующей конечной точки Azure в этом профиле диспетчера трафика. |
| Microsoft. Network/trafficManagerProfiles/azureEndpoints/delete | Удаляет конечную точку Azure из существующего профиля диспетчера трафика. Диспетчер трафика остановит маршрутизацию трафика в удаленную конечную точку Azure. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants access to Azure resources needed by Azure Kubernetes Fleet Manager hub agents.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"name": "de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/trafficManagerProfiles/read",
"Microsoft.Network/trafficManagerProfiles/write",
"Microsoft.Network/trafficManagerProfiles/delete",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/read",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/write",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Agent Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure роль пользователя кластера Kubernetes Fleet Manager Hub
Предоставляет доступ на чтение к Azure Диспетчеру флотов Kubernetes, а также файлу конфигурации Kubernetes для подключения к кластеру, управляемому флотом.
| Действия | Описание |
|---|---|
| Microsoft. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| Microsoft. ContainerService/fleets/read | Получение флота |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read access to Azure Kubernetes Fleet Manager as well as the Kubernetes config file to connect to the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/850c5848-fc51-4a9a-8823-f220370626e3",
"name": "850c5848-fc51-4a9a-8823-f220370626e3",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/listCredentials/action",
"Microsoft.ContainerService/fleets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор RBAC диспетчера Azure Kubernetes
Предоставляет доступ на чтение и запись к ресурсам Kubernetes в пространстве имен в кластере, управляемом флотом, предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerService/fleets/read | Получение флота |
| Microsoft. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. ContainerService/fleets/apps/daemonsets/* | |
| Microsoft. ContainerService/fleets/apps/deployments/* | |
| Microsoft. ContainerService/fleets/apps/statefulsets/* | |
| Microsoft. ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Записывает localsubjectaccessreviews |
| Microsoft. ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft. ContainerService/fleets/batch/cronjobs/* | |
| Microsoft. ContainerService/fleets/batch/jobs/* | |
| Microsoft. ContainerService/fleets/configmaps/* | |
| Microsoft. ContainerService/fleets/endpoints/* | |
| Microsoft. ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft. ContainerService/fleets/events/read | Считывает events. |
| Microsoft. ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft. ContainerService/fleets/extensions/deployments/* | |
| Microsoft. ContainerService/fleets/extensions/ingresses/* | |
| Microsoft. ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft. ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft. ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft. ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft. ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft. ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft. ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft. ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft. ContainerService/fleets/rbac.authorization.k8s.io/role/* | |
| Microsoft. ContainerService/fleets/replicationcontrollers/* | |
| Microsoft. ContainerService/fleets/replicationcontrollers/* | |
| Microsoft. ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. ContainerService/fleets/secret/* | |
| Microsoft. ContainerService/fleets/serviceaccounts/* | |
| Microsoft. ContainerService/fleets/services/* | |
| Microsoft. ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Администратор RBAC диспетчера парка Kubernetes для кластеров членов
Эта роль предоставляет администратору доступ— предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/fleets/members/* | |
| NotDataActions | |
| Microsoft. ContainerService/fleets/members/resourcequotas/write | Записывает resourcequotas. |
| Microsoft. ContainerService/fleets/members/resourcequotas/delete | Удаляет resourcequotas. |
| Microsoft. ContainerService/fleets/members/namespaces/write | Записывает namespaces. |
| Microsoft. ContainerService/fleets/members/namespaces/delete | Удаляет namespaces. |
{
"assignableScopes": [
"/"
],
"description": "This role grants admin access - provides write permissions on most objects within a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d1f699ed-700a-4c77-a22f-29890ac7b115",
"name": "d1f699ed-700a-4c77-a22f-29890ac7b115",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/resourcequotas/write",
"Microsoft.ContainerService/fleets/members/resourcequotas/delete",
"Microsoft.ContainerService/fleets/members/namespaces/write",
"Microsoft.ContainerService/fleets/members/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Администратор кластера Kubernetes Fleet Manager RBAC
Предоставляет доступ на чтение и запись ко всем ресурсам Kubernetes в кластере, управляемом флотом.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerService/fleets/read | Получение флота |
| Microsoft. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/fleets/* | |
| NotDataActions | |
| Microsoft. ContainerService/fleets/members/* |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/*"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure администратор кластера Kubernetes RBAC для кластеров членов
Позволяет управлять всеми ресурсами в кластерах-членах в флоте.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/fleets/members/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the member clusters in the fleet.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"name": "79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure читатель Kubernetes Fleet Manager RBAC
Предоставляет доступ только для чтения к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerService/fleets/read | Получение флота |
| Microsoft. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. ContainerService/fleets/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft. ContainerService/fleets/apps/deployments/read | Считывает deployments. |
| Microsoft. ContainerService/fleets/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft. ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft. ContainerService/fleets/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft. ContainerService/fleets/batch/jobs/read | Считывает jobs. |
| Microsoft. ContainerService/fleets/configmaps/read | Считывает configmaps. |
| Microsoft. ContainerService/fleets/endpoints/read | Считывает endpoints. |
| Microsoft. ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft. ContainerService/fleets/events/read | Считывает events. |
| Microsoft. ContainerService/fleets/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft. ContainerService/fleets/extensions/deployments/read | Считывает deployments. |
| Microsoft. ContainerService/fleets/extensions/ingresses/read | Считывает ingresses. |
| Microsoft. ContainerService/fleets/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft. ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft. ContainerService/fleets/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft. ContainerService/fleets/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. ContainerService/fleets/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft. ContainerService/fleets/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft. ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft. ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft. ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. ContainerService/fleets/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft. ContainerService/fleets/services/read | Считывает services. |
| Microsoft. ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Чтение ресурса resourceoverride для автопарка |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure средство чтения RBAC диспетчера парка Kubernetes для кластеров членов
Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/fleets/members/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. ContainerService/fleets/members/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft. ContainerService/fleets/members/apps/deployments/read | Считывает deployments. |
| Microsoft. ContainerService/fleets/members/apps/replicasets/read | Считывает replicasets. |
| Microsoft. ContainerService/fleets/members/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft. ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft. ContainerService/fleets/members/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft. ContainerService/fleets/members/batch/jobs/read | Считывает jobs. |
| Microsoft. ContainerService/fleets/members/configmaps/read | Считывает configmaps. |
| Microsoft. ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Microsoft. ContainerService/fleets/members/endpoints/read | Считывает endpoints. |
| Microsoft. ContainerService/fleets/members/events.k8s.io/events/read | Считывает events. |
| Microsoft. ContainerService/fleets/members/events/read | Считывает events. |
| Microsoft. ContainerService/fleets/members/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft. ContainerService/fleets/members/extensions/deployments/read | Считывает deployments. |
| Microsoft. ContainerService/fleets/members/extensions/ingresses/read | Считывает ingresses. |
| Microsoft. ContainerService/fleets/members/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. ContainerService/fleets/members/extensions/replicasets/read | Считывает replicasets. |
| Microsoft. ContainerService/fleets/members/limitranges/read | Считывает limitranges. |
| Microsoft. ContainerService/fleets/members/metrics.k8s.io/pods/read | Считывает pods. |
| Microsoft. ContainerService/fleets/members/metrics.k8s.io/nodes/read | Считывает nodes |
| Microsoft. ContainerService/fleets/members/namespaces/read | Считывает namespaces. |
| Microsoft. ContainerService/fleets/members/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft. ContainerService/fleets/members/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. ContainerService/fleets/members/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft. ContainerService/fleets/members/pods/read | Считывает pods. |
| Microsoft. ContainerService/fleets/members/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft. ContainerService/fleets/members/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft. ContainerService/fleets/members/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. ContainerService/fleets/members/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft. ContainerService/fleets/members/services/read | Считывает services. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/463ad26c-fcce-4469-9c7f-5653d8acbab5",
"name": "463ad26c-fcce-4469-9c7f-5653d8acbab5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/members/apps/deployments/read",
"Microsoft.ContainerService/fleets/members/apps/replicasets/read",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/read",
"Microsoft.ContainerService/fleets/members/configmaps/read",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/endpoints/read",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/read",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/members/extensions/deployments/read",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/read",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/members/pods/read",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/serviceaccounts/read",
"Microsoft.ContainerService/fleets/members/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Менеджер флота Azure Kubernetes: Писатель RBAC
Предоставляет доступ на чтение и запись к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получать доступ к секретам в качестве любого ServiceAccount в пространстве имен, поэтому его можно использовать для получения уровней доступа к API любого ServiceAccount в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerService/fleets/read | Получение флота |
| Microsoft. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. ContainerService/fleets/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft. ContainerService/fleets/apps/daemonsets/write | Записывает daemonset |
| Microsoft. ContainerService/fleets/apps/deployments/read | Считывает deployments. |
| Microsoft. ContainerService/fleets/apps/deployments/write | Записывает deployments |
| Microsoft. ContainerService/fleets/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft. ContainerService/fleets/apps/statefulsets/write | Записывает statefulsets |
| Microsoft. ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft. ContainerService/fleets/autoscaling/horizontalpodautoscalers/write | Записывает horizontalpodautoscalers |
| Microsoft. ContainerService/fleets/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft. ContainerService/fleets/batch/cronjobs/write | Записывает cronjobs |
| Microsoft. ContainerService/fleets/batch/jobs/read | Считывает jobs. |
| Microsoft. ContainerService/fleets/batch/jobs/write | Записывает jobs |
| Microsoft. ContainerService/fleets/configmaps/read | Считывает configmaps. |
| Microsoft. ContainerService/fleets/configmaps/write | Записывает configmaps |
| Microsoft. ContainerService/fleets/endpoints/read | Считывает endpoints. |
| Microsoft. ContainerService/fleets/endpoints/write | Записывает endpoints |
| Microsoft. ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Microsoft. ContainerService/fleets/events/read | Считывает events. |
| Microsoft. ContainerService/fleets/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft. ContainerService/fleets/extensions/daemonsets/write | Записывает daemonset |
| Microsoft. ContainerService/fleets/extensions/deployments/read | Считывает deployments. |
| Microsoft. ContainerService/fleets/extensions/deployments/write | Записывает deployments |
| Microsoft. ContainerService/fleets/extensions/ingresses/read | Считывает ingresses. |
| Microsoft. ContainerService/fleets/extensions/ingresses/write | Записывает ingresses |
| Microsoft. ContainerService/fleets/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. ContainerService/fleets/extensions/networkpolicies/write | Записывает networkpolicies |
| Microsoft. ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Microsoft. ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Microsoft. ContainerService/fleets/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft. ContainerService/fleets/networking.k8s.io/ingresses/write | Записывает ingresses |
| Microsoft. ContainerService/fleets/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. ContainerService/fleets/networking.k8s.io/networkpolicies/write | Записывает networkpolicies |
| Microsoft. ContainerService/fleets/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft. ContainerService/fleets/persistentvolumeclaims/write | Записывает persistentvolumeclaims |
| Microsoft. ContainerService/fleets/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft. ContainerService/fleets/policy/poddisruptionbudgets/write | Записывает poddisruptionbudgets |
| Microsoft. ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft. ContainerService/fleets/replicationcontrollers/write | Записывает replicationcontrollers |
| Microsoft. ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. ContainerService/fleets/secret/read | Считывает secrets |
| Microsoft. ContainerService/fleets/secret/write | Записывает secrets |
| Microsoft. ContainerService/fleets/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft. ContainerService/fleets/serviceaccounts/write | Записывает serviceaccounts |
| Microsoft. ContainerService/fleets/services/read | Считывает services. |
| Microsoft. ContainerService/fleets/services/write | Записывает services |
| Microsoft. ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Чтение ресурса resourceoverride для автопарка |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | Запись ресурса resourceoverride парка |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Microsoft. ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure модуль записи RBAC диспетчера парка Kubernetes для кластеров членов
Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/fleets/members/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. ContainerService/fleets/members/apps/daemonsets/* | |
| Microsoft. ContainerService/fleets/members/apps/deployments/* | |
| Microsoft. ContainerService/fleets/members/apps/replicasets/* | |
| Microsoft. ContainerService/fleets/members/apps/statefulsets/* | |
| Microsoft. ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/* | |
| Microsoft. ContainerService/fleets/members/batch/cronjobs/* | |
| Microsoft. ContainerService/fleets/members/coordination.k8s.io/leases/read | Считывает leases |
| Microsoft. ContainerService/fleets/members/coordination.k8s.io/leases/write | Записывает leases |
| Microsoft. ContainerService/fleets/members/coordination.k8s.io/leases/delete | Удаляет leases |
| Microsoft. ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Microsoft. ContainerService/fleets/members/batch/jobs/* | |
| Microsoft. ContainerService/fleets/members/configmaps/* | |
| Microsoft. ContainerService/fleets/members/endpoints/* | |
| Microsoft. ContainerService/fleets/members/events.k8s.io/events/read | Считывает events. |
| Microsoft. ContainerService/fleets/members/events/* | |
| Microsoft. ContainerService/fleets/members/extensions/daemonsets/* | |
| Microsoft. ContainerService/fleets/members/extensions/deployments/* | |
| Microsoft. ContainerService/fleets/members/extensions/ingresses/* | |
| Microsoft. ContainerService/fleets/members/extensions/networkpolicies/* | |
| Microsoft. ContainerService/fleets/members/extensions/replicasets/* | |
| Microsoft. ContainerService/fleets/members/limitranges/read | Считывает limitranges. |
| Microsoft. ContainerService/fleets/members/metrics.k8s.io/pods/read | Считывает pods. |
| Microsoft. ContainerService/fleets/members/metrics.k8s.io/nodes/read | Считывает nodes |
| Microsoft. ContainerService/fleets/members/namespaces/read | Считывает namespaces. |
| Microsoft. ContainerService/fleets/members/networking.k8s.io/ingresses/* | |
| Microsoft. ContainerService/fleets/members/networking.k8s.io/networkpolicies/* | |
| Microsoft. ContainerService/fleets/members/persistentvolumeclaims/* | |
| Microsoft. ContainerService/fleets/members/pods/* | |
| Microsoft. ContainerService/fleets/members/policy/poddisruptionbudgets/* | |
| Microsoft. ContainerService/fleets/members/replicationcontrollers/* | |
| Microsoft. ContainerService/fleets/members/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. ContainerService/fleets/members/secret/* | |
| Microsoft. ContainerService/fleets/members/serviceaccounts/* | |
| Microsoft. ContainerService/fleets/members/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/50346970-0998-40f2-b47d-f3b8809840f8",
"name": "50346970-0998-40f2-b47d-f3b8809840f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/members/apps/deployments/*",
"Microsoft.ContainerService/fleets/members/apps/replicasets/*",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/*",
"Microsoft.ContainerService/fleets/members/configmaps/*",
"Microsoft.ContainerService/fleets/members/endpoints/*",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/*",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/members/extensions/deployments/*",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/*",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/members/pods/*",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/secrets/*",
"Microsoft.ContainerService/fleets/members/serviceaccounts/*",
"Microsoft.ContainerService/fleets/members/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль администратора кластера Arc Azure Kubernetes Service
Список действий, выполненных с помощью учетных данных администратора кластера.
| Действия | Описание |
|---|---|
| Microsoft. HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Microsoft. HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | Выводит учетные данные администратора подготовленного экземпляра кластера, используемого только в прямом режиме. |
| Microsoft. Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль пользователя кластера Arc Azure Kubernetes Service
Список действий, выполненных с помощью учетных данных пользователя кластера.
| Действия | Описание |
|---|---|
| Microsoft. HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Microsoft. HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | Выводит учетные данные пользователя AAD для подготовленного экземпляра кластера, используемого только в прямом режиме. |
| Microsoft. Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль участника Azure Kubernetes Service Arc
Предоставляет доступ к гибридным кластерам Служб Kubernetes для чтения и Azure записи
| Действия | Описание |
|---|---|
| Microsoft. HybridContainerService/Locations/operationStatuses/read | операции чтенияStatuses |
| Microsoft. HybridContainerService/Locations/operationStatuses/write | операции записиStatuses |
| Microsoft. HybridContainerService/Operations/read | Операции чтения |
| Microsoft. HybridContainerService/kubernetesVersions/read | Список поддерживаемых версий Kubernetes из базового пользовательского расположения |
| Microsoft. HybridContainerService/kubernetesVersions/write | Помещает тип ресурса версии Kubernetes |
| Microsoft. HybridContainerService/kubernetesVersions/delete | Удаление типа ресурса версий Kubernetes |
| Microsoft. HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Microsoft. HybridContainerService/provisionedClusterInstances/write | Создает экземпляр подготовленного гибридного кластера AKS |
| Microsoft. HybridContainerService/provisionedClusterInstances/delete | Удаляет экземпляр подготовленного гибридного кластера AKS |
| Microsoft. HybridContainerService/provisionedClusterInstances/agentPools/read | Возвращает пулы агентов в экземпляре подготовленного гибридного кластера AKS. |
| Microsoft. HybridContainerService/provisionedClusterInstances/agentPools/write | Обновляет пул агентов в экземпляре подготовленного гибридного кластера AKS. |
| Microsoft. HybridContainerService/provisionedClusterInstances/agentPools/delete | Удаляет пул агентов в экземпляре подготовленного гибридного кластера AKS. |
| Microsoft. HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | чтение обновленийProfiles |
| Microsoft. HybridContainerService/skus/read | Перечисляет поддерживаемые номера SKU виртуальных машин из базового настраиваемого расположения. |
| Microsoft. HybridContainerService/skus/write | Помещает тип ресурса SKU виртуальной машины |
| Microsoft. HybridContainerService/skus/delete | Удаляет тип ресурса SKU виртуальной машины |
| Microsoft. HybridContainerService/virtualNetworks/read | Список гибридных виртуальных сетей AKS по подписке |
| Microsoft. HybridContainerService/virtualNetworks/write | Исправление гибридной виртуальной сети AKS |
| Microsoft. HybridContainerService/virtualNetworks/delete | Удаляет виртуальную сеть Hybrid AKS |
| Microsoft. ExtendedLocation/customLocations/deploy/action | Развертывание разрешений в ресурсе пользовательского расположения |
| Microsoft. ExtendedLocation/customLocations/read | Возвращает ресурс пользовательского расположения |
| Microsoft. Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| Microsoft. Kubernetes/connectedClusters/Write | Записывает connectedClusters. |
| Microsoft. Kubernetes/connectedClusters/Delete | Удаляет connectedClusters. |
| Microsoft. Kubernetes/connectedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser |
| Microsoft. AzureStackHCI/clusters/read | Возвращает кластеры |
| Microsoft. Ресурсы/deployments/read | Возвращает развернутые службы или выводит их список. |
| Microsoft. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Microsoft. Ресурсы/deployments/delete | Удаляет развертывание. |
| Microsoft. Ресурсы/deployments/cancel/action | Отменяет развертывание. |
| Microsoft. Ресурсы/deployments/validate/action | Проверяет развертывание. |
| Microsoft. Ресурсы/deployments/whatIf/action | Прогнозирует изменения в развертывании шаблона. |
| Microsoft. Ресурсы/deployments/exportTemplate/action | Экспорт шаблона для развертывания |
| Microsoft. Ресурсы/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Microsoft. Ресурсы/deployments/operationstatuses/read | Возвращает состояния операций развертывания или выводит их список. |
| Microsoft. HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete | Удаляет прокси-ресурс метаданных гибридного удостоверения. |
| Microsoft. HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write | Создает прокси-ресурс метаданных гибридной идентификации, который упрощает подготовку управляемых удостоверений. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Locations/operationStatuses/write",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль администратора кластера Azure Kubernetes Service
Список действий, выполненных с помощью учетных данных администратора кластера.
| Действия | Описание |
|---|---|
| Microsoft. ContainerService/managedClusters/listClusterAdminCredential/action | Перечисляет учетные данные clusterAdmin управляемого кластера. |
| Microsoft. ContainerService/managedClusters/accessProfiles/listCredential/action | Получение профиля доступа управляемого кластера по имени роли с помощью вывода учетных данных. |
| Microsoft. ContainerService/managedClusters/read | Получение управляемого кластера. |
| Microsoft. ContainerService/managedClusters/runcommand/action | Выполняет команду, выданную пользователем, на управляемом сервере kubernetes. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
пользователь мониторинга кластера Azure Kubernetes Service
Действие учетных данных пользователя мониторинга кластера.
| Действия | Описание |
|---|---|
| Microsoft. ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Перечисляет учетные данные clusterMonitoringUser управляемого кластера. |
| Microsoft. ContainerService/managedClusters/read | Получение управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль пользователя кластера Azure Kubernetes Service
Список действий, выполненных с помощью учетных данных пользователя кластера.
| Действия | Описание |
|---|---|
| Microsoft. ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| Microsoft. ContainerService/managedClusters/read | Получение управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль участника Azure Kubernetes Service
Предоставляет доступ к кластерам чтения и записи Azure Kubernetes Service
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. ContainerService/locations/* | Чтение расположений, доступных для ресурсов ContainerService |
| Microsoft. ContainerService/managedClusters/* | Создание управляемого кластера и управление ими |
| Microsoft. ContainerService/managedclustersnapshots/* | Создание моментального снимка управляемого кластера и управление ими |
| Microsoft. ContainerService/snapshots/* | Создание моментального снимка и управление ими |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerService/deploymentSafeguards/* | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/deploymentSafeguards/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник пространства имен Azure Kubernetes Service
Позволяет пользователям создавать ресурсы пространства имен и управлять ими Azure Kubernetes Service.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerService/managedClusters/managedNamespaces/* | Создание пространств имен и управление ими |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows users to create and manage Azure Kubernetes Service namespace resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/289d8817-ee69-43f1-a0af-43a45505b488",
"name": "289d8817-ee69-43f1-a0af-43a45505b488",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь пространства имен Azure Kubernetes Service
Позволяет пользователям считывать ресурсы пространства имен Azure Kubernetes Service. Для дальнейшего доступа к пространству имен в кластере требуется назначение ролей Azure Kubernetes Service RBAC ресурсу пространства имен для кластера с поддержкой Entra ID.
| Действия | Описание |
|---|---|
| Microsoft. ContainerService/managedClusters/managedNamespaces/read | Получение управляемого пространства имен управляемого кластера |
| Microsoft. ContainerService/managedClusters/managedNamespaces/listCredential/action | Вывод списка учетных данных кластера управляемого пространства имен |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows users to read Azure Kubernetes Service namespace resources. In-cluster namespace access further requires assignment of Azure Kubernetes Service RBAC roles to the namespace resource for an Entra ID enabled cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"name": "c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/managedNamespaces/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор RBAC Azure Kubernetes Service
Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft. ContainerService/managedClusters/resourcequotas/write | Записывает resourcequotas. |
| Microsoft. ContainerService/managedClusters/resourcequotas/delete | Удаляет resourcequotas. |
| Microsoft. ContainerService/managedClusters/namespaces/write | Записывает namespaces. |
| Microsoft. ContainerService/managedClusters/namespaces/delete | Удаляет namespaces. |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор кластера RBAC Azure Kubernetes Service
Позволяет управлять всеми ресурсами в кластере.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/managedClusters/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
средство чтения RBAC Azure Kubernetes Service
Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. ContainerService/managedClusters/apps/daemonsets/read | Считывает daemonsets. |
| Microsoft. ContainerService/managedClusters/apps/deployments/read | Считывает deployments. |
| Microsoft. ContainerService/managedClusters/apps/replicasets/read | Считывает replicasets. |
| Microsoft. ContainerService/managedClusters/apps/statefulsets/read | Считывает statefulsets. |
| Microsoft. ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Microsoft. ContainerService/managedClusters/batch/cronjobs/read | Считывает cronjobs. |
| Microsoft. ContainerService/managedClusters/batch/jobs/read | Считывает jobs. |
| Microsoft. ContainerService/managedClusters/configmaps/read | Считывает configmaps. |
| Microsoft. ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Microsoft. ContainerService/managedClusters/endpoints/read | Считывает endpoints. |
| Microsoft. ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft. ContainerService/managedClusters/events/read | Считывает events. |
| Microsoft. ContainerService/managedClusters/extensions/daemonsets/read | Считывает daemonsets. |
| Microsoft. ContainerService/managedClusters/extensions/deployments/read | Считывает deployments. |
| Microsoft. ContainerService/managedClusters/extensions/ingresses/read | Считывает ingresses. |
| Microsoft. ContainerService/managedClusters/extensions/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. ContainerService/managedClusters/extensions/replicasets/read | Считывает replicasets. |
| Microsoft. ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Microsoft. ContainerService/managedClusters/metrics.k8s.io/pods/read | Считывает pods. |
| Microsoft. ContainerService/managedClusters/metrics.k8s.io/nodes/read | Считывает nodes |
| Microsoft. ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Microsoft. ContainerService/managedClusters/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Microsoft. ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Microsoft. ContainerService/managedClusters/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Microsoft. ContainerService/managedClusters/pods/read | Считывает pods. |
| Microsoft. ContainerService/managedClusters/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Microsoft. ContainerService/managedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Microsoft. ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. ContainerService/managedClusters/serviceaccounts/read | Считывает serviceaccounts. |
| Microsoft. ContainerService/managedClusters/services/read | Считывает services. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service записи RBAC
Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Microsoft. ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft. ContainerService/managedClusters/apps/deployments/* | |
| Microsoft. ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft. ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft. ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft. ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft. ContainerService/managedClusters/coordination.k8s.io/leases/read | Считывает leases |
| Microsoft. ContainerService/managedClusters/coordination.k8s.io/leases/write | Записывает leases |
| Microsoft. ContainerService/managedClusters/coordination.k8s.io/leases/delete | Удаляет leases |
| Microsoft. ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Microsoft. ContainerService/managedClusters/batch/jobs/* | |
| Microsoft. ContainerService/managedClusters/configmaps/* | |
| Microsoft. ContainerService/managedClusters/endpoints/* | |
| Microsoft. ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Microsoft. ContainerService/managedClusters/events/* | |
| Microsoft. ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft. ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft. ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft. ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft. ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft. ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Microsoft. ContainerService/managedClusters/metrics.k8s.io/pods/read | Считывает pods. |
| Microsoft. ContainerService/managedClusters/metrics.k8s.io/nodes/read | Считывает nodes |
| Microsoft. ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Microsoft. ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft. ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft. ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft. ContainerService/managedClusters/pods/* | |
| Microsoft. ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft. ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft. ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Microsoft. ContainerService/managedClusters/secret/* | |
| Microsoft. ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft. ContainerService/managedClusters/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
диспетчер облачных контроллеров Azure Red Hat OpenShift
Управление и обновление диспетчера облачных контроллеров, развернутых поверх OpenShift.
| Действия | Описание |
|---|---|
| Microsoft. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft. Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft. Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft. Network/loadBalancers/write | Создает новую подсистему балансировки нагрузки или обновляет существующую. |
| Microsoft. Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft. Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft. Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft. Network/networkSecurityGroups/write | Создает новую группу безопасности сети или обновляет существующую. |
| Microsoft. Network/publicIPAddresses/join/action | Присоединяет общедоступный IP-адрес. Не предусматривает отправку оповещений. |
| Microsoft. Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft. Сеть/publicIPAddresses/write | Создает общедоступный IP-адрес или обновляет существующий общедоступный IP-адрес. |
| Microsoft. Network/publicIPAddresses/delete | Удаляет общедоступный IP-адрес. |
| Microsoft. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft. Network/loadBalancers/inboundNatRules/join/action | Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft. Сеть/publicIPPrefixes/join/action | Присоединяет префикс общедоступного IP-адреса. Не предусматривает отправку оповещений. |
| Microsoft. Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Присоединение правила безопасности к группам безопасности приложений. Не предусматривает отправку оповещений. |
| Microsoft. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft. Сеть/privatelinkservices/write | Создает новую службу частной связи или обновляет существующую. |
| Microsoft. Network/privatelinkservices/read | Получает ресурс службы частной связи. |
| Microsoft. Сеть/privatelinkservices/delete | Удаляет ресурс службы частной связи. |
| Microsoft. Network/loadBalancers/loadBalancingRules/read | Возвращает определение правила подсистемы балансировки нагрузки. |
| Microsoft. Network/serviceEndpointPolicies/join/action | Присоединение политики конечной точки службы. Не предусматривает отправку оповещений. |
| Microsoft. Сеть/natGateways/join/action | Присоединяет шлюз NAT |
| Microsoft. Network/networkIntentPolicies/join/action | Присоединяет политику намерений сети Не предусматривает отправку оповещений. |
| Microsoft. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft. Сеть/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft. Network/networkManagers/ipamPools/associateResourcesToPool/action | Разрешение действия для связывания ресурсов с пулом Ipam |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage and update the cloud controller manager deployed on top of OpenShift.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a1f96423-95ce-4224-ab27-4e3dc72facd4",
"name": "a1f96423-95ce-4224-ab27-4e3dc72facd4",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/publicIPPrefixes/join/action",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/privatelinkservices/write",
"Microsoft.Network/privatelinkservices/read",
"Microsoft.Network/privatelinkservices/delete",
"Microsoft.Network/loadBalancers/loadBalancingRules/read",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cloud Controller Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор входящего трафика кластера Azure Red Hat OpenShift
Управление маршрутизатором OpenShift и настройка.
| Действия | Описание |
|---|---|
| Microsoft. Network/dnsZones/A/delete | Удаляет из зоны DNS набор записей типа A с заданным именем. |
| Microsoft. Network/dnsZones/A/write | Создает или обновляет набор записей типа A в зоне DNS. Указанные записи заменят текущие записи в наборе записей. |
| Microsoft. Network/privateDnsZones/A/delete | Удалите набор записей заданного имени и введите "A" из зоны Private DNS. |
| Microsoft. Network/privateDnsZones/A/write | Создайте или обновите набор записей типа "A" в зоне Private DNS. Указанные записи заменят текущие записи в наборе записей. |
| Microsoft. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage and configure the OpenShift router.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0336e1d3-7a87-462b-b6db-342b63f7802c",
"name": "0336e1d3-7a87-462b-b6db-342b63f7802c",
"permissions": [
{
"actions": [
"Microsoft.Network/dnsZones/A/delete",
"Microsoft.Network/dnsZones/A/write",
"Microsoft.Network/privateDnsZones/A/delete",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cluster Ingress Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор Azure Red Hat OpenShift Disk Storage
Установите драйверы интерфейса хранилища контейнеров (CSI), позволяющие кластеру использовать диски Azure. Задайте по умолчанию хранилище на уровне кластера OpenShift, чтобы обеспечить наличие класса хранилища по умолчанию для кластеров.
| Действия | Описание |
|---|---|
| Microsoft. Вычисления/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Microsoft. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft. Вычисления/virtualMachineScaleSets/virtualMachines/write | Обновление свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft. Вычисления/virtualMachineScaleSets/virtualMachines/read | Извлекает свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Microsoft. Вычисления/virtualMachineScaleSets/read | Получение свойств масштабируемого набора виртуальных машин. |
| Microsoft. Вычисления/snapshots/write | Создает новый моментальный снимок или обновляет существующий. |
| Microsoft. Вычисления/моментальные снимки/чтение | Возвращает свойства моментального снимка. |
| Microsoft. Вычисление/snapshots/delete | Удаляет моментальный снимок. |
| Microsoft. Вычисления/locations/operations/read | Возвращает состояние асинхронной операции. |
| Microsoft. Вычисления/locations/DiskOperations/read | Получение состояния асинхронной операции диска. |
| Microsoft. Вычисление/disks/write | Создает новый диск или обновляет существующий. |
| Microsoft. Вычисление/disks/read | Возвращает свойства диска. |
| Microsoft. Вычисление/disks/delete | Удаляет диск. |
| Microsoft. Вычисление/disks/beginGetAccess/action | Возвращает универсальный код ресурса (URI) SAS диска для доступа к большому двоичному объекту. |
| Microsoft. Вычисления/diskEncryptionSets/read | Получение свойств набора шифрования дисков |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Disks. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b7237c5-45e1-49d6-bc18-a1f62f400748",
"name": "5b7237c5-45e1-49d6-bc18-a1f62f400748",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/DiskOperations/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Disk Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift федеративные учетные данные
Создание, обновление и удаление федеративных учетных данных на назначенных пользователем управляемых удостоверений для создания отношения доверия между управляемым удостоверением, OpenID Connect (OIDC) и учетной записью службы.
| Действия | Описание |
|---|---|
| Microsoft. ManagedIdentity/userAssignedIdentities/read | Получение существующего пользовательского удостоверения. |
| Microsoft. ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Добавление или обновление федеративных учетных данных удостоверения |
| Microsoft. ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Получение или перечисление учетных данных федеративного удостоверения |
| Microsoft. ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Удаление учетных данных федеративного удостоверения |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Create, update and delete federated credentials on user assigned managed identities in order to build a trust relationship between the managed identity, OpenID Connect (OIDC), and the service account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"name": "ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Federated Credential",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор хранилища файлов Azure Red Hat OpenShift
Установите драйверы интерфейса хранилища контейнеров (CSI), позволяющие кластеру использовать Azure Files. Задайте по умолчанию хранилище на уровне кластера OpenShift, чтобы обеспечить наличие класса хранилища по умолчанию для кластеров.
| Действия | Описание |
|---|---|
| Microsoft. Хранилище/storageAccounts/delete | Удаляет существующую учетную запись хранения. |
| Microsoft. Storage/storageAccounts/fileServices/read | Получить свойства службы файлов |
| Microsoft. Хранилище/storageAccounts/fileServices/shares/delete | Удаление общей папки. |
| Microsoft. Storage/storageAccounts/fileServices/shares/read | Вывод списка общих папок |
| Microsoft. Хранилище/storageAccounts/fileServices/shares/write | Создание или изменение общей папки. |
| Microsoft. Хранилище/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft. Хранилище/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft. Хранилище/storageAccounts/write | Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
| Microsoft. Хранилище/storageAccounts/PrivateEndpointConnectionsApproval/action | Утверждение подключений к частным конечным точкам |
| Microsoft. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft. Сеть/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft. Сеть/natGateways/join/action | Присоединяет шлюз NAT |
| Microsoft. Сеть/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft. Network/privateEndpoints/write | Создает частную конечную точку или обновляет существующую. |
| Microsoft. Network/networkManagers/ipamPools/associateResourcesToPool/action | Разрешение действия для связывания ресурсов с пулом Ipam |
| Microsoft. Network/networkIntentPolicies/join/action | Присоединяет политику намерений сети Не предусматривает отправку оповещений. |
| Microsoft. Network/serviceEndpointPolicies/join/action | Присоединение политики конечной точки службы. Не предусматривает отправку оповещений. |
| Microsoft. Сеть/locations/operations/read | Возвращает ресурс операции, представляющий состояние асинхронной операции. |
| Microsoft. Network/privateDnsOperationStatuses/read | Возвращает состояние операции Private DNS |
| Microsoft. Network/privateDnsZones/read | Получите свойства зоны Private DNS в формате JSON. Обратите внимание, что эта команда не извлекает виртуальные сети, к которым связана зона Private DNS или наборы записей, содержащиеся в зоне. |
| Microsoft. Network/privateDnsZones/virtualNetworkLinks/read | Получите ссылку Private DNS зоны на свойства виртуальной сети в формате JSON. |
| Microsoft. Network/privateDnsZones/virtualNetworkLinks/write | Создайте или обновите ссылку Private DNS зоны на виртуальную сеть. |
| Microsoft. Network/privateDnsZones/write | Создайте или обновите зону Private DNS в группе ресурсов. Обратите внимание, что эту команду невозможно использовать для создания или обновления связей виртуальных сетей или наборов записей в зоне. |
| Microsoft. Network/privateDnsZones/join/action | Присоединение зоны Private DNS |
| Microsoft. Network/privateEndpoints/privateDnsZoneGroups/write | Помещает группу зон Private DNS |
| Microsoft. Network/privateEndpoints/privateDnsZoneGroups/read | Возвращает группу зон Private DNS |
| Microsoft. Network/privateEndpoints/read | Возвращает ресурс частной конечной точки. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Files. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0d7aedc0-15fd-4a67-a412-efad370c947e",
"name": "0d7aedc0-15fd-4a67-a412-efad370c947e",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/delete",
"Microsoft.Storage/storageAccounts/fileServices/shares/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/locations/operations/read",
"Microsoft.Network/privateDnsOperationStatuses/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateEndpoints/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift File Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор реестра образов Azure Red Hat OpenShift
Позволяет оператору управлять одним экземпляром реестра образов OpenShift. Он управляет всей конфигурацией реестра, включая создание хранилища.
| Действия | Описание |
|---|---|
| Microsoft. Хранилище/storageAccounts/blobServices/read | Возвращение свойств или статистики службы BLOB-объектов. |
| Microsoft. Хранилище/storageAccounts/blobServices/container/read | Возвращает список контейнеров. |
| Microsoft. Хранилище/storageAccounts/blobServices/container/write | Возвращает результат размещения контейнера больших двоичных объектов. |
| Microsoft. Хранилище/storageAccounts/blobServices/container/delete | Возвращение результата удаления контейнера. |
| Microsoft. Хранилище/storageAccounts/blobServices/generateUserDelegationKey/action | Возвращает ключ делегирования пользователя для службы BLOB-объектов |
| Microsoft. Хранилище/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Microsoft. Хранилище/storageAccounts/write | Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
| Microsoft. Хранилище/storageAccounts/delete | Удаляет существующую учетную запись хранения. |
| Microsoft. Хранилище/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft. Хранилище/storageAccounts/PrivateEndpointConnectionsApproval/action | Утверждение подключений к частным конечным точкам |
| Microsoft. Ресурсы/tags/write | Обновляет теги ресурса, заменяя их на другой набор тегов, объединяя наборы или удаляя существующие теги. |
| Microsoft. Network/privateEndpoints/write | Создает частную конечную точку или обновляет существующую. |
| Microsoft. Network/privateEndpoints/read | Возвращает ресурс частной конечной точки. |
| Microsoft. Network/privateEndpoints/privateDnsZoneGroups/write | Помещает группу зон Private DNS |
| Microsoft. Network/privateEndpoints/privateDnsZoneGroups/read | Возвращает группу зон Private DNS |
| Microsoft. Network/privateDnsZones/read | Получите свойства зоны Private DNS в формате JSON. Обратите внимание, что эта команда не извлекает виртуальные сети, к которым связана зона Private DNS или наборы записей, содержащиеся в зоне. |
| Microsoft. Network/privateDnsZones/write | Создайте или обновите зону Private DNS в группе ресурсов. Обратите внимание, что эту команду невозможно использовать для создания или обновления связей виртуальных сетей или наборов записей в зоне. |
| Microsoft. Network/privateDnsZones/join/action | Присоединение зоны Private DNS |
| Microsoft. Network/privateDnsZones/A/write | Создайте или обновите набор записей типа "A" в зоне Private DNS. Указанные записи заменят текущие записи в наборе записей. |
| Microsoft. Network/privateDnsZones/virtualNetworkLinks/write | Создайте или обновите ссылку Private DNS зоны на виртуальную сеть. |
| Microsoft. Network/privateDnsZones/virtualNetworkLinks/read | Получите ссылку Private DNS зоны на свойства виртуальной сети в формате JSON. |
| Microsoft. Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft. Сеть/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. Хранилище/storageAccounts/blobServices/container/blobs/delete | Возвращение результата, полученного при удалении большого двоичного объекта. |
| Microsoft. Хранилище/storageAccounts/blobServices/container/blobs/write | Возвращение результата, полученного при записи большого двоичного объекта. |
| Microsoft. Хранилище/storageAccounts/blobServices/container/blobs/read | Возвращение большого двоичного объекта или списка таких объектов. |
| Microsoft. Хранилище/storageAccounts/blobServices/container/blobs/add/action | Возвращение результата, полученного при добавлении содержимого большого двоичного объекта. |
| Microsoft. Хранилище/storageAccounts/blobServices/container/blobs/move/action | Перемещает большой двоичный объект из одного пути в другой. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Enables permissions for the operator to manage a singleton instance of the OpenShift image registry. It manages all configuration of the registry, including creating storage.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"name": "8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Resources/tags/write",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/join/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action"
],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Image Registry Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор API Azure Red Hat OpenShift компьютеров
Управление жизненным циклом пользовательских определений ресурсов (CRD), контроллеров и Azure объектов RBAC, расширяющих API Kubernetes, чтобы объявить требуемое состояние компьютеров в кластере.
| Действия | Описание |
|---|---|
| Microsoft. Вычисления/availabilitySets/delete | Удаляет группу доступности. |
| Microsoft. Вычисления/availabilitySets/read | Возвращает свойства группы доступности. |
| Microsoft. Вычисления/availabilitySets/write | Создает новую группу доступности или обновляет существующую. |
| Microsoft. Вычисления/diskEncryptionSets/read | Получение свойств набора шифрования дисков |
| Microsoft. Вычисление/disks/delete | Удаляет диск. |
| Microsoft. Вычисления/галереи/изображения/версии/чтение | Получает свойства версии образа коллекции. |
| Microsoft. Вычисление/skus/read | Возвращает список Microsoft. Номера SKU вычислений, доступные для подписки |
| Microsoft. Вычисление/virtualMachines/delete | Удаляет виртуальную машину. |
| Microsoft. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| Microsoft. Вычисления/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Microsoft. Вычисления/capacityReservationGroups/deploy/action | Развертывание новой виртуальной машины или виртуальной машины с помощью группы резервирования емкости |
| Microsoft. ManagedIdentity/userAssignedIdentities/assign/action | Действие RBAC для назначения существующего пользовательского удостоверения для ресурса. |
| Microsoft. Network/applicationSecurityGroups/read | Получение идентификатора группы безопасности приложений. |
| Microsoft. Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft. Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Microsoft. Network/loadBalancers/write | Создает новую подсистему балансировки нагрузки или обновляет существующую. |
| Microsoft. Network/networkInterfaces/delete | Удаляет сетевой интерфейс. |
| Microsoft. Network/networkInterfaces/join/action | Подключает виртуальную машину к сетевому интерфейсу. Не предусматривает отправку оповещений. |
| Microsoft. Network/networkInterfaces/loadBalancers/read | Возвращает все подсистемы балансировки нагрузки, в которых используется сетевой интерфейс. |
| Microsoft. Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft. Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft. Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Microsoft. Network/networkSecurityGroups/write | Создает новую группу безопасности сети или обновляет существующую. |
| Microsoft. Network/publicIPAddresses/delete | Удаляет общедоступный IP-адрес. |
| Microsoft. Network/publicIPAddresses/join/action | Присоединяет общедоступный IP-адрес. Не предусматривает отправку оповещений. |
| Microsoft. Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Microsoft. Сеть/publicIPAddresses/write | Создает общедоступный IP-адрес или обновляет существующий общедоступный IP-адрес. |
| Microsoft. Сеть/routeTables/read | Возвращает определение таблицы маршрутов. |
| Microsoft. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft. Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Присоединение правила безопасности к группам безопасности приложений. Не предусматривает отправку оповещений. |
| Microsoft. Network/loadBalancers/frontendIPConfigurations/join/action | Присоединяет интерфейсную IP-конфигурацию Load Balancer. Не предусматривает отправку оповещений. |
| Microsoft. Network/loadBalancers/inboundNATRules/join/action | Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage the lifecycle of specific-purpose custom resource definitions (CRD), controllers, and Azure RBAC objects that extend the Kubernetes API to declares the desired state of machines in a cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0358943c-7e01-48ba-8889-02cc51d78637",
"name": "0358943c-7e01-48ba-8889-02cc51d78637",
"permissions": [
{
"actions": [
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/capacityReservationGroups/deploy/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action",
"Microsoft.Network/loadBalancers/inboundNATRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Machine API Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
сетевой оператор Azure Red Hat OpenShift
Установите и обновите сетевые компоненты в кластере OpenShift.
| Действия | Описание |
|---|---|
| Microsoft. Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Microsoft. Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Microsoft. Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Microsoft. Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Microsoft. Network/loadBalancers/backendAddressPools/read | Возвращает определение внутреннего пула адресов подсистемы балансировки нагрузки. |
| Microsoft. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Install and upgrade the networking components on an OpenShift cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/be7a6435-15ae-4171-8f30-4a343eff9e8f",
"name": "be7a6435-15ae-4171-8f30-4a343eff9e8f",
"permissions": [
{
"actions": [
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Compute/virtualMachines/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Network Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор службы Azure Red Hat OpenShift
Обслуживание работоспособности компьютера, конфигурации сети, мониторинга и других функций, относящихся к непрерывной функциональности кластера OpenShift в качестве управляемой службы.
| Действия | Описание |
|---|---|
| Microsoft. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft. Сеть/natGateways/join/action | Присоединяет шлюз NAT |
| Microsoft. Сеть/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Microsoft. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Microsoft. Network/serviceEndpointPolicies/join/action | Присоединение политики конечной точки службы. Не предусматривает отправку оповещений. |
| Microsoft. Network/networkIntentPolicies/join/action | Присоединяет политику намерений сети Не предусматривает отправку оповещений. |
| Microsoft. Network/networkManagers/ipamPools/associateResourcesToPool/action | Разрешение действия для связывания ресурсов с пулом Ipam |
| Microsoft. Хранилище/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Microsoft. Хранилище/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Maintain machine health, network configuration, monitoring, and other features that are specific to an OpenShift cluster's continued functionality as a managed service.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4436bae4-7702-4c84-919b-c4069ff25ee2",
"name": "4436bae4-7702-4c84-919b-c4069ff25ee2",
"permissions": [
{
"actions": [
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Service Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения CheckAccess с управляемым удостоверением подключенного кластера
Встроенная роль, которая позволяет управляемому кластеру вызывать API checkAccess.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник container Apps ConnectedEnvironments
Полное управление приложениями-контейнерами ConnectedEnvironments, включая создание, удаление и обновления.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Приложение/connectedEnvironments/* | |
| Microsoft. App/connectedEnvironments/*/read | |
| Microsoft. App/connectedEnvironments/*/write | |
| Microsoft. Приложение/connectedEnvironments/*/delete | |
| Microsoft. Приложение/connectedEnvironments/*/action | |
| Microsoft. App/connectedEnvironments/daprComponents/listSecrets/action | Перечисление секретов компонента Dapr |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ConnectedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"name": "6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/connectedEnvironments/*",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/*/write",
"Microsoft.App/connectedEnvironments/*/delete",
"Microsoft.App/connectedEnvironments/*/action",
"Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения приложений-контейнеров ConnectedEnvironments
Доступ на чтение к контейнерным приложениям в ConnectedEnvironments.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/read | Возвращает развернутые службы или выводит их список. |
| Microsoft. Приложение/connectedEnvironments/read | Получение подключенной среды |
| Microsoft. App/connectedEnvironments/*/read | |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to Container Apps ConnectedEnvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"name": "d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/read",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Контрибьютор контейнерных приложений
Полное управление приложениями-контейнерами, включая создание, удаление и обновления.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Приложение/containerApps/*/read | |
| Microsoft. Приложение/containerApps/*/write | |
| Microsoft. Приложение/containerApps/*/delete | |
| Microsoft. App/containerApps/*/action | |
| Microsoft. App/managedEnvironments/read | Получение управляемой среды |
| Microsoft. App/managedEnvironments/*/read | |
| Microsoft. Приложение/managedEnvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft. App/managedEnvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft. Приложение/connectedEnvironments/read | Получение подключенной среды |
| Microsoft. App/connectedEnvironments/*/read | |
| Microsoft. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/358470bc-b998-42bd-ab17-a7e34c199c0f",
"name": "358470bc-b998-42bd-ab17-a7e34c199c0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/write",
"Microsoft.App/containerApps/*/delete",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Автор заданий контейнерных приложений
Полное управление заданиями контейнерных приложений, включая создание, удаление и обновления.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| microsoft.app/задачи/чтение | Получение задания приложений-контейнеров |
| Microsoft. Приложение/jobs/*/read | |
| Microsoft. App/jobs/*/action | |
| Microsoft. Приложение/jobs/write | Создание или обновление задания приложений-контейнеров |
| Microsoft. Приложение/jobs/delete | Удаление задания приложений-контейнеров |
| Microsoft.app/managedenvironments/read | Получение управляемой среды |
| Microsoft. App/managedenvironments/*/read | |
| Microsoft. Приложение/managedenvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft. App/managedenvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft.app/connectedEnvironments/read | Получение подключенной среды |
| Microsoft. App/connectedEnvironments/*/read | |
| Microsoft. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps jobs, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"name": "4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.App/jobs/write",
"Microsoft.App/jobs/delete",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор задач контейнерных приложений
Чтение, запуск и остановка заданий контейнерных приложений.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| microsoft.app/задачи/чтение | Получение задания приложений-контейнеров |
| Microsoft. Приложение/jobs/*/read | |
| Microsoft. App/jobs/*/action | |
| Microsoft.app/managedenvironments/read | Получение управляемой среды |
| Microsoft. App/managedenvironments/*/read | |
| Microsoft. Приложение/managedenvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft. App/managedenvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft.app/connectedEnvironments/read | Получение подключенной среды |
| Microsoft. App/connectedEnvironments/*/read | |
| Microsoft. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. Приложение/jobs/logstream/action | Просмотр потока журнала задания приложения контейнера |
| Microsoft. App/jobs/exec/action | Подключение к консоли задания приложения контейнера |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read, start, and stop Container Apps jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"name": "b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/jobs/logstream/action",
"Microsoft.App/jobs/exec/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель заданий контейнерных приложений
Доступ на чтение к заданиям ContainerApps
| Действия | Описание |
|---|---|
| microsoft.app/задачи/чтение | Получение задания приложений-контейнеров |
| Microsoft. Приложение/jobs/*/read | |
| Microsoft. App/managedenvironments/read | Получение управляемой среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps jobs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/edd66693-d32a-450b-997d-0158c03976b0",
"name": "edd66693-d32a-450b-997d-0158c03976b0",
"permissions": [
{
"actions": [
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/managedenvironments/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник ManagedEnvironments для контейнерных приложений
Полное управление управляемыми окружениями для контейнерных приложений, включая создание, удаление и обновление.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. App/managedEnvironments/*/read | |
| Microsoft. Приложение/managedEnvironments/*/write | |
| Microsoft. App/managedEnvironments/*/delete | |
| Microsoft. App/managedEnvironments/*/action | |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ManagedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/57cc5028-e6a7-4284-868d-0611c5923f8d",
"name": "57cc5028-e6a7-4284-868d-0611c5923f8d",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/*/write",
"Microsoft.App/managedEnvironments/*/delete",
"Microsoft.App/managedEnvironments/*/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель для управляемых сред приложений контейнеров
Доступ на чтение к управляемым средам ContainerApps.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. App/managedEnvironments/*/read | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps managedenvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"name": "1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор контейнерных приложений
Чтение, ведение журнала и выполнение exec в контейнерных приложениях.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Приложение/containerApps/*/read | |
| Microsoft. App/containerApps/*/action | |
| Microsoft. App/managedEnvironments/read | Получение управляемой среды |
| Microsoft. App/managedEnvironments/*/read | |
| Microsoft. Приложение/managedEnvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft. App/managedEnvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft. Приложение/connectedEnvironments/read | Получение подключенной среды |
| Microsoft. App/connectedEnvironments/*/read | |
| Microsoft. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. App/containerApps/logstream/action | Просмотр потока журнала приложения контейнера |
| Microsoft. App/containerApps/exec/action | Подключение к консоли приложения-контейнера |
| Microsoft. Приложение/containerApps/debug/action | Подключение к консоли отладки приложения-контейнера |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read, logstream and exec into Container Apps.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"name": "f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/containerApps/logstream/action",
"Microsoft.App/containerApps/exec/action",
"Microsoft.App/containerApps/debug/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник SessionPools для приложений контейнеров
Полное управление пулами сеансов контейнерных приложений, включая создание, удаление и обновление.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. App/sessionPools/*/read | |
| Microsoft. App/sessionPools/*/write | |
| Microsoft. App/sessionPools/*/delete | |
| Microsoft. App/sessionPools/*/action | |
| Microsoft.App/managedEnvironments/read | Получение управляемой среды |
| Microsoft. App/managedEnvironments/*/read | |
| Microsoft. Приложение/managedEnvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Microsoft. App/managedEnvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft.App/connectedEnvironments/read | Получение подключенной среды |
| Microsoft. App/connectedEnvironments/*/read | |
| Microsoft. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Microsoft. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| Microsoft. App/sessionPools/fetchMcpServerCredentials/action | Получение учетных данных сервера MCP пула сеансов |
| Microsoft. App/sessionPools/rotateMcpServerCredentials/action | Смена учетных данных сервера MCP пула сеансов |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps SessionPools, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"name": "f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read",
"Microsoft.App/sessionPools/*/write",
"Microsoft.App/sessionPools/*/delete",
"Microsoft.App/sessionPools/*/action",
"microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [
"Microsoft.App/sessionPools/fetchMcpServerCredentials/action",
"Microsoft.App/sessionPools/rotateMcpServerCredentials/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство просмотра пулов сеансов для приложений контейнеров
Доступ на чтение к пулам сеансов ContainerApps.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. App/sessionPools/*/read | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps sessionpools.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/af61e8fc-2633-4b95-bed3-421ad6826515",
"name": "af61e8fc-2633-4b95-bed3-421ad6826515",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор правила кэширования реестра контейнеров
Создание, чтение, обновление и удаление правил кэша в реестре контейнеров. Эта роль не предоставляет разрешения на управление наборами учетных данных.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/cacheRules/read | Возвращает свойства указанного правила кэша или перечисляет все правила кэша для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/cacheRules/write | Создает или обновляет правило кэша для реестра контейнеров с указанными параметрами |
| Microsoft. ContainerRegistry/registries/cacheRules/delete | Удаляет правило кэша из реестра контейнеров |
| Microsoft. ContainerRegistry/registries/cacheRules/operationStatuses/read | Возвращает состояние асинхронной операции правила кэша |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Cache Rules in Container Registry. This role doesn't grant permissions to manage Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/df87f177-bb12-4db1-9793-a413691eff94",
"name": "df87f177-bb12-4db1-9793-a413691eff94",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read",
"Microsoft.ContainerRegistry/registries/cacheRules/write",
"Microsoft.ContainerRegistry/registries/cacheRules/delete",
"Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения правил кэширования контейнерного реестра
Ознакомьтесь с конфигурацией правил кэша в реестре контейнеров. Это разрешение не предоставляет разрешения на чтение наборов учетных данных.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/cacheRules/read | Возвращает свойства указанного правила кэша или перечисляет все правила кэша для указанного реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Cache Rules in Container Registry. This permission doesn't grant permission to read Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c357b964-0002-4b64-a50d-7a28f02edc52",
"name": "c357b964-0002-4b64-a50d-7a28f02edc52",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения конфигурации реестра контейнеров и средства чтения конфигурации доступа к данным
Предоставляет разрешения для перечисления реестров контейнеров и свойств конфигурации реестра. Предоставляет разрешения для перечисления конфигурации доступа к данным, таких как учетные данные администратора, карты областей и маркеры, которые можно использовать для чтения, записи или удаления репозиториев и изображений. Не предоставляет прямых разрешений на чтение, перечисление или запись содержимого реестра, включая репозитории и изображения. Не предоставляет разрешения на изменение содержимого плоскости данных, например импорта, кэша артефактов или синхронизации и передачи конвейеров. Не предоставляет разрешения для управления задачами.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/operationStatuses/read | Получение состояния асинхронной операции реестра. |
| Microsoft. ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Microsoft. ContainerRegistry/registries/privateEndpointConnections/read | Возвращает свойства подключения к частной конечной точке или список всех подключений к частным конечным точкам для указанного реестра контейнеров |
| Microsoft. ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Получение состояния асинхронной операции подключения к частной конечной точке |
| Microsoft. ContainerRegistry/registries/listCredentials/action | Выводит список учетных данных входа для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/token/read | Получает свойства указанного токена или выводит список всех токенов для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/token/operationStatuses/read | Получение состояния асинхронной операции токена. |
| Microsoft. ContainerRegistry/registries/scopeMaps/read | Получает свойства указанного сопоставления областей или выводит список сопоставлений областей для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/scopeMaps/operationStatuses/read | Получение состояния асинхронной операции сопоставления областей. |
| Microsoft. ContainerRegistry/registries/webhooks/read | Получение свойств указанного веб-перехватчика или списка веб-перехватчиков для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/webhooks/getCallbackConfig/action | Получение конфигурации URI службы и пользовательских заголовков для веб-перехватчика. |
| Microsoft. ContainerRegistry/registries/webhooks/listEvents/action | Получение списка последних событий для указанного веб-перехватчика. |
| Microsoft. ContainerRegistry/registries/webhooks/operationStatuses/read | Получение состояния асинхронной операции веб-перехватчика. |
| Microsoft. ContainerRegistry/registries/replications/read | Получение свойств указанной репликации или списка репликаций для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/replications/operationStatuses/read | Получение состояния асинхронной операции репликации. |
| Microsoft. ContainerRegistry/registries/connectedRegistries/read | Получение свойств указанного реестра контейнеров или вывод списка всех подключенных реестров для заданного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/providers/Microsoft. Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| Microsoft. ContainerRegistry/registries/providers/Microsoft. Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| Microsoft. ContainerRegistry/registries/providers/Microsoft. Insights/logDefinitions/read | Возвращает доступные журналы для Microsoft ContainerRegistry |
| Microsoft. ContainerRegistry/registries/providers/Microsoft. Insights/metricDefinitions/read | Возвращает доступные метрики для Microsoft ContainerRegistry |
| Microsoft. Insights/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Microsoft. Insights/AlertRules/Delete | Удаление классического оповещения метрики. |
| Microsoft. Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft. Insights/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Microsoft. Insights/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Microsoft. Insights/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Microsoft. Insights/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник реестра контейнеров и администратор конфигурации доступа к данным
Предоставляет разрешения на создание, перечисление и обновление реестров контейнеров и свойств конфигурации реестра. Предоставляет разрешения на настройку доступа к данным, таких как учетные данные администратора, карты областей и маркеры, которые можно использовать для чтения, записи или удаления репозиториев и изображений. Не предоставляет прямых разрешений на чтение, перечисление или запись содержимого реестра, включая репозитории и изображения. Не предоставляет разрешения на изменение содержимого плоскости данных, например импорта, кэша артефактов или синхронизации и передачи конвейеров. Не предоставляет разрешения для управления задачами.
| Действия | Описание |
|---|---|
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerRegistry/registries/operationStatuses/read | Получение состояния асинхронной операции реестра. |
| Microsoft. ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Microsoft. ContainerRegistry/registries/write | Создание или обновление реестра контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/delete | Удаление реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/listCredentials/action | Выводит список учетных данных входа для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/regenerateCredential/action | Повторное создание учетных данных входа для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/generateCredentials/action | Создание ключей для токена указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/replications/read | Получение свойств указанной репликации или списка репликаций для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/replications/write | Создание или обновление репликаций для реестра контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/replications/delete | Удаление репликации из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/replications/operationStatuses/read | Получение состояния асинхронной операции репликации. |
| Microsoft. ContainerRegistry/registries/privateEndpointConnectionsApproval/action | Автоматическое утверждение подключения к частной конечной точке |
| Microsoft. ContainerRegistry/registries/privateEndpointConnections/read | Возвращает свойства подключения к частной конечной точке или список всех подключений к частным конечным точкам для указанного реестра контейнеров |
| Microsoft. ContainerRegistry/registries/privateEndpointConnections/write | Утверждение или отклонение подключения к частной конечной точке |
| Microsoft. ContainerRegistry/registries/privateEndpointConnections/delete | Удаление подключения к частной конечной точке |
| Microsoft. ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Получение состояния асинхронной операции подключения к частной конечной точке |
| Microsoft. ContainerRegistry/registries/token/read | Получает свойства указанного токена или выводит список всех токенов для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/token/write | Создание или обновление токена для реестра контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/token/delete | Удаление токена из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/token/operationStatuses/read | Получение состояния асинхронной операции токена. |
| Microsoft. ContainerRegistry/registries/scopeMaps/read | Получает свойства указанного сопоставления областей или выводит список сопоставлений областей для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/scopeMaps/write | Создание или обновление сопоставления областей для реестра контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/scopeMaps/delete | Удаление сопоставления областей из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/scopeMaps/operationStatuses/read | Получение состояния асинхронной операции сопоставления областей. |
| Microsoft. ContainerRegistry/registries/providers/Microsoft. Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| Microsoft. ContainerRegistry/registries/providers/Microsoft. Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| Microsoft. ContainerRegistry/registries/providers/Microsoft. Insights/logDefinitions/read | Возвращает доступные журналы для Microsoft ContainerRegistry |
| Microsoft. ContainerRegistry/registries/providers/Microsoft. Insights/metricDefinitions/read | Возвращает доступные метрики для Microsoft ContainerRegistry |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. ContainerRegistry/registries/connectedRegistries/read | Получение свойств указанного реестра контейнеров или вывод списка всех подключенных реестров для заданного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/connectedRegistries/write | Создание или обновление подключенного реестра для реестра контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/connectedRegistries/delete | Удаление подключенного реестра из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/connectedRegistries/деактивация/действие | Деактивирует подключенный реестр для реестра контейнеров |
| Microsoft. ContainerRegistry/registries/webhooks/read | Получение свойств указанного веб-перехватчика или списка веб-перехватчиков для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/webhooks/write | Создание или обновление веб-перехватчика для реестра контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/webhooks/delete | Удаление веб-перехватчика из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/webhooks/getCallbackConfig/action | Получение конфигурации URI службы и пользовательских заголовков для веб-перехватчика. |
| Microsoft. ContainerRegistry/registries/webhooks/ping/action | Запуск события проверки связи для отправки веб-перехватчику. |
| Microsoft. ContainerRegistry/registries/webhooks/listEvents/action | Получение списка последних событий для указанного веб-перехватчика. |
| Microsoft. ContainerRegistry/registries/webhooks/operationStatuses/read | Получение состояния асинхронной операции веб-перехватчика. |
| Microsoft. Insights/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Microsoft. Insights/AlertRules/Delete | Удаление классического оповещения метрики. |
| Microsoft. Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Microsoft. Insights/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Microsoft. Insights/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Microsoft. Insights/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Microsoft. Insights/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| Microsoft. ContainerRegistry/locations/operationResults/read | Получение результата асинхронной операции. |
| Microsoft. Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
| Microsoft. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Microsoft. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Microsoft. Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Microsoft. Network/privateEndpoints/privateLinkServiceProxies/write | Создает новый прокси-сервер службы приватного канала или обновляет существующий. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор набора учетных данных реестра контейнеров
Создание, чтение, обновление и удаление наборов учетных данных в реестре контейнеров. Эта роль не влияет на необходимые разрешения для хранения содержимого в Azure Key Vault. Эта роль также не предоставляет разрешения на управление правилами кэша.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/credentialSets/read | Возвращает свойства указанного набора учетных данных или перечисляет все наборы учетных данных для указанного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/credentialSets/write | Создает или обновляет набор учетных данных для реестра контейнеров с указанными параметрами |
| Microsoft. ContainerRegistry/registries/credentialSets/delete | Удаляет набор учетных данных из реестра контейнеров |
| Microsoft. ContainerRegistry/registries/credentialSets/operationStatuses/read | Возвращает состояние асинхронной операции набора учетных данных |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Credential Sets in Container Registry. This role doesn't affect the needed permissions for storing content inside Azure Key Vault. This role also doesn't grant permissions to manage Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f094fb07-0703-4400-ad6a-e16dd8000e14",
"name": "f094fb07-0703-4400-ad6a-e16dd8000e14",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read",
"Microsoft.ContainerRegistry/registries/credentialSets/write",
"Microsoft.ContainerRegistry/registries/credentialSets/delete",
"Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель набора учетных данных реестра контейнеров
Прочитайте конфигурацию наборов учетных данных в реестре контейнеров. Это разрешение не позволяет просматривать содержимое в хранилище ключей Azure только содержимое в реестре контейнеров. Это разрешение не предоставляет разрешения на чтение правил кэша.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/credentialSets/read | Возвращает свойства указанного набора учетных данных или перечисляет все наборы учетных данных для указанного реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Credential Sets in Container Registry. This permission doesn't allow permission to see content inside Azure Key vault only the content inside Container Registry. This permission doesn't grant permission to read Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29093635-9924-4f2c-913b-650a12949526",
"name": "29093635-9924-4f2c-913b-650a12949526",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Импорт данных реестра контейнеров и средство чтения данных
Предоставляет возможность импортировать образы в реестр с помощью операции импорта реестра. Предоставляет возможность перечислять репозитории, просматривать изображения и теги, получать манифесты и извлекать изображения. Не предоставляет разрешения для импорта образов с помощью настройки конвейеров передачи реестра, таких как конвейеры импорта и экспорта. Не предоставляет разрешения для импорта с помощью настройки правил кэша артефактов или синхронизации.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/importImage/action | Импорт образа в реестр контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Microsoft. ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft. ContainerRegistry/registries/catalog/read | Список репозиториев в реестре контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Список каталогов репозитория контейнеров
Позволяет перечислять все репозитории в Azure Container Registry.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerRegistry/registries/catalog/read | Список репозиториев в реестре контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник репозитория реестра контейнеров
Позволяет просматривать, записывать и удалять доступ к Azure Container Registry репозиториям, но исключает перечисление каталога.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft. ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/repositories/metadata/write | Обновляет метаданные конкретного репозитория для реестра контейнеров |
| Microsoft. ContainerRegistry/registries/repositories/content/write | Передача или запись образов в реестр контейнеров. |
| Microsoft. ContainerRegistry/registries/repositories/metadata/delete | Удаление метаданных репозитория для реестра контейнеров |
| Microsoft. ContainerRegistry/registries/repositories/content/delete | Удаление артефакта в реестре контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель репозитория реестра контейнеров
Разрешает доступ на чтение к Azure Container Registry репозиториям, но за исключением перечисления каталога.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft. ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи репозитория реестра контейнеров
Разрешает доступ на чтение и запись к Azure Container Registry репозиториям, но за исключением перечисления каталога.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Microsoft. ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Microsoft. ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/repositories/metadata/write | Обновляет метаданные конкретного репозитория для реестра контейнеров |
| Microsoft. ContainerRegistry/registries/repositories/content/write | Передача или запись образов в реестр контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник задач реестра контейнеров
Предоставляет разрешения на настройку, чтение, список, триггер или отмену задач реестра контейнеров, запусков задач, журналов задач, быстрых запусков, быстрых сборок и пулов агентов задач. Разрешения, предоставленные для управления задачами, можно использовать для полного разрешения уровня данных реестра, включая чтение и запись и удаление образов контейнеров в реестрах. Разрешения, предоставленные для управления задачами, также можно использовать для запуска директив сборки, созданных клиентом, и запуска скриптов для создания артефактов программного обеспечения.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/agentpools/read | Получение пула агентов для реестра контейнеров или перечисление всех пулов агентов. |
| Microsoft. ContainerRegistry/registries/agentpools/write | Создание или обновление пула агентов для реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/agentpools/delete | Удаление пула агентов из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/agentpools/listQueueStatus/action | Вывод списка всех состояний очереди пула агентов для реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/agentpools/operationResults/status/read | Возвращает состояние результата асинхронной операции агента |
| Microsoft. ContainerRegistry/registries/agentpools/operationStatuses/read | Возвращает состояние асинхронной операции агента |
| Microsoft. ContainerRegistry/registries/tasks/read | Получение задачи для реестра контейнеров или списка всех задач. |
| Microsoft. ContainerRegistry/registries/tasks/write | Создание или обновление задачи для реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/tasks/delete | Удаление задачи для реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/tasks/listDetails/action | Список всех сведений о задаче для реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/scheduleRun/action | Планирование запуска по реестру контейнеров. |
| Microsoft. ContainerRegistry/registries/listBuildSourceUploadUrl/action | Получение расположения URL-адреса передачи источника для реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/runs/read | Получение свойств выполнения по реестру контейнера или списку запусков. |
| Microsoft. ContainerRegistry/registries/runs/write | Обновление выполнения. |
| Microsoft. ContainerRegistry/registries/runs/listLogSasUrl/action | Получение URL-адреса SAS журнала для выполнения. |
| Microsoft. ContainerRegistry/registries/runs/cancel/action | Отмена существующего выполнения. |
| Microsoft. ContainerRegistry/registries/taskruns/read | Получение цикла выполнения задачи для реестра контейнеров или вывод списка всех циклов выполнения задачи. |
| Microsoft. ContainerRegistry/registries/taskruns/write | Создание или обновление цикла выполнения задачи для реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/taskruns/delete | Удаление цикла выполнения задачи из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/taskruns/listDetails/action | Выводит список всех сведений о выполнении задач для реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/taskruns/operationStatuses/read | Возвращает состояние асинхронной операции запуска задачи |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник конвейера передачи реестра контейнеров
Предоставляет возможность передачи, импорта и экспорта артефактов путем настройки конвейеров передачи реестра, включающих промежуточные учетные записи хранения и хранилища ключей. Не предоставляет разрешения на отправку или извлечение изображений. Не предоставляет разрешения на создание, управление или перечисление учетных записей хранения или хранилищ ключей. Не предоставляет разрешения на выполнение назначений ролей.
| Действия | Описание |
|---|---|
| Microsoft. ContainerRegistry/registries/exportPipelines/read | Получение свойств указанного конвейера экспорта или вывод списка всех конвейеров экспорта для заданного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/exportPipelines/write | Создание или обновление конвейера экспорта для реестра контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/exportPipelines/delete | Удаление конвейера экспорта из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/importPipelines/read | Получение свойств указанного конвейера импорта или вывод списка всех конвейеров импорта для заданного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/importPipelines/write | Создание или обновление конвейера импорта для реестра контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/importPipelines/delete | Удаление конвейера импорта из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/pipelineRuns/read | Получение свойств указанного цикла выполнения конвейера или вывод списка всех циклов выполнения конвейера для заданного реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/pipelineRuns/write | Создание или обновление цикла выполнения конвейера для реестра контейнеров с указанными параметрами. |
| Microsoft. ContainerRegistry/registries/pipelineRuns/delete | Удаление цикла выполнения конвейера из реестра контейнеров. |
| Microsoft. ContainerRegistry/registries/pipelineRuns/operationStatuses/read | Получение состояния асинхронной операции цикла выполнения конвейера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
доступ к API kubernetes Defender
Предоставляет Microsoft Defender for Cloud доступ к службам Kubernetes Azure
| Действия | Описание |
|---|---|
| Microsoft. ContainerService/managedClusters/trustedAccessRoleBindings/write | Создание или обновление привязок ролей доверенного доступа для управляемого кластера |
| Microsoft. ContainerService/managedClusters/trustedAccessRoleBindings/read | Получение привязок ролей доверенного доступа для управляемого кластера |
| Microsoft. ContainerService/managedClusters/trustedAccessRoleBindings/delete | Удаление привязок ролей доверенного доступа для управляемого кластера |
| Microsoft. ContainerService/managedClusters/read | Получение управляемого кластера. |
| Microsoft. Функции/features/read | Возвращает функции подписки. |
| Microsoft. Функции/providers/features/read | Возвращает функцию подписки в заданном поставщике ресурсов. |
| Microsoft. Функции/providers/features/register/action | Регистрирует функцию для подписки в заданном поставщике ресурсов. |
| Microsoft. Безопасность/цен/securityoperator/read | Возвращает операторы безопасности для области |
| Microsoft. Безопасность/securityOperator/read | Возвращает средства безопасности для области |
| Microsoft. Авторизация/policyAssignments/read | Возвращает сведения о назначении политики. |
| Microsoft. Авторизация/policySetDefinitions/read | Получение сведений об определении набора политик. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read",
"Microsoft.Security/securityOperators/read",
"Microsoft.Authorization/policyAssignments/read",
"Microsoft.Authorization/policySetDefinitions/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Defender Kubernetes API Access",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Кластер Kubernetes — подключение Azure Arc
Определение роли, дающее любому пользователю или службе право создавать ресурс connectedClusters.
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Microsoft. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Microsoft. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. Kubernetes/connectedClusters/Write | Записывает connectedClusters. |
| Microsoft. Kubernetes/connectedClusters/read | Считывает connectedClusters. |
| Microsoft. KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft. KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft. KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft. KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Microsoft. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник расширения Kubernetes
Может создавать, обновлять, получать, перечислять и удалять расширения Kubernetes, а также получать асинхронные операции расширений
| Действия | Описание |
|---|---|
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Microsoft. KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Microsoft. KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Microsoft. KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Microsoft. KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Microsoft. KubernetesConfiguration/register/action | Регистрирует подписку для Microsoft. Поставщик ресурсов KubernetesConfiguration. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.KubernetesConfiguration/register/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник кластера Fabric службы
Управление ресурсами кластера Fabric службы. Включает кластеры, типы приложений, версии типов приложений, приложения и службы. Вам потребуются дополнительные разрешения для развертывания базовых ресурсов кластера и управления ими, таких как масштабируемые наборы виртуальных машин, учетные записи хранения, сети и т. д.
| Действия | Описание |
|---|---|
| Microsoft. ServiceFabric/clusters/* | |
| Microsoft. ServiceFabric/operations/read | Чтение доступных операций. |
| Microsoft. ServiceFabric/locations/clusterVersions/read | Чтение любой версии кластера. |
| Microsoft. ServiceFabric/locations/environments/clusterVersions/read | Чтение любой версии кластера для конкретной среды. |
| Microsoft. ServiceFabric/locations/operationresults/read | Чтение результатов операций. |
| Microsoft. ServiceFabric/locations/operations/read | Чтение операций по расположению. |
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого кластера Fabric службы
Развертывание и управление ресурсами управляемого кластера службы Fabric. Включает управляемые кластеры, типы узлов, типы приложений, версии типов приложений, приложения и службы.
| Действия | Описание |
|---|---|
| Microsoft. ServiceFabric/managedclusters/* | |
| Microsoft. ServiceFabric/operations/read | Чтение доступных операций. |
| Microsoft. ServiceFabric/locations/clusterVersions/read | Чтение любой версии кластера. |
| Microsoft. ServiceFabric/locations/environments/clusterVersions/read | Чтение любой версии кластера для конкретной среды. |
| Microsoft. ServiceFabric/locations/operationresults/read | Чтение результатов операций. |
| Microsoft. ServiceFabric/locations/operations/read | Чтение операций по расположению. |
| Microsoft. Авторизация/*/read | Чтение ролей и назначений ролей |
| Microsoft. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Microsoft. Ресурсы/deployments/* | Создание развертывания и управление им |
| Microsoft. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Следующие шаги
- роли Azure Assign с помощью портала Azure