Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены встроенные роли Azure в категории "Контейнеры".
АкрУдалить
Удаление репозиториев, тегов или манифестов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/artifacts/delete | Удаление артефакта в реестре контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Избегайте использования этой роли. Доверие к содержимому в Реестр контейнеров Azure и роли AcrImageSigner устарели и будет полностью удалено 31 марта 2028 года. Дополнительные сведения и рекомендации по переходу см. в статье https://aka.ms/acr/dctdeprecation.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/sign/write | Передача или извлечение метаданных доверия к содержимому для реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerRegistry/registries/trustedCollections/write | Позволяет отправлять или публиковать доверенные коллекции содержимого реестра контейнеров Это похоже на Майкрософт. ContainerRegistry/registries/sign/write action, за исключением того, что это действие данных |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Planned DEPRECATION on March 31, 2028. Grant the signing permission for content trust. As content trust is being deprecated and will be completely removed on March 31, 2028, this role will also be removed. Refer to https://aka.ms/acr/dctdeprecation for details and transition guidance.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
АкрПул
Извлечение артефактов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
АкрПуш
Отправка артефактов в реестр контейнеров или извлечение артефактов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/push/write | Передача или запись образов в реестр контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Извлечение помещенных в карантин образов из реестра контейнеров.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/реестры/карантин/чтение | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Это похоже на Майкрософт. ContainerRegistry/registries/quarantine/read, за исключением того, что это действие данных |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Отправка помещенных в карантин образов в реестр контейнеров или извлечение их из него.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/реестры/карантин/чтение | Извлечение или получение помещенных в карантин образов из реестра контейнеров. |
| Майкрософт. ContainerRegistry/реестры/карантин/запись | Запись и изменение состояния карантина образов, помещенных в карантин. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerRegistry/registries/quarantinedArtifacts/read | Позволяет извлекать или получать артефакты, помещенные на карантин, из реестра контейнеров. Это похоже на Майкрософт. ContainerRegistry/registries/quarantine/read, за исключением того, что это действие данных |
| Майкрософт. ContainerRegistry/registries/quarantinedArtifacts/write | Позволяет записывать или обновлять состояние карантина для артефактов, помещенных на карантин Это похоже на Майкрософт. ContainerRegistry/registries/quarantine/write action, за исключением того, что это действие данных |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль пользователя кластера Kubernetes с поддержкой Azure Arc
Действие вывода учетных данных пользователей кластера.
| Действия | Описание |
|---|---|
| Майкрософт. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Kubernetes/connectedClusters/listClusterUserCredentials/action | Перечисление учетных данных clusterUser (предварительная версия) |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| Майкрософт. Kubernetes/connectedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор Kubernetes Azure Arc
Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. Kubernetes/connectedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. Kubernetes/connectedClusters/apps/daemonsets/* | |
| Майкрософт. Kubernetes/connectedClusters/apps/deployments/* | |
| Майкрософт. Kubernetes/connectedClusters/apps/replicasets/* | |
| Майкрософт. Kubernetes/connectedClusters/apps/statefulsets/* | |
| Майкрософт. Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Записывает localsubjectaccessreviews |
| Майкрософт. Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Майкрософт. Kubernetes/connectedClusters/batch/cronjobs/* | |
| Майкрософт. Kubernetes/connectedClusters/batch/jobs/* | |
| Майкрософт. Kubernetes/connectedClusters/configmaps/* | |
| Майкрософт. Kubernetes/connectedClusters/endpoints/* | |
| Майкрософт. Kubernetes/connectedClusters/events.k8s.io/events/read | Считывает events. |
| Майкрософт. Kubernetes/connectedClusters/events/read | Считывает events. |
| Майкрософт. Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Майкрософт. Kubernetes/connectedClusters/extensions/deployments/* | |
| Майкрософт. Kubernetes/connectedClusters/extensions/ingresses/* | |
| Майкрософт. Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Майкрософт. Kubernetes/connectedClusters/extensions/replicasets/* | |
| Майкрософт. Kubernetes/connectedClusters/limitranges/read | Считывает limitranges. |
| Майкрософт. Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Майкрософт. Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Майкрософт. Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Майкрософт. Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Майкрософт. Kubernetes/connectedClusters/pods/* | |
| Майкрософт. Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Майкрософт. Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Майкрософт. Kubernetes/connectedClusters/rbac.authorization.k8s.io/role/* | |
| Майкрософт. Kubernetes/connectedClusters/replicationcontrollers/* | |
| Майкрософт. Kubernetes/connectedClusters/replicationcontrollers/* | |
| Майкрософт. Kubernetes/connectedClusters/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. Kubernetes/connectedClusters/secret/* | |
| Майкрософт. Kubernetes/connectedClusters/serviceaccounts/* | |
| Майкрософт. Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор кластера Kubernetes Azure Arc
Позволяет управлять всеми ресурсами в кластере.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. Kubernetes/connectedClusters/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
средство просмотра kubernetes Azure Arc
Позволяет просматривать все ресурсы в кластере или пространстве имен, за исключением секретов.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. Kubernetes/connectedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. Kubernetes/connectedClusters/apps/daemonsets/read | Считывает daemonsets. |
| Майкрософт. Kubernetes/connectedClusters/apps/deployments/read | Считывает deployments. |
| Майкрософт. Kubernetes/connectedClusters/apps/replicasets/read | Считывает replicasets. |
| Майкрософт. Kubernetes/connectedClusters/apps/statefulsets/read | Считывает statefulsets. |
| Майкрософт. Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Майкрософт. Kubernetes/connectedClusters/batch/cronjobs/read | Считывает cronjobs. |
| Майкрософт. Kubernetes/connectedClusters/batch/jobs/read | Считывает jobs. |
| Майкрософт. Kubernetes/connectedClusters/configmaps/read | Считывает configmaps. |
| Майкрософт. Kubernetes/connectedClusters/endpoints/read | Считывает endpoints. |
| Майкрософт. Kubernetes/connectedClusters/events.k8s.io/events/read | Считывает events. |
| Майкрософт. Kubernetes/connectedClusters/events/read | Считывает events. |
| Майкрософт. Kubernetes/connectedClusters/extensions/daemonsets/read | Считывает daemonsets. |
| Майкрософт. Kubernetes/connectedClusters/extensions/deployments/read | Считывает deployments. |
| Майкрософт. Kubernetes/connectedClusters/extensions/ingresses/read | Считывает ingresses. |
| Майкрософт. Kubernetes/connectedClusters/extensions/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. Kubernetes/connectedClusters/extensions/replicasets/read | Считывает replicasets. |
| Майкрософт. Kubernetes/connectedClusters/limitranges/read | Считывает limitranges. |
| Майкрософт. Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Майкрософт. Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Майкрософт. Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. Kubernetes/connectedClusters/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Майкрософт. Kubernetes/connectedClusters/pods/read | Считывает pods. |
| Майкрософт. Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Майкрософт. Kubernetes/connectedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Майкрософт. Kubernetes/connectedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Майкрософт. Kubernetes/connectedClusters/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. Kubernetes/connectedClusters/serviceaccounts/read | Считывает serviceaccounts. |
| Майкрософт. Kubernetes/connectedClusters/services/read | Считывает services. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc модуль записи Kubernetes
Позволяет обновлять все объекты в кластере или пространстве имен, кроме ролей (кластера) и привязок ролей (кластера).
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. Kubernetes/connectedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. Kubernetes/connectedClusters/apps/daemonsets/* | |
| Майкрософт. Kubernetes/connectedClusters/apps/deployments/* | |
| Майкрософт. Kubernetes/connectedClusters/apps/replicasets/* | |
| Майкрософт. Kubernetes/connectedClusters/apps/statefulsets/* | |
| Майкрософт. Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Майкрософт. Kubernetes/connectedClusters/batch/cronjobs/* | |
| Майкрософт. Kubernetes/connectedClusters/batch/jobs/* | |
| Майкрософт. Kubernetes/connectedClusters/configmaps/* | |
| Майкрософт. Kubernetes/connectedClusters/endpoints/* | |
| Майкрософт. Kubernetes/connectedClusters/events.k8s.io/events/read | Считывает events. |
| Майкрософт. Kubernetes/connectedClusters/events/read | Считывает events. |
| Майкрософт. Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Майкрософт. Kubernetes/connectedClusters/extensions/deployments/* | |
| Майкрософт. Kubernetes/connectedClusters/extensions/ingresses/* | |
| Майкрософт. Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Майкрософт. Kubernetes/connectedClusters/extensions/replicasets/* | |
| Майкрософт. Kubernetes/connectedClusters/limitranges/read | Считывает limitranges. |
| Майкрософт. Kubernetes/connectedClusters/namespaces/read | Считывает namespaces. |
| Майкрософт. Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Майкрософт. Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Майкрософт. Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Майкрософт. Kubernetes/connectedClusters/pods/* | |
| Майкрософт. Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Майкрософт. Kubernetes/connectedClusters/replicationcontrollers/* | |
| Майкрософт. Kubernetes/connectedClusters/replicationcontrollers/* | |
| Майкрософт. Kubernetes/connectedClusters/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. Kubernetes/connectedClusters/secret/* | |
| Майкрософт. Kubernetes/connectedClusters/serviceaccounts/* | |
| Майкрософт. Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Роль участника Экземпляры контейнеров Azure
Предоставляет доступ на чтение и запись к группам контейнеров, предоставляемым Экземпляры контейнеров Azure
| Действия | Описание |
|---|---|
| Майкрософт. ContainerInstance/containerGroups/* | Создание групп контейнеров и управление ими |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to container groups provided by Azure Container Instances",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"name": "5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"permissions": [
{
"actions": [
"Microsoft.ContainerInstance/containerGroups/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Instances Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
участник хранилища контейнеров Azure
Установите Azure хранилище контейнеров и управляйте ресурсами хранилища. Включает условие ABAC для ограничения назначений ролей.
| Действия | Описание |
|---|---|
| Майкрософт. KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Майкрософт. KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Майкрософт. KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Майкрософт. KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Управление/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Действия | |
| Майкрософт. Авторизация/roleAssignments/write | Создает назначение роли в указанной области. |
| Майкрософт. Авторизация/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Условие | |
| ((! (ActionMatches{'Майкрософт. Authorization/roleAssignments/write'}) OR (@Request[Майкрософт. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85ddd25dd251b4d619}) AND (!( ActionMatches{'Майкрософт. Authorization/roleAssignments/delete'}) OR (@Resource[Майкрософт. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85ddd251b4d619})) | Добавьте или удалите назначения ролей для следующих ролей: Оператор хранилища контейнеров Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор хранилища контейнеров Azure
Включите управляемое удостоверение для выполнения Azure операций хранилища контейнеров, таких как управление виртуальными машинами и управление виртуальными сетями.
| Действия | Описание |
|---|---|
| Майкрософт. ElasticSan/elasticSans/* | |
| Майкрософт. ElasticSan/locations/asyncoperations/read | Опрашивает состояние асинхронной операции. |
| Майкрософт. Сеть/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Майкрософт. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Майкрософт. Сеть/virtualNetworks/write | Создает новую виртуальную сеть или обновляет существующую. |
| Майкрософт. Network/virtualNetworks/delete | Удаляет виртуальную сеть. |
| Майкрософт. Сеть/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Майкрософт. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Майкрософт. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Майкрософт. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| Майкрософт. Вычисления/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Майкрософт. Вычисления/virtualMachineScaleSets/read | Получение свойств масштабируемого набора виртуальных машин. |
| Майкрософт. Вычисления/virtualMachineScaleSets/write | Создание нового масштабируемого набора виртуальных машин или обновление существующего. |
| Майкрософт. Вычисления/virtualMachineScaleSets/virtualMachines/write | Обновление свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Майкрософт. Вычисления/virtualMachineScaleSets/virtualMachines/read | Извлекает свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Майкрософт. Ресурсы/subscriptions/providers/read | Возвращает поставщики ресурсов или выводит их список. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
владелец хранилища контейнеров Azure
Установите Azure хранилище контейнеров, предо Azure ставьте доступ к ресурсам хранилища и настройте сеть эластичных хранилищ (SAN). Включает условие ABAC для ограничения назначений ролей.
| Действия | Описание |
|---|---|
| Майкрософт. ElasticSan/elasticSans/* | |
| Майкрософт. ElasticSan/locations/* | |
| Майкрософт. ElasticSan/elasticSans/volumeGroups/* | |
| Майкрософт. ElasticSan/elasticSans/volumeGroups/volumeGroups/volumes/* | |
| Майкрософт. ElasticSan/locations/asyncoperations/read | Опрашивает состояние асинхронной операции. |
| Майкрософт. KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Майкрософт. KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Майкрософт. KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Майкрософт. KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Управление/managementGroups/read | Вывод списка групп управления для пользователя, прошедшего проверку подлинности. |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Действия | |
| Майкрософт. Авторизация/roleAssignments/write | Создает назначение роли в указанной области. |
| Майкрософт. Авторизация/roleAssignments/delete | Здесь описывается удаление назначения роли в указанной области. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой | |
| Условие | |
| ((! (ActionMatches{'Майкрософт. Authorization/roleAssignments/write'}) OR (@Request[Майкрософт. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85ddd25dd251b4d619}) AND (!( ActionMatches{'Майкрософт. Authorization/roleAssignments/delete'}) OR (@Resource[Майкрософт. Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85ddd251b4d619})) | Добавьте или удалите назначения ролей для следующих ролей: Оператор хранилища контейнеров Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль участника Kubernetes Fleet Manager Azure
Предоставляет доступ на чтение и запись к ресурсам Azure, предоставляемым Azure диспетчером флотов Kubernetes, включая флоты, членов флота, стратегии обновления флота, запуски обновлений флота и т. д.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerService/fleets/* | |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. ContainerService/fleetMemberships/* | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*",
"Microsoft.ContainerService/fleetMemberships/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль агента центра диспетчера флота Kubernetes Azure
Предоставляет доступ к Azure ресурсам, необходимым для Azure агентов центра Kubernetes Fleet Manager.
| Действия | Описание |
|---|---|
| Майкрософт. Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Майкрософт. Network/trafficManagerProfiles/read | Возвращает конфигурацию профиля диспетчера трафика. Он содержит параметры DNS, параметры маршрутизации трафика, параметры отслеживания конечных точек, а также список конечных точек, маршрутизируемых данным профилем диспетчера трафика. |
| Майкрософт. Network/trafficManagerProfiles/write | Создает профиль диспетчера трафика или изменяет конфигурацию существующего профиля диспетчера трафика. Сюда входит включение или отключение профиля и изменение параметров DNS, параметров маршрутизации трафика или параметров мониторинга конечных точек. Конечные точки, маршрутизируемые с помощью профиля диспетчера трафика, можно добавлять, удалять, включать и отключать. |
| Майкрософт. Network/trafficManagerProfiles/delete | Удаляет профиль диспетчера трафика. Будут утрачены все параметры, связанные с профилем диспетчера трафика, и профиль больше не сможет использоваться для маршрутизации трафика. |
| Майкрософт. Network/trafficManagerProfiles/azureEndpoints/read | Возвращает конечную точку Azure, которая принадлежит профилю диспетчера трафика, включая все свойства этой Azure конечной точки. |
| Майкрософт. Network/trafficManagerProfiles/azureEndpoints/write | Добавьте новую конечную точку Azure в существующий профиль диспетчера трафика или обновите свойства существующей конечной точки Azure в этом профиле диспетчера трафика. |
| Майкрософт. Network/trafficManagerProfiles/azureEndpoints/delete | Удаляет конечную точку Azure из существующего профиля диспетчера трафика. Диспетчер трафика остановит маршрутизацию трафика в удаленную конечную точку Azure. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants access to Azure resources needed by Azure Kubernetes Fleet Manager hub agents.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"name": "de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/trafficManagerProfiles/read",
"Microsoft.Network/trafficManagerProfiles/write",
"Microsoft.Network/trafficManagerProfiles/delete",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/read",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/write",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Agent Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure роль пользователя кластера Kubernetes Fleet Manager Hub
Предоставляет доступ на чтение к Azure Диспетчеру флотов Kubernetes, а также файлу конфигурации Kubernetes для подключения к кластеру, управляемому флотом.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| Майкрософт. ContainerService/fleets/read | Получение флота |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read access to Azure Kubernetes Fleet Manager as well as the Kubernetes config file to connect to the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/850c5848-fc51-4a9a-8823-f220370626e3",
"name": "850c5848-fc51-4a9a-8823-f220370626e3",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/listCredentials/action",
"Microsoft.ContainerService/fleets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор RBAC диспетчера Azure Kubernetes
Предоставляет доступ на чтение и запись к ресурсам Kubernetes в пространстве имен в кластере, управляемом флотом, предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerService/fleets/read | Получение флота |
| Майкрософт. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. ContainerService/fleets/apps/daemonsets/* | |
| Майкрософт. ContainerService/fleets/apps/deployments/* | |
| Майкрософт. ContainerService/fleets/apps/statefulsets/* | |
| Майкрософт. ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Записывает localsubjectaccessreviews |
| Майкрософт. ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Майкрософт. ContainerService/fleets/batch/cronjobs/* | |
| Майкрософт. ContainerService/fleets/batch/jobs/* | |
| Майкрософт. ContainerService/fleets/configmaps/* | |
| Майкрософт. ContainerService/fleets/endpoints/* | |
| Майкрософт. ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Майкрософт. ContainerService/fleets/events/read | Считывает events. |
| Майкрософт. ContainerService/fleets/extensions/daemonsets/* | |
| Майкрософт. ContainerService/fleets/extensions/deployments/* | |
| Майкрософт. ContainerService/fleets/extensions/ingresses/* | |
| Майкрософт. ContainerService/fleets/extensions/networkpolicies/* | |
| Майкрософт. ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Майкрософт. ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Майкрософт. ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Майкрософт. ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Майкрософт. ContainerService/fleets/persistentvolumeclaims/* | |
| Майкрософт. ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Майкрософт. ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Майкрософт. ContainerService/fleets/rbac.authorization.k8s.io/role/* | |
| Майкрософт. ContainerService/fleets/replicationcontrollers/* | |
| Майкрософт. ContainerService/fleets/replicationcontrollers/* | |
| Майкрософт. ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. ContainerService/fleets/secret/* | |
| Майкрософт. ContainerService/fleets/serviceaccounts/* | |
| Майкрософт. ContainerService/fleets/services/* | |
| Майкрософт. ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Администратор RBAC диспетчера парка Kubernetes для кластеров членов
Эта роль предоставляет администратору доступ— предоставляет разрешения на запись для большинства объектов в пространстве имен, за исключением объекта ResourceQuota и самого объекта пространства имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/fleets/members/* | |
| NotDataActions | |
| Майкрософт. ContainerService/fleets/members/resourcequotas/write | Записывает resourcequotas. |
| Майкрософт. ContainerService/fleets/members/resourcequotas/delete | Удаляет resourcequotas. |
| Майкрософт. ContainerService/fleets/members/namespaces/write | Записывает namespaces. |
| Майкрософт. ContainerService/fleets/members/namespaces/delete | Удаляет namespaces. |
{
"assignableScopes": [
"/"
],
"description": "This role grants admin access - provides write permissions on most objects within a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d1f699ed-700a-4c77-a22f-29890ac7b115",
"name": "d1f699ed-700a-4c77-a22f-29890ac7b115",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/resourcequotas/write",
"Microsoft.ContainerService/fleets/members/resourcequotas/delete",
"Microsoft.ContainerService/fleets/members/namespaces/write",
"Microsoft.ContainerService/fleets/members/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Администратор кластера Kubernetes Fleet Manager RBAC
Предоставляет доступ на чтение и запись ко всем ресурсам Kubernetes в кластере, управляемом флотом.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerService/fleets/read | Получение флота |
| Майкрософт. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/fleets/* | |
| NotDataActions | |
| Майкрософт. ContainerService/fleets/members/* |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/*"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure администратор кластера Kubernetes RBAC для кластеров членов
Позволяет управлять всеми ресурсами в кластерах-членах в флоте.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/fleets/members/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the member clusters in the fleet.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"name": "79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure читатель Kubernetes Fleet Manager RBAC
Предоставляет доступ только для чтения к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerService/fleets/read | Получение флота |
| Майкрософт. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. ContainerService/fleets/apps/daemonsets/read | Считывает daemonsets. |
| Майкрософт. ContainerService/fleets/apps/deployments/read | Считывает deployments. |
| Майкрософт. ContainerService/fleets/apps/statefulsets/read | Считывает statefulsets. |
| Майкрософт. ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Майкрософт. ContainerService/fleets/batch/cronjobs/read | Считывает cronjobs. |
| Майкрософт. ContainerService/fleets/batch/jobs/read | Считывает jobs. |
| Майкрософт. ContainerService/fleets/configmaps/read | Считывает configmaps. |
| Майкрософт. ContainerService/fleets/endpoints/read | Считывает endpoints. |
| Майкрософт. ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Майкрософт. ContainerService/fleets/events/read | Считывает events. |
| Майкрософт. ContainerService/fleets/extensions/daemonsets/read | Считывает daemonsets. |
| Майкрософт. ContainerService/fleets/extensions/deployments/read | Считывает deployments. |
| Майкрософт. ContainerService/fleets/extensions/ingresses/read | Считывает ingresses. |
| Майкрософт. ContainerService/fleets/extensions/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Майкрософт. ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Майкрософт. ContainerService/fleets/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Майкрософт. ContainerService/fleets/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. ContainerService/fleets/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Майкрософт. ContainerService/fleets/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Майкрософт. ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Майкрософт. ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Майкрософт. ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. ContainerService/fleets/serviceaccounts/read | Считывает serviceaccounts. |
| Майкрософт. ContainerService/fleets/services/read | Считывает services. |
| Майкрософт. ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Чтение ресурса resourceoverride для автопарка |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure средство чтения RBAC диспетчера парка Kubernetes для кластеров членов
Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/fleets/members/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. ContainerService/fleets/members/apps/daemonsets/read | Считывает daemonsets. |
| Майкрософт. ContainerService/fleets/members/apps/deployments/read | Считывает deployments. |
| Майкрософт. ContainerService/fleets/members/apps/replicasets/read | Считывает replicasets. |
| Майкрософт. ContainerService/fleets/members/apps/statefulsets/read | Считывает statefulsets. |
| Майкрософт. ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Майкрософт. ContainerService/fleets/members/batch/cronjobs/read | Считывает cronjobs. |
| Майкрософт. ContainerService/fleets/members/batch/jobs/read | Считывает jobs. |
| Майкрософт. ContainerService/fleets/members/configmaps/read | Считывает configmaps. |
| Майкрософт. ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Майкрософт. ContainerService/fleets/members/endpoints/read | Считывает endpoints. |
| Майкрософт. ContainerService/fleets/members/events.k8s.io/events/read | Считывает events. |
| Майкрософт. ContainerService/fleets/members/events/read | Считывает events. |
| Майкрософт. ContainerService/fleets/members/extensions/daemonsets/read | Считывает daemonsets. |
| Майкрософт. ContainerService/fleets/members/extensions/deployments/read | Считывает deployments. |
| Майкрософт. ContainerService/fleets/members/extensions/ingresses/read | Считывает ingresses. |
| Майкрософт. ContainerService/fleets/members/extensions/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. ContainerService/fleets/members/extensions/replicasets/read | Считывает replicasets. |
| Майкрософт. ContainerService/fleets/members/limitranges/read | Считывает limitranges. |
| Майкрософт. ContainerService/fleets/members/metrics.k8s.io/pods/read | Считывает pods. |
| Майкрософт. ContainerService/fleets/members/metrics.k8s.io/nodes/read | Считывает nodes |
| Майкрософт. ContainerService/fleets/members/namespaces/read | Считывает namespaces. |
| Майкрософт. ContainerService/fleets/members/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Майкрософт. ContainerService/fleets/members/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. ContainerService/fleets/members/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Майкрософт. ContainerService/fleets/members/pods/read | Считывает pods. |
| Майкрософт. ContainerService/fleets/members/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Майкрософт. ContainerService/fleets/members/replicationcontrollers/read | Считывает replicationcontrollers. |
| Майкрософт. ContainerService/fleets/members/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. ContainerService/fleets/members/serviceaccounts/read | Считывает serviceaccounts. |
| Майкрософт. ContainerService/fleets/members/services/read | Считывает services. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/463ad26c-fcce-4469-9c7f-5653d8acbab5",
"name": "463ad26c-fcce-4469-9c7f-5653d8acbab5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/members/apps/deployments/read",
"Microsoft.ContainerService/fleets/members/apps/replicasets/read",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/read",
"Microsoft.ContainerService/fleets/members/configmaps/read",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/endpoints/read",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/read",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/members/extensions/deployments/read",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/read",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/members/pods/read",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/serviceaccounts/read",
"Microsoft.ContainerService/fleets/members/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC Writer
Предоставляет доступ на чтение и запись к большинству ресурсов Kubernetes в пространстве имен в кластере, управляемом флотом. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получать доступ к секретам в качестве любого ServiceAccount в пространстве имен, поэтому его можно использовать для получения уровней доступа к API любого ServiceAccount в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerService/fleets/read | Получение флота |
| Майкрософт. ContainerService/fleets/listCredentials/action | Вывод списка учетных данных парка |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/fleets/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. ContainerService/fleets/apps/daemonsets/read | Считывает daemonsets. |
| Майкрософт. ContainerService/fleets/apps/daemonsets/write | Записывает daemonset |
| Майкрософт. ContainerService/fleets/apps/deployments/read | Считывает deployments. |
| Майкрософт. ContainerService/fleets/apps/deployments/write | Записывает deployments |
| Майкрософт. ContainerService/fleets/apps/statefulsets/read | Считывает statefulsets. |
| Майкрософт. ContainerService/fleets/apps/statefulsets/write | Записывает statefulsets |
| Майкрософт. ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Майкрософт. ContainerService/fleets/autoscaling/horizontalpodautoscalers/write | Записывает horizontalpodautoscalers |
| Майкрософт. ContainerService/fleets/batch/cronjobs/read | Считывает cronjobs. |
| Майкрософт. ContainerService/fleets/batch/cronjobs/write | Записывает cronjobs |
| Майкрософт. ContainerService/fleets/batch/jobs/read | Считывает jobs. |
| Майкрософт. ContainerService/fleets/batch/jobs/write | Записывает jobs |
| Майкрософт. ContainerService/fleets/configmaps/read | Считывает configmaps. |
| Майкрософт. ContainerService/fleets/configmaps/write | Записывает configmaps |
| Майкрософт. ContainerService/fleets/endpoints/read | Считывает endpoints. |
| Майкрософт. ContainerService/fleets/endpoints/write | Записывает endpoints |
| Майкрософт. ContainerService/fleets/events.k8s.io/events/read | Считывает events. |
| Майкрософт. ContainerService/fleets/events/read | Считывает events. |
| Майкрософт. ContainerService/fleets/extensions/daemonsets/read | Считывает daemonsets. |
| Майкрософт. ContainerService/fleets/extensions/daemonsets/write | Записывает daemonset |
| Майкрософт. ContainerService/fleets/extensions/deployments/read | Считывает deployments. |
| Майкрософт. ContainerService/fleets/extensions/deployments/write | Записывает deployments |
| Майкрософт. ContainerService/fleets/extensions/ingresses/read | Считывает ingresses. |
| Майкрософт. ContainerService/fleets/extensions/ingresses/write | Записывает ingresses |
| Майкрософт. ContainerService/fleets/extensions/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. ContainerService/fleets/extensions/networkpolicies/write | Записывает networkpolicies |
| Майкрософт. ContainerService/fleets/limitranges/read | Считывает limitranges. |
| Майкрософт. ContainerService/fleets/namespaces/read | Считывает namespaces. |
| Майкрософт. ContainerService/fleets/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Майкрософт. ContainerService/fleets/networking.k8s.io/ingresses/write | Записывает ingresses |
| Майкрософт. ContainerService/fleets/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. ContainerService/fleets/networking.k8s.io/networkpolicies/write | Записывает networkpolicies |
| Майкрософт. ContainerService/fleets/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Майкрософт. ContainerService/fleets/persistentvolumeclaims/write | Записывает persistentvolumeclaims |
| Майкрософт. ContainerService/fleets/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Майкрософт. ContainerService/fleets/policy/poddisruptionbudgets/write | Записывает poddisruptionbudgets |
| Майкрософт. ContainerService/fleets/replicationcontrollers/read | Считывает replicationcontrollers. |
| Майкрософт. ContainerService/fleets/replicationcontrollers/write | Записывает replicationcontrollers |
| Майкрософт. ContainerService/fleets/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. ContainerService/fleets/secret/read | Считывает secrets |
| Майкрософт. ContainerService/fleets/secret/write | Записывает secrets |
| Майкрософт. ContainerService/fleets/serviceaccounts/read | Считывает serviceaccounts. |
| Майкрософт. ContainerService/fleets/serviceaccounts/write | Записывает serviceaccounts |
| Майкрософт. ContainerService/fleets/services/read | Считывает services. |
| Майкрософт. ContainerService/fleets/services/write | Записывает services |
| Майкрософт. ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Чтение ресурса внутренних мемберкластеров парка |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Чтение ресурса resourceoverride для автопарка |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | Запись ресурса resourceoverride парка |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Чтение ресурса fleetoverridesnapshot |
| Майкрософт. ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Чтение рабочего ресурса парка |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure модуль записи RBAC диспетчера парка Kubernetes для кластеров членов
Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/fleets/members/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. ContainerService/fleets/members/apps/daemonsets/* | |
| Майкрософт. ContainerService/fleets/members/apps/deployments/* | |
| Майкрософт. ContainerService/fleets/members/apps/replicasets/* | |
| Майкрософт. ContainerService/fleets/members/apps/statefulsets/* | |
| Майкрософт. ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/* | |
| Майкрософт. ContainerService/fleets/members/batch/cronjobs/* | |
| Майкрософт. ContainerService/fleets/members/coordination.k8s.io/leases/read | Считывает leases |
| Майкрософт. ContainerService/fleets/members/coordination.k8s.io/leases/write | Записывает leases |
| Майкрософт. ContainerService/fleets/members/coordination.k8s.io/leases/delete | Удаляет leases |
| Майкрософт. ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Майкрософт. ContainerService/fleets/members/batch/jobs/* | |
| Майкрософт. ContainerService/fleets/members/configmaps/* | |
| Майкрософт. ContainerService/fleets/members/endpoints/* | |
| Майкрософт. ContainerService/fleets/members/events.k8s.io/events/read | Считывает events. |
| Майкрософт. ContainerService/fleets/members/events/* | |
| Майкрософт. ContainerService/fleets/members/extensions/daemonsets/* | |
| Майкрософт. ContainerService/fleets/members/extensions/deployments/* | |
| Майкрософт. ContainerService/fleets/members/extensions/ingresses/* | |
| Майкрософт. ContainerService/fleets/members/extensions/networkpolicies/* | |
| Майкрософт. ContainerService/fleets/members/extensions/replicasets/* | |
| Майкрософт. ContainerService/fleets/members/limitranges/read | Считывает limitranges. |
| Майкрософт. ContainerService/fleets/members/metrics.k8s.io/pods/read | Считывает pods. |
| Майкрософт. ContainerService/fleets/members/metrics.k8s.io/nodes/read | Считывает nodes |
| Майкрософт. ContainerService/fleets/members/namespaces/read | Считывает namespaces. |
| Майкрософт. ContainerService/fleets/members/networking.k8s.io/ingresses/* | |
| Майкрософт. ContainerService/fleets/members/networking.k8s.io/networkpolicies/* | |
| Майкрософт. ContainerService/fleets/members/persistentvolumeclaims/* | |
| Майкрософт. ContainerService/fleets/members/pods/* | |
| Майкрософт. ContainerService/fleets/members/policy/poddisruptionbudgets/* | |
| Майкрософт. ContainerService/fleets/members/replicationcontrollers/* | |
| Майкрософт. ContainerService/fleets/members/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. ContainerService/fleets/members/secret/* | |
| Майкрософт. ContainerService/fleets/members/serviceaccounts/* | |
| Майкрософт. ContainerService/fleets/members/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/50346970-0998-40f2-b47d-f3b8809840f8",
"name": "50346970-0998-40f2-b47d-f3b8809840f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/members/apps/deployments/*",
"Microsoft.ContainerService/fleets/members/apps/replicasets/*",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/*",
"Microsoft.ContainerService/fleets/members/configmaps/*",
"Microsoft.ContainerService/fleets/members/endpoints/*",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/*",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/members/extensions/deployments/*",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/*",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/members/pods/*",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/secrets/*",
"Microsoft.ContainerService/fleets/members/serviceaccounts/*",
"Microsoft.ContainerService/fleets/members/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль администратора кластера Arc Служба Azure Kubernetes
Список действий, выполненных с помощью учетных данных администратора кластера.
| Действия | Описание |
|---|---|
| Майкрософт. HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Майкрософт. HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | Выводит учетные данные администратора подготовленного экземпляра кластера, используемого только в прямом режиме. |
| Майкрософт. Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль пользователя кластера Arc Служба Azure Kubernetes
Список действий, выполненных с помощью учетных данных пользователя кластера.
| Действия | Описание |
|---|---|
| Майкрософт. HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Майкрософт. HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | Выводит учетные данные пользователя AAD для подготовленного экземпляра кластера, используемого только в прямом режиме. |
| Майкрософт. Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль участника Служба Azure Kubernetes Arc
Предоставляет доступ к гибридным кластерам Служб Kubernetes для чтения и Azure записи
| Действия | Описание |
|---|---|
| Майкрософт. HybridContainerService/Locations/operationStatuses/read | операции чтенияStatuses |
| Майкрософт. HybridContainerService/Locations/operationStatuses/write | операции записиStatuses |
| Майкрософт. HybridContainerService/Operations/read | Операции чтения |
| Майкрософт. HybridContainerService/kubernetesVersions/read | Список поддерживаемых версий Kubernetes из базового пользовательского расположения |
| Майкрософт. HybridContainerService/kubernetesVersions/write | Помещает тип ресурса версии Kubernetes |
| Майкрософт. HybridContainerService/kubernetesVersions/delete | Удаление типа ресурса версий Kubernetes |
| Майкрософт. HybridContainerService/provisionedClusterInstances/read | Возвращает экземпляры подготовленного гибридного кластера AKS, связанные с подключенным кластером. |
| Майкрософт. HybridContainerService/provisionedClusterInstances/write | Создает экземпляр подготовленного гибридного кластера AKS |
| Майкрософт. HybridContainerService/provisionedClusterInstances/delete | Удаляет экземпляр подготовленного гибридного кластера AKS |
| Майкрософт. HybridContainerService/provisionedClusterInstances/agentPools/read | Возвращает пулы агентов в экземпляре подготовленного гибридного кластера AKS. |
| Майкрософт. HybridContainerService/provisionedClusterInstances/agentPools/write | Обновляет пул агентов в экземпляре подготовленного гибридного кластера AKS. |
| Майкрософт. HybridContainerService/provisionedClusterInstances/agentPools/delete | Удаляет пул агентов в экземпляре подготовленного гибридного кластера AKS. |
| Майкрософт. HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | чтение обновленийProfiles |
| Майкрософт. HybridContainerService/skus/read | Перечисляет поддерживаемые номера SKU виртуальных машин из базового настраиваемого расположения. |
| Майкрософт. HybridContainerService/skus/write | Помещает тип ресурса SKU виртуальной машины |
| Майкрософт. HybridContainerService/skus/delete | Удаляет тип ресурса SKU виртуальной машины |
| Майкрософт. HybridContainerService/virtualNetworks/read | Список гибридных виртуальных сетей AKS по подписке |
| Майкрософт. HybridContainerService/virtualNetworks/write | Исправление гибридной виртуальной сети AKS |
| Майкрософт. HybridContainerService/virtualNetworks/delete | Удаляет виртуальную сеть Hybrid AKS |
| Майкрософт. ExtendedLocation/customLocations/deploy/action | Развертывание разрешений в ресурсе пользовательского расположения |
| Майкрософт. ExtendedLocation/customLocations/read | Возвращает ресурс пользовательского расположения |
| Майкрософт. Kubernetes/connectedClusters/Read | Считывает connectedClusters. |
| Майкрософт. Kubernetes/connectedClusters/Write | Записывает connectedClusters. |
| Майкрософт. Kubernetes/connectedClusters/Delete | Удаляет connectedClusters. |
| Майкрософт. Kubernetes/connectedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser |
| Майкрософт. AzureStackHCI/clusters/read | Возвращает кластеры |
| Майкрософт. Ресурсы/deployments/read | Возвращает развернутые службы или выводит их список. |
| Майкрософт. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Майкрософт. Ресурсы/deployments/delete | Удаляет развертывание. |
| Майкрософт. Ресурсы/deployments/cancel/action | Отменяет развертывание. |
| Майкрософт. Ресурсы/deployments/validate/action | Проверяет развертывание. |
| Майкрософт. Ресурсы/deployments/whatIf/action | Прогнозирует изменения в развертывании шаблона. |
| Майкрософт. Ресурсы/deployments/exportTemplate/action | Экспорт шаблона для развертывания |
| Майкрософт. Ресурсы/deployments/operations/read | Возвращает операции развертывания или выводит их список. |
| Майкрософт. Ресурсы/deployments/operationstatuses/read | Возвращает состояния операций развертывания или выводит их список. |
| Майкрософт. HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete | Удаляет прокси-ресурс метаданных гибридного удостоверения. |
| Майкрософт. HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write | Создает прокси-ресурс метаданных гибридной идентификации, который упрощает подготовку управляемых удостоверений. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Locations/operationStatuses/write",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль администратора кластера Служба Azure Kubernetes
Список действий, выполненных с помощью учетных данных администратора кластера.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerService/managedClusters/listClusterAdminCredential/action | Перечисляет учетные данные clusterAdmin управляемого кластера. |
| Майкрософт. ContainerService/managedClusters/accessProfiles/listCredential/action | Получение профиля доступа управляемого кластера по имени роли с помощью вывода учетных данных. |
| Майкрософт. ContainerService/managedClusters/read | Получение управляемого кластера. |
| Майкрософт. ContainerService/managedClusters/runcommand/action | Выполняет команду, выданную пользователем, на управляемом сервере kubernetes. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
пользователь мониторинга кластера Служба Azure Kubernetes
Действие учетных данных пользователя мониторинга кластера.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Перечисляет учетные данные clusterMonitoringUser управляемого кластера. |
| Майкрософт. ContainerService/managedClusters/read | Получение управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль пользователя кластера Служба Azure Kubernetes
Список действий, выполненных с помощью учетных данных пользователя кластера.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| Майкрософт. ContainerService/managedClusters/read | Получение управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
роль участника Служба Azure Kubernetes
Предоставляет доступ к кластерам чтения и записи Служба Azure Kubernetes
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. ContainerService/locations/* | Чтение расположений, доступных для ресурсов ContainerService |
| Майкрософт. ContainerService/managedClusters/* | Создание управляемого кластера и управление ими |
| Майкрософт. ContainerService/managedclustersnapshots/* | Создание моментального снимка управляемого кластера и управление ими |
| Майкрософт. ContainerService/snapshots/* | Создание моментального снимка и управление ими |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerService/deploymentSafeguards/* | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/deploymentSafeguards/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник пространства имен Служба Azure Kubernetes
Позволяет пользователям создавать ресурсы пространства имен и управлять ими Служба Azure Kubernetes.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerService/managedClusters/managedNamespaces/* | Создание пространств имен и управление ими |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows users to create and manage Azure Kubernetes Service namespace resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/289d8817-ee69-43f1-a0af-43a45505b488",
"name": "289d8817-ee69-43f1-a0af-43a45505b488",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Пользователь пространства имен Служба Azure Kubernetes
Позволяет пользователям считывать ресурсы пространства имен Служба Azure Kubernetes. Для дальнейшего доступа к пространству имен в кластере требуется назначение ролей Служба Azure Kubernetes RBAC ресурсу пространства имен для кластера с поддержкой Entra ID.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerService/managedClusters/managedNamespaces/read | Получение управляемого пространства имен управляемого кластера |
| Майкрософт. ContainerService/managedClusters/managedNamespaces/listCredential/action | Вывод списка учетных данных кластера управляемого пространства имен |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows users to read Azure Kubernetes Service namespace resources. In-cluster namespace access further requires assignment of Azure Kubernetes Service RBAC roles to the namespace resource for an Entra ID enabled cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"name": "c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/managedNamespaces/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор RBAC Служба Azure Kubernetes
Позволяет управлять всеми ресурсами в кластере или пространстве имен, за исключением изменения или удаления квот ресурсов и пространств имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/managedClusters/* | |
| NotDataActions | |
| Майкрософт. ContainerService/managedClusters/resourcequotas/write | Записывает resourcequotas. |
| Майкрософт. ContainerService/managedClusters/resourcequotas/delete | Удаляет resourcequotas. |
| Майкрософт. ContainerService/managedClusters/namespaces/write | Записывает namespaces. |
| Майкрософт. ContainerService/managedClusters/namespaces/delete | Удаляет namespaces. |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
администратор кластера RBAC Служба Azure Kubernetes
Позволяет управлять всеми ресурсами в кластере.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerService/managedClusters/listClusterUserCredential/action | Перечисляет учетные данные clusterUser управляемого кластера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/managedClusters/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
средство чтения RBAC Служба Azure Kubernetes
Разрешает доступ только для чтения, позволяя просматривать большинство объектов в пространстве имен. Не позволяет просматривать роли или привязки ролей. Эта роль не разрешает просмотр секретов, так как чтение содержимого секретов обеспечивает доступ к учетным данным учетной записи службы в пространстве имен. Это позволяет предоставить доступ API как любой учетной записи службы в пространстве имен (форма повышения привилегий). Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. ContainerService/managedClusters/apps/daemonsets/read | Считывает daemonsets. |
| Майкрософт. ContainerService/managedClusters/apps/deployments/read | Считывает deployments. |
| Майкрософт. ContainerService/managedClusters/apps/replicasets/read | Считывает replicasets. |
| Майкрософт. ContainerService/managedClusters/apps/statefulsets/read | Считывает statefulsets. |
| Майкрософт. ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Считывает horizontalpodautoscalers. |
| Майкрософт. ContainerService/managedClusters/batch/cronjobs/read | Считывает cronjobs. |
| Майкрософт. ContainerService/managedClusters/batch/jobs/read | Считывает jobs. |
| Майкрософт. ContainerService/managedClusters/configmaps/read | Считывает configmaps. |
| Майкрософт. ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Майкрософт. ContainerService/managedClusters/endpoints/read | Считывает endpoints. |
| Майкрософт. ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Майкрософт. ContainerService/managedClusters/events/read | Считывает events. |
| Майкрософт. ContainerService/managedClusters/extensions/daemonsets/read | Считывает daemonsets. |
| Майкрософт. ContainerService/managedClusters/extensions/deployments/read | Считывает deployments. |
| Майкрософт. ContainerService/managedClusters/extensions/ingresses/read | Считывает ingresses. |
| Майкрософт. ContainerService/managedClusters/extensions/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. ContainerService/managedClusters/extensions/replicasets/read | Считывает replicasets. |
| Майкрософт. ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Майкрософт. ContainerService/managedClusters/metrics.k8s.io/pods/read | Считывает pods. |
| Майкрософт. ContainerService/managedClusters/metrics.k8s.io/nodes/read | Считывает nodes |
| Майкрософт. ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Майкрософт. ContainerService/managedClusters/networking.k8s.io/ingresses/read | Считывает ingresses. |
| Майкрософт. ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Считывает networkpolicies. |
| Майкрософт. ContainerService/managedClusters/persistentvolumeclaims/read | Считывает persistentvolumeclaims. |
| Майкрософт. ContainerService/managedClusters/pods/read | Считывает pods. |
| Майкрософт. ContainerService/managedClusters/policy/poddisruptionbudgets/read | Считывает poddisruptionbudgets. |
| Майкрософт. ContainerService/managedClusters/replicationcontrollers/read | Считывает replicationcontrollers. |
| Майкрософт. ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. ContainerService/managedClusters/serviceaccounts/read | Считывает serviceaccounts. |
| Майкрософт. ContainerService/managedClusters/services/read | Считывает services. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Служба Azure Kubernetes записи RBAC
Разрешает доступ для чтения и записи к большинству объектов в пространстве имен. Эта роль не позволяет просматривать или изменять роли или привязки ролей. Однако эта роль позволяет получить доступ к секретам и запускать поды как любую учетную запись службы в пространстве имен. Поэтому эту роль можно использовать для получения уровней доступа API любой учетной записи службы в пространстве имен. Применение этой роли в области кластера позволяет предоставить доступ ко всем пространствам имен.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerService/managedClusters/apps/controllerrevisions/read | Считывает controllerrevisions. |
| Майкрософт. ContainerService/managedClusters/apps/daemonsets/* | |
| Майкрософт. ContainerService/managedClusters/apps/deployments/* | |
| Майкрософт. ContainerService/managedClusters/apps/replicasets/* | |
| Майкрософт. ContainerService/managedClusters/apps/statefulsets/* | |
| Майкрософт. ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Майкрософт. ContainerService/managedClusters/batch/cronjobs/* | |
| Майкрософт. ContainerService/managedClusters/coordination.k8s.io/leases/read | Считывает leases |
| Майкрософт. ContainerService/managedClusters/coordination.k8s.io/leases/write | Записывает leases |
| Майкрософт. ContainerService/managedClusters/coordination.k8s.io/leases/delete | Удаляет leases |
| Майкрософт. ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Считывает конечные точки |
| Майкрософт. ContainerService/managedClusters/batch/jobs/* | |
| Майкрософт. ContainerService/managedClusters/configmaps/* | |
| Майкрософт. ContainerService/managedClusters/endpoints/* | |
| Майкрософт. ContainerService/managedClusters/events.k8s.io/events/read | Считывает events. |
| Майкрософт. ContainerService/managedClusters/events/* | |
| Майкрософт. ContainerService/managedClusters/extensions/daemonsets/* | |
| Майкрософт. ContainerService/managedClusters/extensions/deployments/* | |
| Майкрософт. ContainerService/managedClusters/extensions/ingresses/* | |
| Майкрософт. ContainerService/managedClusters/extensions/networkpolicies/* | |
| Майкрософт. ContainerService/managedClusters/extensions/replicasets/* | |
| Майкрософт. ContainerService/managedClusters/limitranges/read | Считывает limitranges. |
| Майкрософт. ContainerService/managedClusters/metrics.k8s.io/pods/read | Считывает pods. |
| Майкрософт. ContainerService/managedClusters/metrics.k8s.io/nodes/read | Считывает nodes |
| Майкрософт. ContainerService/managedClusters/namespaces/read | Считывает namespaces. |
| Майкрософт. ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Майкрософт. ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Майкрософт. ContainerService/managedClusters/persistentvolumeclaims/* | |
| Майкрософт. ContainerService/managedClusters/pods/* | |
| Майкрософт. ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Майкрософт. ContainerService/managedClusters/replicationcontrollers/* | |
| Майкрософт. ContainerService/managedClusters/resourcequotas/read | Считывает resourcequotas. |
| Майкрософт. ContainerService/managedClusters/secret/* | |
| Майкрософт. ContainerService/managedClusters/serviceaccounts/* | |
| Майкрософт. ContainerService/managedClusters/services/* | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
диспетчер облачных контроллеров Azure Red Hat OpenShift
Управление и обновление диспетчера облачных контроллеров, развернутых поверх OpenShift.
| Действия | Описание |
|---|---|
| Майкрософт. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| Майкрософт. Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Майкрософт. Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Майкрософт. Network/loadBalancers/write | Создает новую подсистему балансировки нагрузки или обновляет существующую. |
| Майкрософт. Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Майкрософт. Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Майкрософт. Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Майкрософт. Network/networkSecurityGroups/write | Создает новую группу безопасности сети или обновляет существующую. |
| Майкрософт. Network/publicIPAddresses/join/action | Присоединяет общедоступный IP-адрес. Не предусматривает отправку оповещений. |
| Майкрософт. Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Майкрософт. Сеть/publicIPAddresses/write | Создает общедоступный IP-адрес или обновляет существующий общедоступный IP-адрес. |
| Майкрософт. Network/publicIPAddresses/delete | Удаляет общедоступный IP-адрес. |
| Майкрософт. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Майкрософт. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Майкрософт. Network/loadBalancers/inboundNatRules/join/action | Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Майкрософт. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Майкрософт. Сеть/publicIPPrefixes/join/action | Присоединяет префикс общедоступного IP-адреса. Не предусматривает отправку оповещений. |
| Майкрософт. Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Присоединение правила безопасности к группам безопасности приложений. Не предусматривает отправку оповещений. |
| Майкрософт. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Майкрософт. Сеть/privatelinkservices/write | Создает новую службу частной связи или обновляет существующую. |
| Майкрософт. Network/privatelinkservices/read | Получает ресурс службы частной связи. |
| Майкрософт. Сеть/privatelinkservices/delete | Удаляет ресурс службы частной связи. |
| Майкрософт. Network/loadBalancers/loadBalancingRules/read | Возвращает определение правила подсистемы балансировки нагрузки. |
| Майкрософт. Network/serviceEndpointPolicies/join/action | Присоединение политики конечной точки службы. Не предусматривает отправку оповещений. |
| Майкрософт. Сеть/natGateways/join/action | Присоединяет шлюз NAT |
| Майкрософт. Network/networkIntentPolicies/join/action | Присоединяет политику намерений сети Не предусматривает отправку оповещений. |
| Майкрософт. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Майкрософт. Сеть/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Майкрософт. Network/networkManagers/ipamPools/associateResourcesToPool/action | Разрешение действия для связывания ресурсов с пулом Ipam |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage and update the cloud controller manager deployed on top of OpenShift.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a1f96423-95ce-4224-ab27-4e3dc72facd4",
"name": "a1f96423-95ce-4224-ab27-4e3dc72facd4",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/publicIPPrefixes/join/action",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/privatelinkservices/write",
"Microsoft.Network/privatelinkservices/read",
"Microsoft.Network/privatelinkservices/delete",
"Microsoft.Network/loadBalancers/loadBalancingRules/read",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cloud Controller Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор входящего трафика кластера Azure Red Hat OpenShift
Управление маршрутизатором OpenShift и настройка.
| Действия | Описание |
|---|---|
| Майкрософт. Network/dnsZones/A/delete | Удаляет из зоны DNS набор записей типа A с заданным именем. |
| Майкрософт. Network/dnsZones/A/write | Создает или обновляет набор записей типа A в зоне DNS. Указанные записи заменят текущие записи в наборе записей. |
| Майкрософт. Network/privateDnsZones/A/delete | Удалите набор записей заданного имени и введите "A" из зоны Частная зона DNS. |
| Майкрософт. Network/privateDnsZones/A/write | Создайте или обновите набор записей типа "A" в зоне Частная зона DNS. Указанные записи заменят текущие записи в наборе записей. |
| Майкрософт. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Майкрософт. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage and configure the OpenShift router.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0336e1d3-7a87-462b-b6db-342b63f7802c",
"name": "0336e1d3-7a87-462b-b6db-342b63f7802c",
"permissions": [
{
"actions": [
"Microsoft.Network/dnsZones/A/delete",
"Microsoft.Network/dnsZones/A/write",
"Microsoft.Network/privateDnsZones/A/delete",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cluster Ingress Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор Azure Red Hat OpenShift Хранилище дисков
Установите драйверы интерфейса хранилища контейнеров (CSI), позволяющие кластеру использовать диски Azure. Задайте по умолчанию хранилище на уровне кластера OpenShift, чтобы обеспечить наличие класса хранилища по умолчанию для кластеров.
| Действия | Описание |
|---|---|
| Майкрософт. Вычисления/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Майкрософт. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| Майкрософт. Вычисления/virtualMachineScaleSets/virtualMachines/write | Обновление свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Майкрософт. Вычисления/virtualMachineScaleSets/virtualMachines/read | Извлекает свойства виртуальной машины в масштабируемом наборе виртуальных машин. |
| Майкрософт. Вычисления/virtualMachineScaleSets/read | Получение свойств масштабируемого набора виртуальных машин. |
| Майкрософт. Вычисления/snapshots/write | Создает новый моментальный снимок или обновляет существующий. |
| Майкрософт. Вычисления/моментальные снимки/чтение | Возвращает свойства моментального снимка. |
| Майкрософт. Вычисление/snapshots/delete | Удаляет моментальный снимок. |
| Майкрософт. Вычисления/locations/operations/read | Возвращает состояние асинхронной операции. |
| Майкрософт. Вычисления/locations/DiskOperations/read | Получение состояния асинхронной операции диска. |
| Майкрософт. Вычисление/disks/write | Создает новый диск или обновляет существующий. |
| Майкрософт. Вычисление/disks/read | Возвращает свойства диска. |
| Майкрософт. Вычисление/disks/delete | Удаляет диск. |
| Майкрософт. Вычисление/disks/beginGetAccess/action | Возвращает универсальный код ресурса (URI) SAS диска для доступа к большому двоичному объекту. |
| Майкрософт. Вычисления/diskEncryptionSets/read | Получение свойств набора шифрования дисков |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Disks. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b7237c5-45e1-49d6-bc18-a1f62f400748",
"name": "5b7237c5-45e1-49d6-bc18-a1f62f400748",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/DiskOperations/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Disk Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift федеративные учетные данные
Создание, обновление и удаление федеративных учетных данных на назначенных пользователем управляемых удостоверений для создания отношения доверия между управляемым удостоверением, OpenID Connect (OIDC) и учетной записью службы.
| Действия | Описание |
|---|---|
| Майкрософт. ManagedIdentity/userAssignedIdentities/read | Получение существующего пользовательского удостоверения. |
| Майкрософт. ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Добавление или обновление федеративных учетных данных удостоверения |
| Майкрософт. ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Получение или перечисление учетных данных федеративного удостоверения |
| Майкрософт. ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Удаление учетных данных федеративного удостоверения |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Create, update and delete federated credentials on user assigned managed identities in order to build a trust relationship between the managed identity, OpenID Connect (OIDC), and the service account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"name": "ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Federated Credential",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор хранилища файлов Azure Red Hat OpenShift
Установите драйверы интерфейса хранилища контейнеров (CSI), позволяющие кластеру использовать Файлы Azure. Задайте по умолчанию хранилище на уровне кластера OpenShift, чтобы обеспечить наличие класса хранилища по умолчанию для кластеров.
| Действия | Описание |
|---|---|
| Майкрософт. Хранилище/storageAccounts/delete | Удаляет существующую учетную запись хранения. |
| Майкрософт. Storage/storageAccounts/fileServices/read | Получить свойства службы файлов |
| Майкрософт. Хранилище/storageAccounts/fileServices/shares/delete | Удаление общей папки. |
| Майкрософт. Storage/storageAccounts/fileServices/shares/read | Вывод списка общих папок |
| Майкрософт. Хранилище/storageAccounts/fileServices/shares/write | Создание или изменение общей папки. |
| Майкрософт. Хранилище/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Майкрософт. Хранилище/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Майкрософт. Хранилище/storageAccounts/write | Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
| Майкрософт. Хранилище/storageAccounts/PrivateEndpointConnectionsApproval/action | Утверждение подключений к частным конечным точкам |
| Майкрософт. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Майкрософт. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Майкрософт. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Майкрософт. Сеть/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Майкрософт. Сеть/natGateways/join/action | Присоединяет шлюз NAT |
| Майкрософт. Сеть/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Майкрософт. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Майкрософт. Network/privateEndpoints/write | Создает частную конечную точку или обновляет существующую. |
| Майкрософт. Network/networkManagers/ipamPools/associateResourcesToPool/action | Разрешение действия для связывания ресурсов с пулом Ipam |
| Майкрософт. Network/networkIntentPolicies/join/action | Присоединяет политику намерений сети Не предусматривает отправку оповещений. |
| Майкрософт. Network/serviceEndpointPolicies/join/action | Присоединение политики конечной точки службы. Не предусматривает отправку оповещений. |
| Майкрософт. Сеть/locations/operations/read | Возвращает ресурс операции, представляющий состояние асинхронной операции. |
| Майкрософт. Network/privateDnsOperationStatuses/read | Возвращает состояние операции Частная зона DNS |
| Майкрософт. Network/privateDnsZones/read | Получите свойства зоны Частная зона DNS в формате JSON. Обратите внимание, что эта команда не извлекает виртуальные сети, к которым связана зона Частная зона DNS или наборы записей, содержащиеся в зоне. |
| Майкрософт. Network/privateDnsZones/virtualNetworkLinks/read | Получите ссылку Частная зона DNS зоны на свойства виртуальной сети в формате JSON. |
| Майкрософт. Network/privateDnsZones/virtualNetworkLinks/write | Создайте или обновите ссылку Частная зона DNS зоны на виртуальную сеть. |
| Майкрософт. Network/privateDnsZones/write | Создайте или обновите зону Частная зона DNS в группе ресурсов. Обратите внимание, что эту команду невозможно использовать для создания или обновления связей виртуальных сетей или наборов записей в зоне. |
| Майкрософт. Network/privateDnsZones/join/action | Присоединение зоны Частная зона DNS |
| Майкрософт. Network/privateEndpoints/privateDnsZoneGroups/write | Помещает группу зон Частная зона DNS |
| Майкрософт. Network/privateEndpoints/privateDnsZoneGroups/read | Возвращает группу зон Частная зона DNS |
| Майкрософт. Network/privateEndpoints/read | Возвращает ресурс частной конечной точки. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Files. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0d7aedc0-15fd-4a67-a412-efad370c947e",
"name": "0d7aedc0-15fd-4a67-a412-efad370c947e",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/delete",
"Microsoft.Storage/storageAccounts/fileServices/shares/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/locations/operations/read",
"Microsoft.Network/privateDnsOperationStatuses/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateEndpoints/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift File Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор реестра образов Azure Red Hat OpenShift
Позволяет оператору управлять одним экземпляром реестра образов OpenShift. Он управляет всей конфигурацией реестра, включая создание хранилища.
| Действия | Описание |
|---|---|
| Майкрософт. Хранилище/storageAccounts/blobServices/read | Возвращение свойств или статистики службы BLOB-объектов. |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/read | Возвращает список контейнеров. |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/write | Возвращает результат размещения контейнера больших двоичных объектов. |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/delete | Возвращение результата удаления контейнера. |
| Майкрософт. Хранилище/storageAccounts/blobServices/generateUserDelegationKey/action | Возвращает ключ делегирования пользователя для службы BLOB-объектов |
| Майкрософт. Хранилище/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| Майкрософт. Хранилище/storageAccounts/write | Создает новую учетную запись хранения с указанными параметрами, обновляет свойства или теги указанной существующей учетной записи хранения или добавляет в нее личный домен. |
| Майкрософт. Хранилище/storageAccounts/delete | Удаляет существующую учетную запись хранения. |
| Майкрософт. Хранилище/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Майкрософт. Хранилище/storageAccounts/PrivateEndpointConnectionsApproval/action | Утверждение подключений к частным конечным точкам |
| Майкрософт. Ресурсы/tags/write | Обновляет теги ресурса, заменяя их на другой набор тегов, объединяя наборы или удаляя существующие теги. |
| Майкрософт. Network/privateEndpoints/write | Создает частную конечную точку или обновляет существующую. |
| Майкрософт. Network/privateEndpoints/read | Возвращает ресурс частной конечной точки. |
| Майкрософт. Network/privateEndpoints/privateDnsZoneGroups/write | Помещает группу зон Частная зона DNS |
| Майкрософт. Network/privateEndpoints/privateDnsZoneGroups/read | Возвращает группу зон Частная зона DNS |
| Майкрософт. Network/privateDnsZones/read | Получите свойства зоны Частная зона DNS в формате JSON. Обратите внимание, что эта команда не извлекает виртуальные сети, к которым связана зона Частная зона DNS или наборы записей, содержащиеся в зоне. |
| Майкрософт. Network/privateDnsZones/write | Создайте или обновите зону Частная зона DNS в группе ресурсов. Обратите внимание, что эту команду невозможно использовать для создания или обновления связей виртуальных сетей или наборов записей в зоне. |
| Майкрософт. Network/privateDnsZones/join/action | Присоединение зоны Частная зона DNS |
| Майкрософт. Network/privateDnsZones/A/write | Создайте или обновите набор записей типа "A" в зоне Частная зона DNS. Указанные записи заменят текущие записи в наборе записей. |
| Майкрософт. Network/privateDnsZones/virtualNetworkLinks/write | Создайте или обновите ссылку Частная зона DNS зоны на виртуальную сеть. |
| Майкрософт. Network/privateDnsZones/virtualNetworkLinks/read | Получите ссылку Частная зона DNS зоны на свойства виртуальной сети в формате JSON. |
| Майкрософт. Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Майкрософт. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Майкрософт. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Майкрософт. Сеть/virtualNetworks/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/blobs/delete | Возвращение результата, полученного при удалении большого двоичного объекта. |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/blobs/write | Возвращение результата, полученного при записи большого двоичного объекта. |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/blobs/read | Возвращение большого двоичного объекта или списка таких объектов. |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/blobs/add/action | Возвращение результата, полученного при добавлении содержимого большого двоичного объекта. |
| Майкрософт. Хранилище/storageAccounts/blobServices/container/blobs/move/action | Перемещает большой двоичный объект из одного пути в другой. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Enables permissions for the operator to manage a singleton instance of the OpenShift image registry. It manages all configuration of the registry, including creating storage.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"name": "8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Resources/tags/write",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/join/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action"
],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Image Registry Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор API Azure Red Hat OpenShift компьютеров
Управление жизненным циклом пользовательских определений ресурсов (CRD), контроллеров и Azure объектов RBAC, расширяющих API Kubernetes, чтобы объявить требуемое состояние компьютеров в кластере.
| Действия | Описание |
|---|---|
| Майкрософт. Вычисления/availabilitySets/delete | Удаляет группу доступности. |
| Майкрософт. Вычисления/availabilitySets/read | Возвращает свойства группы доступности. |
| Майкрософт. Вычисления/availabilitySets/write | Создает новую группу доступности или обновляет существующую. |
| Майкрософт. Вычисления/diskEncryptionSets/read | Получение свойств набора шифрования дисков |
| Майкрософт. Вычисление/disks/delete | Удаляет диск. |
| Майкрософт. Вычисления/галереи/изображения/версии/чтение | Получает свойства версии образа коллекции. |
| Майкрософт. Вычисление/skus/read | Возвращает список Майкрософт. Номера SKU вычислений, доступные для подписки |
| Майкрософт. Вычисление/virtualMachines/delete | Удаляет виртуальную машину. |
| Майкрософт. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| Майкрософт. Вычисления/virtualMachines/write | Создает новую виртуальную машину или обновляет существующую. |
| Майкрософт. Вычисления/capacityReservationGroups/deploy/action | Развертывание новой виртуальной машины или виртуальной машины с помощью группы резервирования емкости |
| Майкрософт. ManagedIdentity/userAssignedIdentities/assign/action | Действие RBAC для назначения существующего пользовательского удостоверения для ресурса. |
| Майкрософт. Network/applicationSecurityGroups/read | Получение идентификатора группы безопасности приложений. |
| Майкрософт. Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Майкрософт. Network/loadBalancers/read | Возвращает определение подсистемы балансировки нагрузки. |
| Майкрософт. Network/loadBalancers/write | Создает новую подсистему балансировки нагрузки или обновляет существующую. |
| Майкрософт. Network/networkInterfaces/delete | Удаляет сетевой интерфейс. |
| Майкрософт. Network/networkInterfaces/join/action | Подключает виртуальную машину к сетевому интерфейсу. Не предусматривает отправку оповещений. |
| Майкрософт. Network/networkInterfaces/loadBalancers/read | Возвращает все подсистемы балансировки нагрузки, в которых используется сетевой интерфейс. |
| Майкрософт. Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Майкрософт. Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Майкрософт. Network/networkSecurityGroups/read | Возвращает определение группы безопасности сети. |
| Майкрософт. Network/networkSecurityGroups/write | Создает новую группу безопасности сети или обновляет существующую. |
| Майкрософт. Network/publicIPAddresses/delete | Удаляет общедоступный IP-адрес. |
| Майкрософт. Network/publicIPAddresses/join/action | Присоединяет общедоступный IP-адрес. Не предусматривает отправку оповещений. |
| Майкрософт. Network/publicIPAddresses/read | Возвращает определение общедоступного IP-адреса. |
| Майкрософт. Сеть/publicIPAddresses/write | Создает общедоступный IP-адрес или обновляет существующий общедоступный IP-адрес. |
| Майкрософт. Сеть/routeTables/read | Возвращает определение таблицы маршрутов. |
| Майкрософт. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Майкрософт. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Майкрософт. Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Присоединение правила безопасности к группам безопасности приложений. Не предусматривает отправку оповещений. |
| Майкрософт. Network/loadBalancers/frontendIPConfigurations/join/action | Присоединяет интерфейсную IP-конфигурацию Load Balancer. Не предусматривает отправку оповещений. |
| Майкрософт. Network/loadBalancers/inboundNATRules/join/action | Присоединяет правило NAT для входящего трафика подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Майкрософт. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage the lifecycle of specific-purpose custom resource definitions (CRD), controllers, and Azure RBAC objects that extend the Kubernetes API to declares the desired state of machines in a cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0358943c-7e01-48ba-8889-02cc51d78637",
"name": "0358943c-7e01-48ba-8889-02cc51d78637",
"permissions": [
{
"actions": [
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/capacityReservationGroups/deploy/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action",
"Microsoft.Network/loadBalancers/inboundNATRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Machine API Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
сетевой оператор Azure Red Hat OpenShift
Установите и обновите сетевые компоненты в кластере OpenShift.
| Действия | Описание |
|---|---|
| Майкрософт. Network/networkInterfaces/read | Возвращает определение сетевого интерфейса. |
| Майкрософт. Network/networkInterfaces/write | Создает новый сетевой интерфейс или обновляет существующий. |
| Майкрософт. Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Майкрософт. Сеть/virtualNetworks/subnets/join/action | Присоединяет виртуальную сеть. Не предусматривает отправку оповещений. |
| Майкрософт. Network/loadBalancers/backendAddressPools/join/action | Выполняет присоединение к внутреннему пулу адресов подсистемы балансировки нагрузки. Не предусматривает отправку оповещений. |
| Майкрософт. Network/loadBalancers/backendAddressPools/read | Возвращает определение внутреннего пула адресов подсистемы балансировки нагрузки. |
| Майкрософт. Вычисления/virtualMachines/read | Получение свойств виртуальной машины |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Install and upgrade the networking components on an OpenShift cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/be7a6435-15ae-4171-8f30-4a343eff9e8f",
"name": "be7a6435-15ae-4171-8f30-4a343eff9e8f",
"permissions": [
{
"actions": [
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Compute/virtualMachines/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Network Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор службы Azure Red Hat OpenShift
Обслуживание работоспособности компьютера, конфигурации сети, мониторинга и других функций, относящихся к непрерывной функциональности кластера OpenShift в качестве управляемой службы.
| Действия | Описание |
|---|---|
| Майкрософт. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Майкрософт. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Майкрософт. Сеть/natGateways/join/action | Присоединяет шлюз NAT |
| Майкрософт. Сеть/routeTables/join/action | Присоединяет таблицу маршрутов. Не предусматривает отправку оповещений. |
| Майкрософт. Network/networkSecurityGroups/join/action | Присоединяет группу безопасности сети. Не предусматривает отправку оповещений. |
| Майкрософт. Network/serviceEndpointPolicies/join/action | Присоединение политики конечной точки службы. Не предусматривает отправку оповещений. |
| Майкрософт. Network/networkIntentPolicies/join/action | Присоединяет политику намерений сети Не предусматривает отправку оповещений. |
| Майкрософт. Network/networkManagers/ipamPools/associateResourcesToPool/action | Разрешение действия для связывания ресурсов с пулом Ipam |
| Майкрософт. Хранилище/storageAccounts/listKeys/action | Возвращает ключи доступа для указанной учетной записи хранения. |
| Майкрософт. Хранилище/storageAccounts/read | Возвращает список учетных записей хранения или свойства указанной учетной записи хранения. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Maintain machine health, network configuration, monitoring, and other features that are specific to an OpenShift cluster's continued functionality as a managed service.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4436bae4-7702-4c84-919b-c4069ff25ee2",
"name": "4436bae4-7702-4c84-919b-c4069ff25ee2",
"permissions": [
{
"actions": [
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Service Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения CheckAccess с управляемым удостоверением подключенного кластера
Встроенная роль, которая позволяет управляемому кластеру вызывать API checkAccess.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник container Apps ConnectedEnvironments
Полное управление приложениями-контейнерами ConnectedEnvironments, включая создание, удаление и обновления.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Приложение/connectedEnvironments/* | |
| Майкрософт. App/connectedEnvironments/*/read | |
| Майкрософт. App/connectedEnvironments/*/write | |
| Майкрософт. Приложение/connectedEnvironments/*/delete | |
| Майкрософт. Приложение/connectedEnvironments/*/action | |
| Майкрософт. App/connectedEnvironments/daprComponents/listSecrets/action | Перечисление секретов компонента Dapr |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ConnectedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"name": "6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/connectedEnvironments/*",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/*/write",
"Microsoft.App/connectedEnvironments/*/delete",
"Microsoft.App/connectedEnvironments/*/action",
"Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения приложений-контейнеров ConnectedEnvironments
Доступ на чтение к контейнерным приложениям в ConnectedEnvironments.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/read | Возвращает развернутые службы или выводит их список. |
| Майкрософт. Приложение/connectedEnvironments/read | Получение подключенной среды |
| Майкрософт. App/connectedEnvironments/*/read | |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to Container Apps ConnectedEnvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"name": "d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/read",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Контрибьютор контейнерных приложений
Полное управление приложениями-контейнерами, включая создание, удаление и обновления.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Приложение/containerApps/*/read | |
| Майкрософт. Приложение/containerApps/*/write | |
| Майкрософт. Приложение/containerApps/*/delete | |
| Майкрософт. App/containerApps/*/action | |
| Майкрософт. App/managedEnvironments/read | Получение управляемой среды |
| Майкрософт. App/managedEnvironments/*/read | |
| Майкрософт. Приложение/managedEnvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Майкрософт. App/managedEnvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Майкрософт. Приложение/connectedEnvironments/read | Получение подключенной среды |
| Майкрософт. App/connectedEnvironments/*/read | |
| Майкрософт. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Майкрософт. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/358470bc-b998-42bd-ab17-a7e34c199c0f",
"name": "358470bc-b998-42bd-ab17-a7e34c199c0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/write",
"Microsoft.App/containerApps/*/delete",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Автор заданий контейнерных приложений
Полное управление заданиями контейнерных приложений, включая создание, удаление и обновления.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| microsoft.app/задачи/чтение | Получение задания приложений-контейнеров |
| Майкрософт. Приложение/jobs/*/read | |
| Майкрософт. App/jobs/*/action | |
| Майкрософт. Приложение/jobs/write | Создание или обновление задания приложений-контейнеров |
| Майкрософт. Приложение/jobs/delete | Удаление задания приложений-контейнеров |
| Майкрософт.app/managedenvironments/read | Получение управляемой среды |
| Майкрософт. App/managedenvironments/*/read | |
| Майкрософт. Приложение/managedenvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Майкрософт. App/managedenvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Майкрософт.app/connectedEnvironments/read | Получение подключенной среды |
| Майкрософт. App/connectedEnvironments/*/read | |
| Майкрософт. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Майкрософт. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps jobs, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"name": "4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.App/jobs/write",
"Microsoft.App/jobs/delete",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор задач контейнерных приложений
Чтение, запуск и остановка заданий контейнерных приложений.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| microsoft.app/задачи/чтение | Получение задания приложений-контейнеров |
| Майкрософт. Приложение/jobs/*/read | |
| Майкрософт. App/jobs/*/action | |
| Майкрософт.app/managedenvironments/read | Получение управляемой среды |
| Майкрософт. App/managedenvironments/*/read | |
| Майкрософт. Приложение/managedenvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Майкрософт. App/managedenvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Майкрософт.app/connectedEnvironments/read | Получение подключенной среды |
| Майкрософт. App/connectedEnvironments/*/read | |
| Майкрософт. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Майкрософт. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. Приложение/jobs/logstream/action | Просмотр потока журнала задания приложения контейнера |
| Майкрософт. App/jobs/exec/action | Подключение к консоли задания приложения контейнера |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read, start, and stop Container Apps jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"name": "b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/jobs/logstream/action",
"Microsoft.App/jobs/exec/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель заданий контейнерных приложений
Доступ на чтение к заданиям ContainerApps
| Действия | Описание |
|---|---|
| microsoft.app/задачи/чтение | Получение задания приложений-контейнеров |
| Майкрософт. Приложение/jobs/*/read | |
| Майкрософт. App/managedenvironments/read | Получение управляемой среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps jobs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/edd66693-d32a-450b-997d-0158c03976b0",
"name": "edd66693-d32a-450b-997d-0158c03976b0",
"permissions": [
{
"actions": [
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/managedenvironments/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник ManagedEnvironments для контейнерных приложений
Полное управление управляемыми окружениями для контейнерных приложений, включая создание, удаление и обновление.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. App/managedEnvironments/*/read | |
| Майкрософт. Приложение/managedEnvironments/*/write | |
| Майкрософт. App/managedEnvironments/*/delete | |
| Майкрософт. App/managedEnvironments/*/action | |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ManagedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/57cc5028-e6a7-4284-868d-0611c5923f8d",
"name": "57cc5028-e6a7-4284-868d-0611c5923f8d",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/*/write",
"Microsoft.App/managedEnvironments/*/delete",
"Microsoft.App/managedEnvironments/*/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель для управляемых сред приложений контейнеров
Доступ на чтение к управляемым средам ContainerApps.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. App/managedEnvironments/*/read | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps managedenvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"name": "1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Оператор контейнерных приложений
Чтение, ведение журнала и выполнение exec в контейнерных приложениях.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Приложение/containerApps/*/read | |
| Майкрософт. App/containerApps/*/action | |
| Майкрософт. App/managedEnvironments/read | Получение управляемой среды |
| Майкрософт. App/managedEnvironments/*/read | |
| Майкрософт. Приложение/managedEnvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Майкрософт. App/managedEnvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Майкрософт. Приложение/connectedEnvironments/read | Получение подключенной среды |
| Майкрософт. App/connectedEnvironments/*/read | |
| Майкрософт. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Майкрософт. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. App/containerApps/logstream/action | Просмотр потока журнала приложения контейнера |
| Майкрософт. App/containerApps/exec/action | Подключение к консоли приложения-контейнера |
| Майкрософт. Приложение/containerApps/debug/action | Подключение к консоли отладки приложения-контейнера |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read, logstream and exec into Container Apps.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"name": "f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/containerApps/logstream/action",
"Microsoft.App/containerApps/exec/action",
"Microsoft.App/containerApps/debug/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник SessionPools для приложений контейнеров
Полное управление пулами сеансов контейнерных приложений, включая создание, удаление и обновление.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. App/sessionPools/*/read | |
| Майкрософт. App/sessionPools/*/write | |
| Майкрософт. App/sessionPools/*/delete | |
| Майкрософт. App/sessionPools/*/action | |
| Microsoft.App/managedEnvironments/read | Получение управляемой среды |
| Майкрософт. App/managedEnvironments/*/read | |
| Майкрософт. Приложение/managedEnvironments/join/action | Позволяет создать приложение-контейнер в управляемой среде |
| Майкрософт. App/managedEnvironments/checknameavailability/action | Проверка доступности имени для управляемой среды |
| Microsoft.App/connectedEnvironments/read | Получение подключенной среды |
| Майкрософт. App/connectedEnvironments/*/read | |
| Майкрософт. Приложение/connectedEnvironments/join/action | Позволяет создать задание приложения контейнера или контейнерных приложений в подключенной среде |
| Майкрософт. App/connectedEnvironments/checknameavailability/action | Проверка доступности имени для подключенной среды |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| NotActions | |
| Майкрософт. App/sessionPools/fetchMcpServerCredentials/action | Получение учетных данных сервера MCP пула сеансов |
| Майкрософт. App/sessionPools/rotateMcpServerCredentials/action | Смена учетных данных сервера MCP пула сеансов |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps SessionPools, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"name": "f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read",
"Microsoft.App/sessionPools/*/write",
"Microsoft.App/sessionPools/*/delete",
"Microsoft.App/sessionPools/*/action",
"microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [
"Microsoft.App/sessionPools/fetchMcpServerCredentials/action",
"Microsoft.App/sessionPools/rotateMcpServerCredentials/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство просмотра пулов сеансов для приложений контейнеров
Доступ на чтение к пулам сеансов ContainerApps.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. App/sessionPools/*/read | |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps sessionpools.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/af61e8fc-2633-4b95-bed3-421ad6826515",
"name": "af61e8fc-2633-4b95-bed3-421ad6826515",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор правила кэширования реестра контейнеров
Создание, чтение, обновление и удаление правил кэша в реестре контейнеров. Эта роль не предоставляет разрешения на управление наборами учетных данных.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/cacheRules/read | Возвращает свойства указанного правила кэша или перечисляет все правила кэша для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/cacheRules/write | Создает или обновляет правило кэша для реестра контейнеров с указанными параметрами |
| Майкрософт. ContainerRegistry/registries/cacheRules/delete | Удаляет правило кэша из реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/cacheRules/operationStatuses/read | Возвращает состояние асинхронной операции правила кэша |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Cache Rules in Container Registry. This role doesn't grant permissions to manage Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/df87f177-bb12-4db1-9793-a413691eff94",
"name": "df87f177-bb12-4db1-9793-a413691eff94",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read",
"Microsoft.ContainerRegistry/registries/cacheRules/write",
"Microsoft.ContainerRegistry/registries/cacheRules/delete",
"Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения правил кэширования контейнерного реестра
Ознакомьтесь с конфигурацией правил кэша в реестре контейнеров. Это разрешение не предоставляет разрешения на чтение наборов учетных данных.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/cacheRules/read | Возвращает свойства указанного правила кэша или перечисляет все правила кэша для указанного реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Cache Rules in Container Registry. This permission doesn't grant permission to read Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c357b964-0002-4b64-a50d-7a28f02edc52",
"name": "c357b964-0002-4b64-a50d-7a28f02edc52",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Средство чтения конфигурации реестра контейнеров и средства чтения конфигурации доступа к данным
Предоставляет разрешения для перечисления реестров контейнеров и свойств конфигурации реестра. Предоставляет разрешения для перечисления конфигурации доступа к данным, таких как учетные данные администратора, карты областей и маркеры, которые можно использовать для чтения, записи или удаления репозиториев и изображений. Не предоставляет прямых разрешений на чтение, перечисление или запись содержимого реестра, включая репозитории и изображения. Не предоставляет разрешения на изменение содержимого плоскости данных, например импорта, кэша артефактов или синхронизации и передачи конвейеров. Не предоставляет разрешения для управления задачами.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/operationStatuses/read | Получение состояния асинхронной операции реестра. |
| Майкрософт. ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Майкрософт. ContainerRegistry/registries/privateEndpointConnections/read | Возвращает свойства подключения к частной конечной точке или список всех подключений к частным конечным точкам для указанного реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Получение состояния асинхронной операции подключения к частной конечной точке |
| Майкрософт. ContainerRegistry/registries/listCredentials/action | Выводит список учетных данных входа для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/token/read | Получает свойства указанного токена или выводит список всех токенов для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/token/operationStatuses/read | Получение состояния асинхронной операции токена. |
| Майкрософт. ContainerRegistry/registries/scopeMaps/read | Получает свойства указанного сопоставления областей или выводит список сопоставлений областей для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/scopeMaps/operationStatuses/read | Получение состояния асинхронной операции сопоставления областей. |
| Майкрософт. ContainerRegistry/registries/webhooks/read | Получение свойств указанного веб-перехватчика или списка веб-перехватчиков для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/webhooks/getCallbackConfig/action | Получение конфигурации URI службы и пользовательских заголовков для веб-перехватчика. |
| Майкрософт. ContainerRegistry/registries/webhooks/listEvents/action | Получение списка последних событий для указанного веб-перехватчика. |
| Майкрософт. ContainerRegistry/registries/webhooks/operationStatuses/read | Получение состояния асинхронной операции веб-перехватчика. |
| Майкрософт. ContainerRegistry/registries/replications/read | Получение свойств указанной репликации или списка репликаций для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/replications/operationStatuses/read | Получение состояния асинхронной операции репликации. |
| Майкрософт. ContainerRegistry/registries/connectedRegistries/read | Получение свойств указанного реестра контейнеров или вывод списка всех подключенных реестров для заданного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/providers/Майкрософт. Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| Майкрософт. ContainerRegistry/registries/providers/Майкрософт. Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| Майкрософт. ContainerRegistry/registries/providers/Майкрософт. Insights/logDefinitions/read | Возвращает доступные журналы для Майкрософт ContainerRegistry |
| Майкрософт. ContainerRegistry/registries/providers/Майкрософт. Insights/metricDefinitions/read | Возвращает доступные метрики для Майкрософт ContainerRegistry |
| Майкрософт. Insights/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Майкрософт. Insights/AlertRules/Delete | Удаление классического оповещения метрики. |
| Майкрософт. Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Майкрософт. Insights/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Майкрософт. Insights/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Майкрософт. Insights/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Майкрософт. Insights/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник реестра контейнеров и администратор конфигурации доступа к данным
Предоставляет разрешения на создание, перечисление и обновление реестров контейнеров и свойств конфигурации реестра. Предоставляет разрешения на настройку доступа к данным, таких как учетные данные администратора, карты областей и маркеры, которые можно использовать для чтения, записи или удаления репозиториев и изображений. Не предоставляет прямых разрешений на чтение, перечисление или запись содержимого реестра, включая репозитории и изображения. Не предоставляет разрешения на изменение содержимого плоскости данных, например импорта, кэша артефактов или синхронизации и передачи конвейеров. Не предоставляет разрешения для управления задачами.
| Действия | Описание |
|---|---|
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerRegistry/registries/operationStatuses/read | Получение состояния асинхронной операции реестра. |
| Майкрософт. ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Майкрософт. ContainerRegistry/registries/write | Создание или обновление реестра контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/delete | Удаление реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/listCredentials/action | Выводит список учетных данных входа для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/regenerateCredential/action | Повторное создание учетных данных входа для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/generateCredentials/action | Создание ключей для токена указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/replications/read | Получение свойств указанной репликации или списка репликаций для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/replications/write | Создание или обновление репликаций для реестра контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/replications/delete | Удаление репликации из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/replications/operationStatuses/read | Получение состояния асинхронной операции репликации. |
| Майкрософт. ContainerRegistry/registries/privateEndpointConnectionsApproval/action | Автоматическое утверждение подключения к частной конечной точке |
| Майкрософт. ContainerRegistry/registries/privateEndpointConnections/read | Возвращает свойства подключения к частной конечной точке или список всех подключений к частным конечным точкам для указанного реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/privateEndpointConnections/write | Утверждение или отклонение подключения к частной конечной точке |
| Майкрософт. ContainerRegistry/registries/privateEndpointConnections/delete | Удаление подключения к частной конечной точке |
| Майкрософт. ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Получение состояния асинхронной операции подключения к частной конечной точке |
| Майкрософт. ContainerRegistry/registries/token/read | Получает свойства указанного токена или выводит список всех токенов для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/token/write | Создание или обновление токена для реестра контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/token/delete | Удаление токена из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/token/operationStatuses/read | Получение состояния асинхронной операции токена. |
| Майкрософт. ContainerRegistry/registries/scopeMaps/read | Получает свойства указанного сопоставления областей или выводит список сопоставлений областей для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/scopeMaps/write | Создание или обновление сопоставления областей для реестра контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/scopeMaps/delete | Удаление сопоставления областей из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/scopeMaps/operationStatuses/read | Получение состояния асинхронной операции сопоставления областей. |
| Майкрософт. ContainerRegistry/registries/providers/Майкрософт. Insights/diagnosticSettings/read | Возвращает параметр диагностики для ресурса. |
| Майкрософт. ContainerRegistry/registries/providers/Майкрософт. Insights/diagnosticSettings/write | Создает или обновляет параметр диагностики для ресурса. |
| Майкрософт. ContainerRegistry/registries/providers/Майкрософт. Insights/logDefinitions/read | Возвращает доступные журналы для Майкрософт ContainerRegistry |
| Майкрософт. ContainerRegistry/registries/providers/Майкрософт. Insights/metricDefinitions/read | Возвращает доступные метрики для Майкрософт ContainerRegistry |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. ContainerRegistry/registries/connectedRegistries/read | Получение свойств указанного реестра контейнеров или вывод списка всех подключенных реестров для заданного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/connectedRegistries/write | Создание или обновление подключенного реестра для реестра контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/connectedRegistries/delete | Удаление подключенного реестра из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/connectedRegistries/деактивация/действие | Деактивирует подключенный реестр для реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/webhooks/read | Получение свойств указанного веб-перехватчика или списка веб-перехватчиков для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/webhooks/write | Создание или обновление веб-перехватчика для реестра контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/webhooks/delete | Удаление веб-перехватчика из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/webhooks/getCallbackConfig/action | Получение конфигурации URI службы и пользовательских заголовков для веб-перехватчика. |
| Майкрософт. ContainerRegistry/registries/webhooks/ping/action | Запуск события проверки связи для отправки веб-перехватчику. |
| Майкрософт. ContainerRegistry/registries/webhooks/listEvents/action | Получение списка последних событий для указанного веб-перехватчика. |
| Майкрософт. ContainerRegistry/registries/webhooks/operationStatuses/read | Получение состояния асинхронной операции веб-перехватчика. |
| Майкрософт. Insights/AlertRules/Write | Создание или изменение классического оповещения метрики. |
| Майкрософт. Insights/AlertRules/Delete | Удаление классического оповещения метрики. |
| Майкрософт. Insights/AlertRules/Read | Чтение классического оповещения метрики. |
| Майкрософт. Insights/AlertRules/Activated/Action | Активировано классическое оповещение метрики. |
| Майкрософт. Insights/AlertRules/Resolved/Action | Классическое оповещение метрики разрешено. |
| Майкрософт. Insights/AlertRules/Throttled/Action | Правило классического оповещения метрики отрегулировано. |
| Майкрософт. Insights/AlertRules/Incidents/Read | Чтение инцидента классического оповещения метрики. |
| Майкрософт. ContainerRegistry/locations/operationResults/read | Получение результата асинхронной операции. |
| Майкрософт. Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Присоединение к подсети ресурса, например учетной записи хранения или базы данных SQL. Не предусматривает отправку оповещений. |
| Майкрософт. Network/virtualNetworks/subnets/read | Возвращает определение подсети виртуальной сети. |
| Майкрософт. Network/virtualNetworks/subnets/write | Создает новую подсеть пиринг виртуальной сети или обновляет существующую. |
| Майкрософт. Network/virtualNetworks/read | Возвращает определение виртуальной сети. |
| Майкрософт. Network/privateEndpoints/privateLinkServiceProxies/write | Создает новый прокси-сервер службы приватного канала или обновляет существующий. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Администратор набора учетных данных реестра контейнеров
Создание, чтение, обновление и удаление наборов учетных данных в реестре контейнеров. Эта роль не влияет на необходимые разрешения для хранения содержимого в Azure Key Vault. Эта роль также не предоставляет разрешения на управление правилами кэша.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/credentialSets/read | Возвращает свойства указанного набора учетных данных или перечисляет все наборы учетных данных для указанного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/credentialSets/write | Создает или обновляет набор учетных данных для реестра контейнеров с указанными параметрами |
| Майкрософт. ContainerRegistry/registries/credentialSets/delete | Удаляет набор учетных данных из реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/credentialSets/operationStatuses/read | Возвращает состояние асинхронной операции набора учетных данных |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Credential Sets in Container Registry. This role doesn't affect the needed permissions for storing content inside Azure Key Vault. This role also doesn't grant permissions to manage Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f094fb07-0703-4400-ad6a-e16dd8000e14",
"name": "f094fb07-0703-4400-ad6a-e16dd8000e14",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read",
"Microsoft.ContainerRegistry/registries/credentialSets/write",
"Microsoft.ContainerRegistry/registries/credentialSets/delete",
"Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель набора учетных данных реестра контейнеров
Прочитайте конфигурацию наборов учетных данных в реестре контейнеров. Это разрешение не позволяет просматривать содержимое в хранилище ключей Azure только содержимое в реестре контейнеров. Это разрешение не предоставляет разрешения на чтение правил кэша.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/credentialSets/read | Возвращает свойства указанного набора учетных данных или перечисляет все наборы учетных данных для указанного реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Credential Sets in Container Registry. This permission doesn't allow permission to see content inside Azure Key vault only the content inside Container Registry. This permission doesn't grant permission to read Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29093635-9924-4f2c-913b-650a12949526",
"name": "29093635-9924-4f2c-913b-650a12949526",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Импорт данных реестра контейнеров и средство чтения данных
Предоставляет возможность импортировать образы в реестр с помощью операции импорта реестра. Предоставляет возможность перечислять репозитории, просматривать изображения и теги, получать манифесты и извлекать изображения. Не предоставляет разрешения для импорта образов с помощью настройки конвейеров передачи реестра, таких как конвейеры импорта и экспорта. Не предоставляет разрешения для импорта с помощью настройки правил кэша артефактов или синхронизации.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/importImage/action | Импорт образа в реестр контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| Майкрософт. ContainerRegistry/registries/pull/read | Извлечение или получение образов из реестра контейнеров. |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/catalog/read | Список репозиториев в реестре контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Список каталогов репозитория контейнеров
Позволяет перечислять все репозитории в Реестр контейнеров Azure.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerRegistry/registries/catalog/read | Список репозиториев в реестре контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник репозитория реестра контейнеров
Позволяет просматривать, записывать и удалять доступ к Реестр контейнеров Azure репозиториям, но исключает перечисление каталога.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/repositories/metadata/write | Обновляет метаданные конкретного репозитория для реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/repositories/content/write | Передача или запись образов в реестр контейнеров. |
| Майкрософт. ContainerRegistry/registries/repositories/metadata/delete | Удаление метаданных репозитория для реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/repositories/content/delete | Удаление артефакта в реестре контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Читатель репозитория реестра контейнеров
Разрешает доступ на чтение к Реестр контейнеров Azure репозиториям, но за исключением перечисления каталога.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Модуль записи репозитория реестра контейнеров
Разрешает доступ на чтение и запись к Реестр контейнеров Azure репозиториям, но за исключением перечисления каталога.
| Действия | Описание |
|---|---|
| никакой | |
| NotActions | |
| никакой | |
| Действия с данными | |
| Майкрософт. ContainerRegistry/registries/repositories/metadata/read | Возвращает метаданные конкретного репозитория для реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/repositories/content/read | Извлечение или получение образов из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/repositories/metadata/write | Обновляет метаданные конкретного репозитория для реестра контейнеров |
| Майкрософт. ContainerRegistry/registries/repositories/content/write | Передача или запись образов в реестр контейнеров. |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник задач реестра контейнеров
Предоставляет разрешения на настройку, чтение, список, триггер или отмену задач реестра контейнеров, запусков задач, журналов задач, быстрых запусков, быстрых сборок и пулов агентов задач. Разрешения, предоставленные для управления задачами, можно использовать для полного разрешения уровня данных реестра, включая чтение и запись и удаление образов контейнеров в реестрах. Разрешения, предоставленные для управления задачами, также можно использовать для запуска директив сборки, созданных клиентом, и запуска скриптов для создания артефактов программного обеспечения.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/agentpools/read | Получение пула агентов для реестра контейнеров или перечисление всех пулов агентов. |
| Майкрософт. ContainerRegistry/registries/agentpools/write | Создание или обновление пула агентов для реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/agentpools/delete | Удаление пула агентов из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/agentpools/listQueueStatus/action | Вывод списка всех состояний очереди пула агентов для реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/agentpools/operationResults/status/read | Возвращает состояние результата асинхронной операции агента |
| Майкрософт. ContainerRegistry/registries/agentpools/operationStatuses/read | Возвращает состояние асинхронной операции агента |
| Майкрософт. ContainerRegistry/registries/tasks/read | Получение задачи для реестра контейнеров или списка всех задач. |
| Майкрософт. ContainerRegistry/registries/tasks/write | Создание или обновление задачи для реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/tasks/delete | Удаление задачи для реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/tasks/listDetails/action | Список всех сведений о задаче для реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/scheduleRun/action | Планирование запуска по реестру контейнеров. |
| Майкрософт. ContainerRegistry/registries/listBuildSourceUploadUrl/action | Получение расположения URL-адреса передачи источника для реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/runs/read | Получение свойств выполнения по реестру контейнера или списку запусков. |
| Майкрософт. ContainerRegistry/registries/runs/write | Обновление выполнения. |
| Майкрософт. ContainerRegistry/registries/runs/listLogSasUrl/action | Получение URL-адреса SAS журнала для выполнения. |
| Майкрософт. ContainerRegistry/registries/runs/cancel/action | Отмена существующего выполнения. |
| Майкрософт. ContainerRegistry/registries/taskruns/read | Получение цикла выполнения задачи для реестра контейнеров или вывод списка всех циклов выполнения задачи. |
| Майкрософт. ContainerRegistry/registries/taskruns/write | Создание или обновление цикла выполнения задачи для реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/taskruns/delete | Удаление цикла выполнения задачи из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/taskruns/listDetails/action | Выводит список всех сведений о выполнении задач для реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/taskruns/operationStatuses/read | Возвращает состояние асинхронной операции запуска задачи |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. ContainerRegistry/registries/read | Получение свойств указанного реестра контейнеров или вывод списка всех реестров контейнеров в указанной группе ресурсов или подписке. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник конвейера передачи реестра контейнеров
Предоставляет возможность передачи, импорта и экспорта артефактов путем настройки конвейеров передачи реестра, включающих промежуточные учетные записи хранения и хранилища ключей. Не предоставляет разрешения на отправку или извлечение изображений. Не предоставляет разрешения на создание, управление или перечисление учетных записей хранения или хранилищ ключей. Не предоставляет разрешения на выполнение назначений ролей.
| Действия | Описание |
|---|---|
| Майкрософт. ContainerRegistry/registries/exportPipelines/read | Получение свойств указанного конвейера экспорта или вывод списка всех конвейеров экспорта для заданного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/exportPipelines/write | Создание или обновление конвейера экспорта для реестра контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/exportPipelines/delete | Удаление конвейера экспорта из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/importPipelines/read | Получение свойств указанного конвейера импорта или вывод списка всех конвейеров импорта для заданного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/importPipelines/write | Создание или обновление конвейера импорта для реестра контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/importPipelines/delete | Удаление конвейера импорта из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/pipelineRuns/read | Получение свойств указанного цикла выполнения конвейера или вывод списка всех циклов выполнения конвейера для заданного реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/pipelineRuns/write | Создание или обновление цикла выполнения конвейера для реестра контейнеров с указанными параметрами. |
| Майкрософт. ContainerRegistry/registries/pipelineRuns/delete | Удаление цикла выполнения конвейера из реестра контейнеров. |
| Майкрософт. ContainerRegistry/registries/pipelineRuns/operationStatuses/read | Получение состояния асинхронной операции цикла выполнения конвейера. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
доступ к API kubernetes Defender
Предоставляет Microsoft Defender для облака доступ к службам Kubernetes Azure
| Действия | Описание |
|---|---|
| Майкрософт. ContainerService/managedClusters/trustedAccessRoleBindings/write | Создание или обновление привязок ролей доверенного доступа для управляемого кластера |
| Майкрософт. ContainerService/managedClusters/trustedAccessRoleBindings/read | Получение привязок ролей доверенного доступа для управляемого кластера |
| Майкрософт. ContainerService/managedClusters/trustedAccessRoleBindings/delete | Удаление привязок ролей доверенного доступа для управляемого кластера |
| Майкрософт. ContainerService/managedClusters/read | Получение управляемого кластера. |
| Майкрософт. Функции/features/read | Возвращает функции подписки. |
| Майкрософт. Функции/providers/features/read | Возвращает функцию подписки в заданном поставщике ресурсов. |
| Майкрософт. Функции/providers/features/register/action | Регистрирует функцию для подписки в заданном поставщике ресурсов. |
| Майкрософт. Безопасность/цен/securityoperator/read | Возвращает операторы безопасности для области |
| Майкрософт. Безопасность/securityOperator/read | Возвращает средства безопасности для области |
| Майкрософт. Авторизация/policyAssignments/read | Возвращает сведения о назначении политики. |
| Майкрософт. Авторизация/policySetDefinitions/read | Получение сведений об определении набора политик. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read",
"Microsoft.Security/securityOperators/read",
"Microsoft.Authorization/policyAssignments/read",
"Microsoft.Authorization/policySetDefinitions/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Defender Kubernetes API Access",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Кластер Kubernetes — подключение Azure Arc
Определение роли, дающее любому пользователю или службе право создавать ресурс connectedClusters.
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/write | Создает или обновляет развертывание. |
| Майкрософт. Ресурсы/subscriptions/operationresults/read | Возвращает результаты операции подписки. |
| Майкрософт. Ресурсы/subscriptions/read | Возвращает список подписок. |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. Kubernetes/connectedClusters/Write | Записывает connectedClusters. |
| Майкрософт. Kubernetes/connectedClusters/read | Считывает connectedClusters. |
| Майкрософт. KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Майкрософт. KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Майкрософт. KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Майкрософт. KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Майкрософт. Поддержка/* | Создание и обновление запроса в службу поддержки |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник расширения Kubernetes
Может создавать, обновлять, получать, перечислять и удалять расширения Kubernetes, а также получать асинхронные операции расширений
| Действия | Описание |
|---|---|
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| Майкрософт. KubernetesConfiguration/extensions/write | Создание или обновление ресурса расширения. |
| Майкрософт. KubernetesConfiguration/extensions/read | Получение ресурса экземпляра расширения. |
| Майкрософт. KubernetesConfiguration/extensions/delete | Удаление ресурса экземпляра расширения. |
| Майкрософт. KubernetesConfiguration/extensions/operations/read | Получение состояния асинхронной операции. |
| Майкрософт. KubernetesConfiguration/register/action | Регистрирует подписку для Майкрософт. Поставщик ресурсов KubernetesConfiguration. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.KubernetesConfiguration/register/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник кластера Fabric службы
Управление ресурсами кластера Fabric службы. Включает кластеры, типы приложений, версии типов приложений, приложения и службы. Вам потребуются дополнительные разрешения для развертывания базовых ресурсов кластера и управления ими, таких как масштабируемые наборы виртуальных машин, учетные записи хранения, сети и т. д.
| Действия | Описание |
|---|---|
| Майкрософт. ServiceFabric/clusters/* | |
| Майкрософт. ServiceFabric/operations/read | Чтение доступных операций. |
| Майкрософт. ServiceFabric/locations/clusterVersions/read | Чтение любой версии кластера. |
| Майкрософт. ServiceFabric/locations/environments/clusterVersions/read | Чтение любой версии кластера для конкретной среды. |
| Майкрософт. ServiceFabric/locations/operationresults/read | Чтение результатов операций. |
| Майкрософт. ServiceFabric/locations/operations/read | Чтение операций по расположению. |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Участник управляемого кластера Fabric службы
Развертывание и управление ресурсами управляемого кластера службы Fabric. Включает управляемые кластеры, типы узлов, типы приложений, версии типов приложений, приложения и службы.
| Действия | Описание |
|---|---|
| Майкрософт. ServiceFabric/managedclusters/* | |
| Майкрософт. ServiceFabric/operations/read | Чтение доступных операций. |
| Майкрософт. ServiceFabric/locations/clusterVersions/read | Чтение любой версии кластера. |
| Майкрософт. ServiceFabric/locations/environments/clusterVersions/read | Чтение любой версии кластера для конкретной среды. |
| Майкрософт. ServiceFabric/locations/operationresults/read | Чтение результатов операций. |
| Майкрософт. ServiceFabric/locations/operations/read | Чтение операций по расположению. |
| Майкрософт. Авторизация/*/read | Чтение ролей и назначений ролей |
| Майкрософт. Insights/alertRules/* | Создание классического оповещения метрики и управление им |
| Майкрософт. Ресурсы/deployments/* | Создание развертывания и управление им |
| Майкрософт. Ресурсы/subscriptions/resourceGroups/read | Возвращает группы ресурсов или выводит их список. |
| NotActions | |
| никакой | |
| Действия с данными | |
| никакой | |
| NotDataActions | |
| никакой |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Следующие шаги
- роли Azure Assign с помощью портала Azure