Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die integrierten Azure-Rollen in der Kategorie „Container“ aufgeführt.
AcrDelete
Löschen von Repositorys, Tags oder Manifesten aus einer Containerregistrierung
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | Löschen von Artefakten aus einer Containerregistrierung. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Vermeiden Sie diese Rolle. Die Inhaltsvertrauensstellung in der Azure-Containerregistrierung und die Rolle "AcrImageSigner" ist veraltet und wird am 31. März 2028 vollständig entfernt. Ausführliche Informationen und Anleitungen für den Übergang finden Sie unter https://aka.ms/acr/dctdeprecation.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | Pushen/Pullen von Inhaltsvertrauen-Metadaten für eine Containerregistrierung |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | Ermöglicht das Pushen oder Veröffentlichen von vertrauenswürdigen Sammlungen mit Containerregistrierungsinhalten. Dies ähnelt der Aktion „Microsoft.ContainerRegistry/registries/sign/write“, aber es handelt sich um eine Datenaktion. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Planned DEPRECATION on March 31, 2028. Grant the signing permission for content trust. As content trust is being deprecated and will be completely removed on March 31, 2028, this role will also be removed. Refer to https://aka.ms/acr/dctdeprecation for details and transition guidance.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
Pullen von Artefakten aus einer Containerregistrierung
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Pullen oder Abrufen von Images aus einer Containerregistrierung |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPush
Pushen oder Pullen von Artefakten in einer Containerregistrierung
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Pullen oder Abrufen von Images aus einer Containerregistrierung |
| Microsoft.ContainerRegistry/registries/push/write | Pushen oder Schreiben von Images in eine Containerregistrierung |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Pullen von Images in Quarantäne aus einer Containerregistrierung
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Pullen oder Abrufen von Images in Quarantäne aus einer Containerregistrierung |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Ermöglicht das Pullen oder Abrufen der unter Quarantäne gestellten Artefakte aus der Containerregistrierung. Dies ähnelt „Microsoft.ContainerRegistry/registries/quarantine/read“, aber es handelt sich um eine Datenaktion. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Pushen oder Pullen von Images in Quarantäne in einer Containerregistrierung
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Pullen oder Abrufen von Images in Quarantäne aus einer Containerregistrierung |
| Microsoft.ContainerRegistry/registries/quarantine/write | Schreiben/Ändern des Quarantänezustands von unter Quarantäne gestellten Images |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Ermöglicht das Pullen oder Abrufen der unter Quarantäne gestellten Artefakte aus der Containerregistrierung. Dies ähnelt „Microsoft.ContainerRegistry/registries/quarantine/read“, aber es handelt sich um eine Datenaktion. |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | Ermöglicht das Schreiben oder Aktualisieren des Quarantänezustands von unter Quarantäne gestellten Artefakten. Dies ähnelt der Aktion „Microsoft.ContainerRegistry/registries/quarantine/write“, aber es handelt sich um eine Datenaktion. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Benutzerrolle für Azure Arc-aktivierte Kubernetes-Cluster
Aktion zum Auflisten der Anmeldeinformationen eines Clusterbenutzers.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Resources/deployments/write | Erstellt oder aktualisiert eine Bereitstellung. |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | Listet clusterUser-Anmeldeinformationen auf. (Vorschau) |
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Listet clusterUser-Anmeldeinformationen auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes-Administrator
Ermöglicht Ihnen das Verwalten aller Ressourcen unter einem Cluster/Namespace, außer das Aktualisieren oder Löschen von Ressourcenkontingenten und Namespaces.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/write | Erstellt oder aktualisiert eine Bereitstellung. |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Schreibt localsubjectaccessreviews. |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Liest events. |
| Microsoft.Kubernetes/connectedClusters/events/read | Liest events. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Liest limitranges. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Liest namespaces. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Liest resourcequotas. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes-Clusteradministrator
Ermöglicht Ihnen das Verwalten aller Ressourcen im Cluster.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/write | Erstellt oder aktualisiert eine Bereitstellung. |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Anzeigeberechtigter für Azure Arc Kubernetes
Ermöglicht Ihnen das Anzeigen aller Ressourcen im Cluster/Namespace mit Ausnahme von Geheimnissen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/write | Erstellt oder aktualisiert eine Bereitstellung. |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | Liest daemonsets. |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | Liest deployments. |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | Liest replicasets. |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | Liest statefulsets. |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | Liest horizontalpodautoscalers. |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | Liest cronjobs. |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | Liest jobs. |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | Liest configmaps. |
| Microsoft.Kubernetes/connectedClusters/endpoints/read | Liest endpoints. |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Liest events. |
| Microsoft.Kubernetes/connectedClusters/events/read | Liest events. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | Liest daemonsets. |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | Liest deployments. |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | Liest ingresses. |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | Liest networkpolicies. |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | Liest replicasets. |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Liest limitranges. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Liest namespaces. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Liest ingresses. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Liest networkpolicies. |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | Liest persistentvolumeclaims. |
| Microsoft.Kubernetes/connectedClusters/pods/read | Liest pods. |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Liest poddisruptionbudgets. |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Liest replicationcontrollers. |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Liest replicationcontrollers. |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Liest resourcequotas. |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | Liest serviceaccounts. |
| Microsoft.Kubernetes/connectedClusters/services/read | Liest services. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Schreibberechtigter für Azure Arc Kubernetes
Mit dieser Rolle können Sie alle Elemente im Cluster oder Namespace aktualisieren, mit Ausnahme von Rollen (Clusterrollen) und Rollenbindungen (Clusterrollenbindungen).
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/write | Erstellt oder aktualisiert eine Bereitstellung. |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Liest events. |
| Microsoft.Kubernetes/connectedClusters/events/read | Liest events. |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Liest limitranges. |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Liest namespaces. |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Liest resourcequotas. |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rolle "Mitwirkender von Azure-Containerinstanzen"
Gewährt Lese-/Schreibzugriff auf Containergruppen, die von Azure-Containerinstanzen bereitgestellt werden
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerInstance/containerGroups/* | Erstellen und Verwalten von Containergruppen |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to container groups provided by Azure Container Instances",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"name": "5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"permissions": [
{
"actions": [
"Microsoft.ContainerInstance/containerGroups/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Instances Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Container Storage-Mitwirkender
Installieren Sie Azure Container Storage und verwalten Sie ihre Speicherressourcen. Enthält eine ABAC-Bedingung, um Rollenzuweisungen einzuschränken.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.KubernetesConfiguration/extensions/write | Hiermit wird eine Erweiterungsressource erstellt oder aktualisiert. |
| Microsoft.KubernetesConfiguration/extensions/read | Hiermit wird die Erweiterungsinstanzressource abgerufen. |
| Microsoft.KubernetesConfiguration/extensions/delete | Hiermit wird die Erweiterungsinstanzressource gelöscht. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Hiermit wird der Status für einen asynchronen Vorgang abgerufen. |
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Management/managementGroups/read | Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf. |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine | |
| Aktionen | |
| Microsoft.Authorization/roleAssignments/write | Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich. |
| Microsoft.Authorization/roleAssignments/delete | Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine | |
| Zustand | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'}) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | Hinzufügen oder Entfernen von Rollenzuweisungen für die folgenden Rollen: Azure Container Storage-Operator |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Container Storage-Operator
Aktivieren Sie eine verwaltete Identität, um Azure Container Storage-Vorgänge auszuführen, z. B. virtuelle Computer verwalten und virtuelle Netzwerke verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Fragt den Status eines asynchronen Vorgangs ab. |
| Microsoft.Network/routeTables/join/action | Verknüpft eine Routingtabelle. Nicht warnbar. |
| Microsoft.Network/Netzwerksicherheitsgruppen/beitreten/aktion | Verknüpft eine Netzwerksicherheitsgruppe. Nicht warnbar. |
| Microsoft.Network/virtualNetworks/write | Erstellt ein virtuelles Netzwerk oder aktualisiert ein vorhandenes virtuelles Netzwerk. |
| Microsoft.Network/VirtuelleNetzwerke/Löschen | Löscht ein virtuelles Netzwerk. |
| Microsoft.Network/virtualNetworks/join/action | Verknüpft ein virtuelles Netzwerk. Nicht warnbar. |
| Microsoft.Network/virtualNetworks/subnets/read | Ruft eine Subnetzdefinition für virtuelle Netzwerke ab. |
| Microsoft.Network/virtualNetworks/subnets/write | Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke. |
| Microsoft.Compute/virtualMachines/read | Dient zum Abrufen der Eigenschaften eines virtuellen Computers. |
| Microsoft.Compute/virtualMachines/write | Erstellt einen neuen virtuellen Computer oder aktualisiert einen vorhandenen virtuellen Computer. |
| Microsoft.Compute/virtualMachineScaleSets/read | Dient zum Abrufen der Eigenschaften einer VM-Skalierungsgruppe. |
| Microsoft.Compute/virtualMachineScaleSets/write | Erstellt eine neue VM-Skalierungsgruppe oder aktualisiert eine bereits vorhandene. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Aktualisiert die Eigenschaften eines virtuellen Computers in einer VM-Skalierungsgruppe. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Ruft die Eigenschaften eines virtuellen Computers in einer VM-Skalierungsgruppe ab. |
| Microsoft.Resources/Abonnements/Anbieter/read | Ruft Ressourcenanbieter ab oder listet sie auf. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.Network/virtualNetworks/read | Dient zum Abrufen der Definition des virtuellen Netzwerks. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Container Storage: Besitzer
Installieren Sie Azure Container Storage, gewähren Sie Zugriff auf ihre Speicherressourcen, und konfigurieren Sie das Azure Elastic Storage Area Network (SAN). Enthält eine ABAC-Bedingung, um Rollenzuweisungen einzuschränken.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Fragt den Status eines asynchronen Vorgangs ab. |
| Microsoft.KubernetesConfiguration/extensions/write | Hiermit wird eine Erweiterungsressource erstellt oder aktualisiert. |
| Microsoft.KubernetesConfiguration/extensions/read | Hiermit wird die Erweiterungsinstanzressource abgerufen. |
| Microsoft.KubernetesConfiguration/extensions/delete | Hiermit wird die Erweiterungsinstanzressource gelöscht. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Hiermit wird der Status für einen asynchronen Vorgang abgerufen. |
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Management/managementGroups/read | Listet die Verwaltungsgruppen für den authentifizierten Benutzer auf. |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine | |
| Aktionen | |
| Microsoft.Authorization/roleAssignments/write | Dient zum Erstellen einer Rollenzuweisung im angegebenen Bereich. |
| Microsoft.Authorization/roleAssignments/delete | Dient zum Löschen einer Rollenzuweisung im angegebenen Bereich. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine | |
| Zustand | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND (!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'}) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | Hinzufügen oder Entfernen von Rollenzuweisungen für die folgenden Rollen: Azure Container Storage-Operator |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mitwirkenderrolle für Azure Kubernetes Fleet Manager
Gewährt Lese-/Schreibzugriff auf Azure-Ressourcen, die von Azure Kubernetes Fleet Manager bereitgestellt werden, einschließlich Flotten, Flottenmitglieder, Flottenaktualisierungsstrategien, Flottenaktualisierungsläufe usw.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rolle des Azure Kubernetes Fleet Manager-Hub-Agenten
Gewährt Zugriff auf Azure-Ressourcen, die von Azure Kubernetes Fleet Manager-Hub-Agents benötigt werden.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Network/publicIPAddresses/read | Ruft eine Definition für eine öffentliche IP-Adresse ab. |
| Microsoft.Network/trafficManagerProfiles/read | Dient zum Abrufen der Traffic Manager-Profilkonfiguration. Dazu zählen DNS-Einstellungen, Routingeinstellungen für Datenverkehr, Endpunktüberwachungseinstellungen und die Liste mit den Endpunkten, die durch dieses Traffic Manager-Profil geroutet werden. |
| Microsoft.Network/trafficManagerProfiles/write | Dient zum Erstellen eines Traffic Manager-Profils oder zum Ändern der Konfiguration eines vorhandenen Traffic Manager-Profils. Dies schließt das Aktivieren oder Deaktivieren eines Profils sowie das Ändern von DNS-Einstellungen, Routingeinstellungen für Datenverkehr oder Endpunktüberwachungseinstellungen ein. Durch das Traffic Manager-Profil geroutete Endpunkte können hinzugefügt, entfernt, aktiviert oder deaktiviert werden. |
| Microsoft.Network/trafficManagerProfiles/delete | Dient zum Löschen des Traffic Manager-Profils. Alle dem Traffic Manager-Profil zugeordneten Einstellungen gehen verloren, und das Profil kann nicht mehr zum Routen von Datenverkehr verwendet werden. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/read | Ruft einen Azure-Endpunkt ab, der einem Traffic Manager-Profil zugehörig ist, einschließlich aller Eigenschaften dieses Azure-Endpunkts. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/write | Fügt einen neuen Azure-Endpunkt in einem vorhandenen Traffic Manager-Profil hinzu oder aktualisiert die Eigenschaften eines vorhandenen Azure-Endpunkts in diesem Traffic Manager-Profil. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete | Löscht einen Azure-Endpunkt aus einem vorhandenen Traffic Manager-Profil an. Der Traffic Manager beendet die Weiterleitung des Datenverkehrs an den gelöschten Azure-Endpunkt. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants access to Azure resources needed by Azure Kubernetes Fleet Manager hub agents.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"name": "de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/trafficManagerProfiles/read",
"Microsoft.Network/trafficManagerProfiles/write",
"Microsoft.Network/trafficManagerProfiles/delete",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/read",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/write",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Agent Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager Hub Cluster-Benutzerrolle
Gewährt Lesezugriff auf Azure Kubernetes Fleet Manager sowie die Kubernetes-Konfigurationsdatei, um eine Verbindung mit dem flotten verwalteten Hubcluster herzustellen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerService/fleets/listCredentials/action | Fleet-Anmeldeinformationen auflisten |
| Microsoft.ContainerService/fleets/read | Fleet abrufen |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants read access to Azure Kubernetes Fleet Manager as well as the Kubernetes config file to connect to the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/850c5848-fc51-4a9a-8823-f220370626e3",
"name": "850c5848-fc51-4a9a-8823-f220370626e3",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/listCredentials/action",
"Microsoft.ContainerService/fleets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
RBAC-Administrator von Azure Kubernetes Fleet Manager
Gewährt Lese-/Schreibzugriff auf Kubernetes-Ressourcen innerhalb eines Namespaces im flottenverwalteten Hubcluster – bietet Schreibberechtigungen für die meisten Objekte innerhalb eines Namespaces, mit Ausnahme des ResourceQuota-Objekts und des Namespaceobjekts selbst. Wenn Sie diese Rolle im Clusterumfang anwenden, wird der Zugriff auf alle Namespaces ermöglicht.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerService/fleets/read | Fleet abrufen |
| Microsoft.ContainerService/fleets/listCredentials/action | Fleet-Anmeldeinformationen auflisten |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Schreibt localsubjectaccessreviews. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Liest events. |
| Microsoft.ContainerService/fleets/events/read | Liest events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Liest limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Liest namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/Flotten/Ressourcenkontingente/lesen | Liest resourcequotas. |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Flotten-internemEmbercluster-Ressource lesen |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Flotten-ressourceoverridesnapshot-Ressource lesen |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Ressourcen für Flottenarbeit lesen |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes-Flottenmanager RBAC-Admin für Mitgliedscluster
Diese Rolle gewährt Administratorzugriff – bietet Schreibberechtigungen für die meisten Objekte in einem Namespace, mit Ausnahme des ResourceQuota-Objekts und des Namespaceobjekts selbst. Wenn Sie diese Rolle im Clusterumfang anwenden, wird der Zugriff auf alle Namespaces ermöglicht.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/fleets/members/* | |
| NotDataActions | |
| Microsoft.ContainerService/fleets/members/resourcequotas/write | Schreibt resourcequotas. |
| Microsoft.ContainerService/fleets/members/resourcequotas/delete | Löscht resourcequotas. |
| Microsoft.ContainerService/fleets/members/namespaces/write | Schreibt namespaces. |
| Microsoft.ContainerService/fleets/members/namespaces/delete | Löscht namespaces. |
{
"assignableScopes": [
"/"
],
"description": "This role grants admin access - provides write permissions on most objects within a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d1f699ed-700a-4c77-a22f-29890ac7b115",
"name": "d1f699ed-700a-4c77-a22f-29890ac7b115",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/resourcequotas/write",
"Microsoft.ContainerService/fleets/members/resourcequotas/delete",
"Microsoft.ContainerService/fleets/members/namespaces/write",
"Microsoft.ContainerService/fleets/members/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
RBAC-Clusteradministrator von Azure Kubernetes Fleet Manager
Gewährt Lese-/Schreibzugriff auf alle Kubernetes-Ressourcen im Flotten-verwalteten Hubcluster.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerService/fleets/read | Fleet abrufen |
| Microsoft.ContainerService/fleets/listCredentials/action | Fleet-Anmeldeinformationen auflisten |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| Microsoft.ContainerService/fleets/members/* |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/*"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC-Cluster-Admin für Mitgliedscluster
Mit dieser Option können Sie alle Ressourcen in den Mitgliedsclustern in der Flotte verwalten.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/fleets/members/* | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the member clusters in the fleet.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"name": "79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
RBAC-Reader von Azure Kubernetes Fleet Manager
Gewährt schreibgeschützten Zugriff auf die meisten Kubernetes-Ressourcen innerhalb eines Namespaces im flottenverwalteten Hubcluster. Es ist nicht möglich, Rollen oder Rollenbindungen anzuzeigen. Diese Rolle lässt das Anzeigen von Geheimnissen nicht zu, da das Lesen des Inhalts von Geheimnissen den Zugriff auf ServiceAccount-Anmeldeinformationen im Namespace ermöglicht, was den API-Zugriff als beliebiges Dienstkonto im Namespace ermöglichen würde (eine Form von Berechtigungsausweitung). Wenn Sie diese Rolle im Clusterumfang anwenden, wird der Zugriff auf alle Namespaces ermöglicht.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerService/fleets/read | Fleet abrufen |
| Microsoft.ContainerService/fleets/listCredentials/action | Fleet-Anmeldeinformationen auflisten |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Liest daemonsets. |
| Microsoft.ContainerService/fleets/apps/deployments/read | Liest deployments. |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Liest statefulsets. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Liest horizontalpodautoscalers. |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Liest cronjobs. |
| Microsoft.ContainerService/fleets/batch/jobs/read | Liest jobs. |
| Microsoft.ContainerService/fleets/configmaps/read | Liest configmaps. |
| Microsoft.ContainerService/fleets/endpoints/read | Liest endpoints. |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Liest events. |
| Microsoft.ContainerService/fleets/events/read | Liest events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Liest daemonsets. |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Liest deployments. |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Liest ingresses. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Liest networkpolicies. |
| Microsoft.ContainerService/fleets/limitranges/read | Liest limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Liest namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Liest ingresses. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Liest networkpolicies. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Liest persistentvolumeclaims. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Liest poddisruptionbudgets. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Liest replicationcontrollers. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Liest replicationcontrollers. |
| Microsoft.ContainerService/Flotten/Ressourcenkontingente/lesen | Liest resourcequotas. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Liest serviceaccounts. |
| Microsoft.ContainerService/fleets/services/read | Liest services. |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Flotten-internemEmbercluster-Ressource lesen |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Flotten-ressourceoverride-Ressource lesen |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Flotten-ressourceoverridesnapshot-Ressource lesen |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Ressourcen für Flottenarbeit lesen |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC Reader für Mitgliedscluster
Ermöglicht schreibgeschützten Zugriff, um die meisten Objekte in einem Namespace anzuzeigen. Es ist nicht möglich, Rollen oder Rollenbindungen anzuzeigen. Diese Rolle lässt das Anzeigen von Geheimnissen nicht zu, da das Lesen des Inhalts von Geheimnissen den Zugriff auf ServiceAccount-Anmeldeinformationen im Namespace ermöglicht, was den API-Zugriff als beliebiges Dienstkonto im Namespace ermöglichen würde (eine Form von Berechtigungsausweitung). Wenn Sie diese Rolle im Clusterumfang anwenden, wird der Zugriff auf alle Namespaces ermöglicht.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.ContainerService/fleets/members/apps/daemonsets/read | Liest daemonsets. |
| Microsoft.ContainerService/fleets/members/apps/deployments/read | Liest deployments. |
| Microsoft.ContainerService/fleets/members/apps/replicasets/read | Liest replicasets. |
| Microsoft.ContainerService/fleets/members/apps/statefulsets/read | Liest statefulsets. |
| Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read | Liest horizontalpodautoscalers. |
| Microsoft.ContainerService/fleets/members/batch/cronjobs/read | Liest cronjobs. |
| Microsoft.ContainerService/fleets/members/batch/jobs/read | Liest jobs. |
| Microsoft.ContainerService/fleets/members/configmaps/read | Liest configmaps. |
| Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | Liest endpointslices. |
| Microsoft.ContainerService/fleets/members/endpoints/read | Liest endpoints. |
| Microsoft.ContainerService/fleets/members/events.k8s.io/events/read | Liest events. |
| Microsoft.ContainerService/fleets/members/events/read | Liest events. |
| Microsoft.ContainerService/fleets/members/extensions/daemonsets/read | Liest daemonsets. |
| Microsoft.ContainerService/fleets/members/extensions/deployments/read | Liest deployments. |
| Microsoft.ContainerService/fleets/members/extensions/ingresses/read | Liest ingresses. |
| Microsoft.ContainerService/fleets/members/extensions/networkpolicies/read | Liest networkpolicies. |
| Microsoft.ContainerService/fleets/members/extensions/replicasets/read | Liest replicasets. |
| Microsoft.ContainerService/fleets/members/limitranges/read | Liest limitranges. |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read | Liest pods. |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read | Liest nodes. |
| Microsoft.ContainerService/fleets/members/namespaces/read | Liest namespaces. |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/read | Liest ingresses. |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/read | Liest networkpolicies. |
| Microsoft.ContainerService/fleets/members/persistentvolumeclaims/read | Liest persistentvolumeclaims. |
| Microsoft.ContainerService/fleets/members/pods/read | Liest pods. |
| Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/read | Liest poddisruptionbudgets. |
| Microsoft.ContainerService/fleets/members/replicationcontrollers/read | Liest replicationcontrollers. |
| Microsoft.ContainerService/fleets/members/resourcequotas/read | Liest resourcequotas. |
| Microsoft.ContainerService/fleets/members/serviceaccounts/read | Liest serviceaccounts. |
| Microsoft.ContainerService/fleets/members/services/read | Liest services. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/463ad26c-fcce-4469-9c7f-5653d8acbab5",
"name": "463ad26c-fcce-4469-9c7f-5653d8acbab5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/members/apps/deployments/read",
"Microsoft.ContainerService/fleets/members/apps/replicasets/read",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/read",
"Microsoft.ContainerService/fleets/members/configmaps/read",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/endpoints/read",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/read",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/members/extensions/deployments/read",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/read",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/members/pods/read",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/serviceaccounts/read",
"Microsoft.ContainerService/fleets/members/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
RBAC-Writer von Azure Kubernetes Fleet Manager
Gewährt Lese/Schreibzugriff auf die meisten Kubernetes-Ressourcen innerhalb eines Namespaces im flottenverwalteten Hubcluster. Diese Rolle lässt das Anzeigen oder Ändern von Rollen oder Rollenbindungen nicht zu. Diese Rolle ermöglicht jedoch den Zugriff auf Geheimnisse als beliebiges Dienstkonto im Namespace, sodass sie verwendet werden kann, um die API-Zugriffsebenen eines beliebigen ServiceAccount im Namespace zu erhalten. Wenn Sie diese Rolle im Clusterumfang anwenden, wird der Zugriff auf alle Namespaces ermöglicht.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerService/fleets/read | Fleet abrufen |
| Microsoft.ContainerService/fleets/listCredentials/action | Fleet-Anmeldeinformationen auflisten |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | Liest daemonsets. |
| Microsoft.ContainerService/fleets/apps/daemonsets/write | Schreibt daemonsets. |
| Microsoft.ContainerService/fleets/apps/deployments/read | Liest deployments. |
| Microsoft.ContainerService/fleets/apps/deployments/write | Schreibt deployments. |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Liest statefulsets. |
| Microsoft.ContainerService/fleets/apps/statefulsets/write | Schreibt statefulsets. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | Liest horizontalpodautoscalers. |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write | Schreibt horizontalpodautoscalers. |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Liest cronjobs. |
| Microsoft.ContainerService/fleets/batch/cronjobs/write | Schreibt cronjobs. |
| Microsoft.ContainerService/fleets/batch/jobs/read | Liest jobs. |
| Microsoft.ContainerService/fleets/batch/jobs/write | Schreibt jobs. |
| Microsoft.ContainerService/fleets/configmaps/read | Liest configmaps. |
| Microsoft.ContainerService/fleets/configmaps/write | Schreibt configmaps. |
| Microsoft.ContainerService/fleets/endpoints/read | Liest endpoints. |
| Microsoft.ContainerService/fleets/endpoints/write | Schreibt endpoints. |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Liest events. |
| Microsoft.ContainerService/fleets/events/read | Liest events. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | Liest daemonsets. |
| Microsoft.ContainerService/fleets/extensions/daemonsets/write | Schreibt daemonsets. |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Liest deployments. |
| Microsoft.ContainerService/fleets/extensions/deployments/write | Schreibt deployments. |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Liest ingresses. |
| Microsoft.ContainerService/fleets/extensions/ingresses/write | Schreibt ingresses. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Liest networkpolicies. |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/write | Schreibt networkpolicies. |
| Microsoft.ContainerService/fleets/limitranges/read | Liest limitranges. |
| Microsoft.ContainerService/fleets/namespaces/read | Liest namespaces. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Liest ingresses. |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write | Schreibt ingresses. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Liest networkpolicies. |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write | Schreibt networkpolicies. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Liest persistentvolumeclaims. |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/write | Schreibt persistentvolumeclaims. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Liest poddisruptionbudgets. |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write | Schreibt poddisruptionbudgets. |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Liest replicationcontrollers. |
| Microsoft.ContainerService/fleets/replicationcontrollers/write | Schreibt replicationcontrollers. |
| Microsoft.ContainerService/Flotten/Ressourcenkontingente/lesen | Liest resourcequotas. |
| Microsoft.ContainerService/fleets/secrets/read | Liest secrets. |
| Microsoft.ContainerService/fleets/secrets/write | Schreibt secrets. |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Liest serviceaccounts. |
| Microsoft.ContainerService/fleets/serviceaccounts/write | Schreibt serviceaccounts. |
| Microsoft.ContainerService/fleets/services/read | Liest services. |
| Microsoft.ContainerService/fleets/services/write | Schreibt services. |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Flotten-internemEmbercluster-Ressource lesen |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Flotten-ressourceoverride-Ressource lesen |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | Flotten-ressourceoverride-Ressource schreiben |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Flotten-ressourceoverridesnapshot-Ressource lesen |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Ressourcen für Flottenarbeit lesen |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC-Schreiber für Mitgliedscluster
Ermöglicht Lese-/Schreibzugriff auf die meisten Objekte in einem Namespace. Diese Rolle lässt das Anzeigen oder Ändern von Rollen oder Rollenbindungen nicht zu. Diese Rolle ermöglicht jedoch den Zugriff auf Geheimnisse und das Ausführen von Pods als beliebiges Dienstkonto im Namespace, sodass sie verwendet werden kann, um die API-Zugriffsebenen eines beliebigen ServiceAccount im Namespace zu erhalten. Wenn Sie diese Rolle im Clusterumfang anwenden, wird der Zugriff auf alle Namespaces ermöglicht.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.ContainerService/fleets/members/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/members/apps/deployments/* | |
| Microsoft.ContainerService/fleets/members/apps/replicasets/* | |
| Microsoft.ContainerService/fleets/members/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/members/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/read | Liest leases. |
| Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/write | Schreibt leases. |
| Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/delete | Löscht leases. |
| Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | Liest endpointslices. |
| Microsoft.ContainerService/fleets/members/batch/jobs/* | |
| Microsoft.ContainerService/fleets/members/configmaps/* | |
| Microsoft.ContainerService/fleets/members/endpoints/* | |
| Microsoft.ContainerService/fleets/members/events.k8s.io/events/read | Liest events. |
| Microsoft.ContainerService/fleets/members/events/* | |
| Microsoft.ContainerService/fleets/members/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/members/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/members/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/members/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/members/extensions/replicasets/* | |
| Microsoft.ContainerService/fleets/members/limitranges/read | Liest limitranges. |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read | Liest pods. |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read | Liest nodes. |
| Microsoft.ContainerService/fleets/members/namespaces/read | Liest namespaces. |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/members/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/members/pods/* | |
| Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/members/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/members/resourcequotas/read | Liest resourcequotas. |
| Microsoft.ContainerService/fleets/members/secrets/* | |
| Microsoft.ContainerService/fleets/members/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/members/services/* | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/50346970-0998-40f2-b47d-f3b8809840f8",
"name": "50346970-0998-40f2-b47d-f3b8809840f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/members/apps/deployments/*",
"Microsoft.ContainerService/fleets/members/apps/replicasets/*",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/*",
"Microsoft.ContainerService/fleets/members/configmaps/*",
"Microsoft.ContainerService/fleets/members/endpoints/*",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/*",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/members/extensions/deployments/*",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/*",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/members/pods/*",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/secrets/*",
"Microsoft.ContainerService/fleets/members/serviceaccounts/*",
"Microsoft.ContainerService/fleets/members/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administratorrolle für Azure Kubernetes Arc Service-Cluster
Listet die Aktion für Anmeldeinformationen des Clusteradministrators auf.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Ruft die mit dem verbundenen Cluster verknüpften Hybrid-AKS-Clusterinstanzen ab. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | Listet die Administratoranmeldeinformationen einer bereitgestellten Clusterinstanz auf, die nur im direkten Modus verwendet wird. |
| Microsoft.Kubernetes/connectedClusters/Read | Liest connectedClusters. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Benutzerrolle für Azure Kubernetes Service Arc-Cluster
Listet die Aktion für Anmeldeinformationen des Clusterbenutzer auf.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Ruft die mit dem verbundenen Cluster verknüpften Hybrid-AKS-Clusterinstanzen ab. |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | Listet die AAD-Benutzeranmeldeinformationen einer bereitgestellten Clusterinstanz auf, die nur im direkten Modus verwendet wird. |
| Microsoft.Kubernetes/connectedClusters/Read | Liest connectedClusters. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc-Mitwirkenderrolle
Gewährt Lese- und Schreibzugriff auf Azure Kubernetes Service Hybridcluster.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.HybridContainerService/Standorte/Operationsstatus/lesen | Lesen von „operationStatuses“ |
| Microsoft.HybridContainerService/Locations/operationStatuses/write | Schreiben von „operationStatuses“ |
| Microsoft.HybridContainerService/Operations/read | Lesevorgänge |
| Microsoft.HybridContainerService/kubernetesVersions/read | Listet die unterstützten Kubernetes-Versionen vom zugrunde liegenden benutzerdefinierten Speicherort auf. |
| Microsoft.HybridContainerService/kubernetesVersions/write | Fügt den Kubernetes-Versionsressourcentyp ein. |
| Microsoft.HybridContainerService/kubernetesVersions/delete | Löscht den Kubernetes-Versionsressourcentyp. |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Ruft die mit dem verbundenen Cluster verknüpften Hybrid-AKS-Clusterinstanzen ab. |
| Microsoft.HybridContainerService/provisionedClusterInstances/write | Erstellt die bereitgestellte Hybrid-AKS-Clusterinstanz. |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | Löscht die bereitgestellte Hybrid-AKS-Clusterinstanz. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | Ruft die Agentpools in der bereitgestellten Hybrid-AKS-Clusterinstanz ab. |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | Aktualisiert den Agentpool in der bereitgestellten Hybrid-AKS-Clusterinstanz. |
| Microsoft.HybridContainerService/bereitgestellteClusterInstanzen/Agentenpools/löschen | Löscht den Agentpool in der bereitgestellten Hybrid-AKS-Clusterinstanz. |
| Microsoft.HybridContainerService/bereitgestellteClusterInstanzen/UpgradeProfile/lesen | Lesen von upgradeProfiles |
| Microsoft.HybridContainerService/skus/read | Listet die unterstützten VM-SKUs vom zugrunde liegenden benutzerdefinierten Speicherort auf. |
| Microsoft.HybridContainerService/skus/write | Fügt den Ressourcentyp für VM-SKUs ein. |
| Microsoft.HybridContainerService/skus/delete | Löscht den VM-SKU-Ressourcentyp. |
| Microsoft.HybridContainerService/virtualNetworks/read | Listet die virtuellen Hybrid-AKS-Netzwerke nach Abonnement auf. |
| Microsoft.HybridContainerService/virtualNetworks/write | Patcht das virtuelle Hybrid-AKS-Netzwerk. |
| Microsoft.HybridContainerService/virtualNetworks/delete | Löscht das virtuelle Hybrid-AKS-Netzwerk. |
| Microsoft.ExtendedLocation/customLocations/deploy/action | Berechtigungen zum Bereitstellen einer benutzerdefinierte Standortressource |
| Microsoft.ExtendedLocation/customLocations/read | Ruft eine customLocations-Ressource ab. |
| Microsoft.Kubernetes/connectedClusters/Read | Liest connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/Write | Schreibt connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/Löschen | Löscht connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | Listet clusterUser-Anmeldeinformationen auf. |
| Microsoft.AzureStackHCI/clusters/read | Ruft Cluster ab. |
| Microsoft.Resources/deployments/read | Ruft Bereitstellungen ab oder listet sie auf. |
| Microsoft.Resources/deployments/write | Erstellt oder aktualisiert eine Bereitstellung. |
| Microsoft.Resources/deployments/delete | Löscht eine Bereitstellung. |
| Microsoft.Resources/deployments/cancel/action | Bricht eine Bereitstellung ab. |
| Microsoft.Resources/Bereitstellungen/Validieren/Aktion | Überprüft eine Bereitstellung. |
| Microsoft.Resources/deployments/was-wäre-wenn/action | Sagt Änderungen an der Vorlagenbereitstellung voraus |
| Microsoft.Resources/deployments/exportTemplate/action | Exportieren der Vorlage für eine Bereitstellung |
| Microsoft.Resources/deployments/operations/read | Ruft Bereitstellungsvorgänge ab oder listet sie auf. |
| Microsoft.Resources/deployments/operationstatuses/read – Lesezugriff auf den Betriebsstatus von Bereitstellungen | Ruft den Status von Bereitstellungsvorgängen ab oder listet ihn auf. |
| Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete | Löscht die Proxyressource für Hybrididentitätsmetadaten. |
| Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write | Erstellt die Proxyressource für Hybrididentitätsmetadaten, die die Bereitstellung verwalteter Identitäten erleichtert. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Locations/operationStatuses/write",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administratorrolle für Azure Kubernetes Service-Cluster
Listet die Aktion für Anmeldeinformationen des Clusteradministrators auf.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | Listet die clusterAdmin-Anmeldeinformationen eines verwalteten Clusters auf. |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Ruft ein Zugriffsprofil für verwaltete Cluster anhand des Rollennamens mithilfe der Liste der Anmeldeinformationen ab. |
| Microsoft.ContainerService/managedClusters/read | Ruft einen verwalteten Cluster ab. |
| Microsoft.ContainerService/managedClusters/runcommand/action | Führt einen vom Benutzer ausgegebenen Befehl auf einem Managed Kubernetes-Server aus. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Clusters Überwachungsbenutzer
Listet die Aktion zur Überwachung der Benutzeranmeldeinformationen auf.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Listet die clusterMonitoringUser-Anmeldeinformationen eines verwalteten Clusters auf. |
| Microsoft.ContainerService/managedClusters/read | Ruft einen verwalteten Cluster ab. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Benutzerrolle für Azure Kubernetes Service-Cluster
Listet die Aktion für Anmeldeinformationen des Clusterbenutzer auf.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Listet die clusterUser-Anmeldeinformationen eines verwalteten Clusters auf. |
| Microsoft.ContainerService/managedClusters/read | Ruft einen verwalteten Cluster ab. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rolle „Mitwirkender“ für Azure Kubernetes Service
Gewährt Lese- und Schreibzugriff auf Azure Kubernetes Service-Cluster.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.ContainerService/locations/* | Speicherorte lesen, die für ContainerService-Ressourcen verfügbar sind |
| Microsoft.ContainerService/managedClusters/* | Erstellen und Verwalten eines verwalteten Clusters |
| Microsoft.ContainerService/managedclustersnapshots/* | Erstellen und Verwalten einer verwalteten Clustermomentaufnahme |
| Microsoft.ContainerService/snapshots/* | Erstellen und Verwalten einer Momentaufnahme |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerService/deploymentSafeguards/* | |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/deploymentSafeguards/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mitwirkender des Azure Kubernetes-Dienstnamespaces
Ermöglicht Benutzern das Erstellen und Verwalten von Azure Kubernetes Service-Namespaceressourcen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerService/managedClusters/managedNamespaces/* | Erstellen und Verwalten von Namespaces |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows users to create and manage Azure Kubernetes Service namespace resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/289d8817-ee69-43f1-a0af-43a45505b488",
"name": "289d8817-ee69-43f1-a0af-43a45505b488",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes-Dienstnamespacebenutzer
Ermöglicht Benutzern das Lesen von Azure Kubernetes Service-Namespaceressourcen. Der Zugriff auf In-Cluster-Namespaces erfordert außerdem die Zuweisung von Azure Kubernetes Service RBAC-Rollen zur Namespaceressource für einen entra-ID-aktivierten Cluster.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerService/managedClusters/managedNamespaces/read | Abrufen eines verwalteten Namespaces eines verwalteten Clusters |
| Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action | Auflisten von Clusteranmeldeinformationen eines verwalteten Namespaces |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows users to read Azure Kubernetes Service namespace resources. In-cluster namespace access further requires assignment of Azure Kubernetes Service RBAC roles to the namespace resource for an Entra ID enabled cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"name": "c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/managedNamespaces/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
RBAC-Administrator von Azure Kubernetes Service
Ermöglicht Ihnen das Verwalten aller Ressourcen unter einem Cluster/Namespace, außer das Aktualisieren oder Löschen von Ressourcenkontingenten und Namespaces.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Listet die clusterUser-Anmeldeinformationen eines verwalteten Clusters auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | Schreibt resourcequotas. |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | Löscht resourcequotas. |
| Microsoft.ContainerService/managedClusters/namespaces/write | Schreibt namespaces. |
| Microsoft.ContainerService/managedClusters/namespaces/delete | Löscht namespaces. |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
RBAC-Clusteradministrator von Azure Kubernetes Service
Ermöglicht Ihnen das Verwalten aller Ressourcen im Cluster.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Listet die clusterUser-Anmeldeinformationen eines verwalteten Clusters auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
RBAC-Leser von Azure Kubernetes Service
Ermöglicht schreibgeschützten Zugriff, um die meisten Objekte in einem Namespace anzuzeigen. Es ist nicht möglich, Rollen oder Rollenbindungen anzuzeigen. Diese Rolle lässt das Anzeigen von Geheimnissen nicht zu, da das Lesen des Inhalts von Geheimnissen den Zugriff auf ServiceAccount-Anmeldeinformationen im Namespace ermöglicht, was den API-Zugriff als beliebiges Dienstkonto im Namespace ermöglichen würde (eine Form von Berechtigungsausweitung). Wenn Sie diese Rolle im Clusterumfang anwenden, wird der Zugriff auf alle Namespaces ermöglicht.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | Liest daemonsets. |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | Liest deployments. |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | Liest replicasets. |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Liest statefulsets. |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Liest horizontalpodautoscalers. |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | Liest cronjobs. |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | Liest jobs. |
| Microsoft.ContainerService/managedClusters/configmaps/read | Liest configmaps. |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Liest endpointslices. |
| Microsoft.ContainerService/managedClusters/endpoints/read | Liest endpoints. |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Liest events. |
| Microsoft.ContainerService/managedClusters/events/read | Liest events. |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | Liest daemonsets. |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | Liest deployments. |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Liest ingresses. |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Liest networkpolicies. |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Liest replicasets. |
| Microsoft.ContainerService/managedClusters/limitranges/read | Liest limitranges. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Liest pods. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Liest nodes. |
| Microsoft.ContainerService/managedClusters/namespaces/read | Liest namespaces. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Liest ingresses. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Liest networkpolicies. |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | Liest persistentvolumeclaims. |
| Microsoft.ContainerService/managedClusters/pods/read | Liest pods. |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Liest poddisruptionbudgets. |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | Liest replicationcontrollers. |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Liest resourcequotas. |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | Liest serviceaccounts. |
| Microsoft.ContainerService/managedClusters/services/read | Liest services. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
RBAC-Writer von Azure Kubernetes Service
Ermöglicht Lese-/Schreibzugriff auf die meisten Objekte in einem Namespace. Diese Rolle lässt das Anzeigen oder Ändern von Rollen oder Rollenbindungen nicht zu. Diese Rolle ermöglicht jedoch den Zugriff auf Geheimnisse und das Ausführen von Pods als beliebiges Dienstkonto im Namespace, sodass sie verwendet werden kann, um die API-Zugriffsebenen eines beliebigen ServiceAccount im Namespace zu erhalten. Wenn Sie diese Rolle im Clusterumfang anwenden, wird der Zugriff auf alle Namespaces ermöglicht.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | Liest controllerrevisions. |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | Liest leases. |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | Schreibt leases. |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | Löscht leases. |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Liest endpointslices. |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Liest events. |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/verwalteteCluster/Erweiterungen/Replikatsätze/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | Liest limitranges. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Liest pods. |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Liest nodes. |
| Microsoft.ContainerService/managedClusters/namespaces/read | Liest namespaces. |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | Liest resourcequotas. |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift Cloud Controller Manager
Verwalten und aktualisieren Sie den Cloudcontroller-Manager, der über OpenShift bereitgestellt wird.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Compute/virtualMachines/read | Dient zum Abrufen der Eigenschaften eines virtuellen Computers. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Verknüpft einen Back-End-Adresspool für den Lastenausgleich. Nicht warnbar. |
| Microsoft.Network/loadBalancers/read | Ruft eine Lastenausgleichsdefinition ab. |
| Microsoft.Network/loadBalancers/write | Erstellt einen Lastenausgleich oder aktualisiert einen vorhandenen Lastenausgleich. |
| Microsoft.Network/networkInterfaces/read | Ruft eine Netzwerkschnittstellendefinition ab. |
| Microsoft.Network/networkInterfaces/write | Erstellt eine Netzwerkschnittstelle oder aktualisiert eine vorhandene Netzwerkschnittstelle. |
| Microsoft.Network/networkSecurityGroups/read | Ruft eine Netzwerksicherheitsgruppen-Definition ab. |
| Microsoft.Network/networkSecurityGroups/write | Erstellt eine Netzwerksicherheitsgruppe oder aktualisiert eine vorhandene Netzwerksicherheitsgruppe. |
| Microsoft.Network/publicIPAddresses/join/action | Verknüpft eine öffentliche IP-Adresse. Nicht warnbar. |
| Microsoft.Network/publicIPAddresses/read | Ruft eine Definition für eine öffentliche IP-Adresse ab. |
| Microsoft.Network/publicIPAddresses/write | Erstellt eine öffentliche IP-Adresse oder aktualisiert eine vorhandene öffentliche IP-Adresse. |
| Microsoft.Network/publicIPAddresses/delete | Löscht eine öffentliche IP-Adresse. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Verknüpft ein virtuelles Netzwerk. Nicht warnbar. |
| Microsoft.Network/virtualNetworks/subnets/read | Ruft eine Subnetzdefinition für virtuelle Netzwerke ab. |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | Verknüpft eine NAT-Regel für eingehenden Datenverkehr für den Lastenausgleich. Nicht warnbar. |
| Microsoft.Network/Netzwerksicherheitsgruppen/beitreten/aktion | Verknüpft eine Netzwerksicherheitsgruppe. Nicht warnbar. |
| Microsoft.Network/publicIPPrefixes/join/action | Verknüpft ein PublicIPPrefix. Nicht warnbar. |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Dient zum Verknüpfen der Sicherheitsregel mit Anwendungssicherheitsgruppen. Nicht warnbar. |
| Microsoft.Network/virtualNetworks/subnets/write | Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke. |
| Microsoft.Network/privatelinkservices/write | Erstellt einen neuen privaten Verknüpfungsdienst oder aktualisiert einen vorhandenen privaten Verknüpfungsdienst. |
| Microsoft.Network/privatelinkservices/read | Ruft eine private Verknüpfungsdienst-Ressource ab. |
| Microsoft.Network/privatelinkservices/delete | Löscht eine private Verknüpfungsdienst-Ressource. |
| Microsoft.Network/loadBalancers/loadBalancingRules/read | Ruft eine Lastenausgleichsregel-Definition für den Lastenausgleich ab. |
| Microsoft.Network/serviceEndpointPolicies/join/action | Verknüpft eine Dienstendpunktrichtlinie. Nicht warnbar. |
| Microsoft.Network/natGateways/join/action | Stellt eine Verknüpfung mit einem NAT-Gateway her |
| Microsoft.Network/networkIntentPolicies/join/action | Verknüpft eine Netzwerkabsichtsrichtlinie. Nicht warnbar. |
| Microsoft.Network/Netzwerksicherheitsgruppen/beitreten/aktion | Verknüpft eine Netzwerksicherheitsgruppe. Nicht warnbar. |
| Microsoft.Network/routeTables/join/action | Verknüpft eine Routingtabelle. Nicht warnbar. |
| Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action | Aktionsberechtigung zum Zuordnen von Ressourcen zum IPAM-Pool |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Manage and update the cloud controller manager deployed on top of OpenShift.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a1f96423-95ce-4224-ab27-4e3dc72facd4",
"name": "a1f96423-95ce-4224-ab27-4e3dc72facd4",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/publicIPPrefixes/join/action",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/privatelinkservices/write",
"Microsoft.Network/privatelinkservices/read",
"Microsoft.Network/privatelinkservices/delete",
"Microsoft.Network/loadBalancers/loadBalancingRules/read",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cloud Controller Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator für Azure Red Hat OpenShift-Clustereingang
Verwalten und Konfigurieren des OpenShift-Routers.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Network/dnsZonen/A/löschen | Dient zum Entfernen des Ressourceneintragssatzes mit einem bestimmten Namen und dem Typ „A“ aus einer DNS-Zone. |
| Microsoft.Network/dnsZones/A/write | Dient zum Erstellen oder Aktualisieren eines Ressourceneintragssatzes vom Typ „A“ innerhalb einer DNS-Zone. Die aktuellen Ressourceneinträge des Ressourceneintragssatzes werden durch die angegebenen Einträge ersetzt. |
| Microsoft.Network/privateDnsZones/A/delete | Entfernt den Ressourceneintragssatz mit einem bestimmten Namen und dem Typ „A“ aus einer Zone mit privatem DNS. |
| Microsoft.Network/privateDnsZones/A/write | Erstellt oder aktualisiert einen Ressourceneintragssatz vom Typ „A“ innerhalb einer Zone mit privatem DNS. Die aktuellen Ressourceneinträge des Ressourceneintragssatzes werden durch die angegebenen Einträge ersetzt. |
| Microsoft.Network/virtualNetworks/subnets/read | Ruft eine Subnetzdefinition für virtuelle Netzwerke ab. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Verknüpft ein virtuelles Netzwerk. Nicht warnbar. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Manage and configure the OpenShift router.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0336e1d3-7a87-462b-b6db-342b63f7802c",
"name": "0336e1d3-7a87-462b-b6db-342b63f7802c",
"permissions": [
{
"actions": [
"Microsoft.Network/dnsZones/A/delete",
"Microsoft.Network/dnsZones/A/write",
"Microsoft.Network/privateDnsZones/A/delete",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cluster Ingress Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift Festplattenspeicher-Operator
Installieren Sie CSI-Treiber (Container Storage Interface), mit denen Ihr Cluster Azure Disks verwenden kann. Legen Sie OpenShift clusterweite Speicherstandardeinstellungen fest, um sicherzustellen, dass eine Standardspeicherklasse für Cluster vorhanden ist.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Compute/virtualMachines/write | Erstellt einen neuen virtuellen Computer oder aktualisiert einen vorhandenen virtuellen Computer. |
| Microsoft.Compute/virtualMachines/read | Dient zum Abrufen der Eigenschaften eines virtuellen Computers. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Aktualisiert die Eigenschaften eines virtuellen Computers in einer VM-Skalierungsgruppe. |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Ruft die Eigenschaften eines virtuellen Computers in einer VM-Skalierungsgruppe ab. |
| Microsoft.Compute/virtualMachineScaleSets/read | Dient zum Abrufen der Eigenschaften einer VM-Skalierungsgruppe. |
| Microsoft.Compute/snapshots/write | Dient zum Erstellen einer neuen Momentaufnahme oder zum Aktualisieren einer bereits vorhandenen. |
| Microsoft.Compute/snapshots/read | Dient zum Abrufen der Eigenschaften einer Momentaufnahme. |
| Microsoft.Compute/snapshots/delete | Dient zum Löschen einer Momentaufnahme. |
| Microsoft.Compute/Standorte/Vorgänge/Lesen | Ruft den Status eines asynchronen Vorgangs ab. |
| Microsoft.Compute/locations/DiskOperations/read | Ruft den Status eines asynchronen Vorgangs zum Abrufen von Datenträgern ab. |
| Microsoft.Compute/Festplatten/schreiben | Erstellt einen neuen Datenträger oder aktualisiert einen bereits vorhandenen. |
| Microsoft.Compute/disks/read | Dient zum Abrufen der Eigenschaften eines Datenträgers. |
| Microsoft.Compute/Disks/Delete | Löscht den Datenträger. |
| Microsoft.Compute/disks/beginGetAccess/action | Dient zum Abrufen des SAS-URIs des Datenträgers für den Blobzugriff. |
| Microsoft.Compute/diskEncryptionSets/read | Abrufen der Eigenschaften eines Datenträgerverschlüsselungssatzes |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Disks. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b7237c5-45e1-49d6-bc18-a1f62f400748",
"name": "5b7237c5-45e1-49d6-bc18-a1f62f400748",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/DiskOperations/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Disk Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift-Verbundanmeldeinformationen
Erstellen, aktualisieren und löschen Sie Verbundanmeldeinformationen für vom Benutzer zugewiesene verwaltete Identitäten, um eine Vertrauensstellung zwischen der verwalteten Identität, OpenID Connect (OIDC) und dem Dienstkonto zu erstellen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Ruft eine vorhandene zugewiesene Benutzeridentität ab. |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Erstellen oder Aktualisieren von Anmeldeinformationen für eine Verbundidentität |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Abrufen oder Auflisten der Anmeldeinformationen für Verbundidentität |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Löschen von Anmeldeinformationen für eine Verbundidentität |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Create, update and delete federated credentials on user assigned managed identities in order to build a trust relationship between the managed identity, OpenID Connect (OIDC), and the service account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"name": "ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Federated Credential",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift: File Storage Operator
Installieren Sie CSI-Treiber (Container Storage Interface), mit denen Ihr Cluster Azure Files verwenden kann. Legen Sie OpenShift clusterweite Speicherstandardeinstellungen fest, um sicherzustellen, dass eine Standardspeicherklasse für Cluster vorhanden ist.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Storage/storageAccounts/delete | Löscht ein vorhandenes Speicherkonto. |
| Microsoft.Storage/storageAccounts/fileServices/read | Ruft Dateidiensteigenschaften ab. |
| Microsoft.Storage/storageAccounts/fileServices/shares/delete | Hiermit wird eine Dateifreigabe gelöscht. |
| Microsoft.Storage/storageAccounts/fileServices/shares/read | Hiermit werden Dateifreigaben aufgelistet. |
| Microsoft.Storage/storageAccounts/fileServices/shares/write | Hiermit wird eine Dateifreigabe erstellt oder aktualisiert. |
| Microsoft.Storage/storageAccounts/listKeys/action | Gibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück. |
| Microsoft.Storage/SpeicherKonten/lesen | Gibt die Liste mit Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab. |
| Microsoft.Storage/storageAccounts/write | Erstellt ein Speicherkonto mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Tags oder fügt eine benutzerdefinierte Domäne zum angegebenen Speicherkonto hinzu. |
| Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action | Bestätigt Verbindungen mit privaten Endpunkten |
| Microsoft.Network/Netzwerksicherheitsgruppen/beitreten/aktion | Verknüpft eine Netzwerksicherheitsgruppe. Nicht warnbar. |
| Microsoft.Network/virtualNetworks/subnets/read | Ruft eine Subnetzdefinition für virtuelle Netzwerke ab. |
| Microsoft.Network/virtualNetworks/subnets/write | Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke. |
| Microsoft.Network/routeTables/join/action | Verknüpft eine Routingtabelle. Nicht warnbar. |
| Microsoft.Network/natGateways/join/action | Stellt eine Verknüpfung mit einem NAT-Gateway her |
| Microsoft.Network/virtualNetworks/join/action | Verknüpft ein virtuelles Netzwerk. Nicht warnbar. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Verknüpft ein virtuelles Netzwerk. Nicht warnbar. |
| Microsoft.Network/privateEndpoints/write | Erstellt einen neuen privaten Endpunkt oder aktualisiert einen vorhandenen privaten Endpunkt. |
| Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action | Aktionsberechtigung zum Zuordnen von Ressourcen zum IPAM-Pool |
| Microsoft.Network/networkIntentPolicies/join/action | Verknüpft eine Netzwerkabsichtsrichtlinie. Nicht warnbar. |
| Microsoft.Network/serviceEndpointPolicies/join/action | Verknüpft eine Dienstendpunktrichtlinie. Nicht warnbar. |
| Microsoft.Network/locations/operations/read | Ruft die Vorgangsressource ab, die den Status eines asynchronen Vorgangs darstellt. |
| Microsoft.Network/privateDnsOperationStatuses/read | Ruft den Status eines Vorgangs mit Privatem DNS ab |
| Microsoft.Network/privateDnsZones/read | Ruft die Eigenschaften der Zone mit Privatem DNS im JSON-Format ab. Beachten Sie, dass dieser Befehl weder die virtuellen Netzwerke abruft, mit denen die Zone mit Privatem DNS verknüpft ist, noch die in der Zone enthaltenen Ressourceneintragssätze. |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/read | Ruft die Verknüpfung der Zone mit Privatem DNS mit den Eigenschaften des virtuellen Netzwerks im JSON-Format ab |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | Erstellt oder aktualisiert die Verknüpfung einer Zone mit Privatem DNS mit dem virtuellen Netzwerk |
| Microsoft.Network/privateDnsZones/write | Erstellt oder aktualisiert eine Zone mit Privatem DNS innerhalb einer Ressourcengruppe. Beachten Sie, dass dieser Befehl nicht zum Erstellen oder Aktualisieren von Verknüpfungen mit dem virtuellen Netzwerk oder von Ressourceneintragssätzen innerhalb der Zone verwendet werden kann. |
| Microsoft.Network/privateDnsZones/join/action | Verknüpft eine private DNS-Zone |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | Übermittelt eine private DNS-Zonengruppe. |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | Ruft eine private DNS-Zonengruppe ab. |
| Microsoft.Network/privateEndpoints/read | Ruft eine private Endpunktressource ab. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Files. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0d7aedc0-15fd-4a67-a412-efad370c947e",
"name": "0d7aedc0-15fd-4a67-a412-efad370c947e",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/delete",
"Microsoft.Storage/storageAccounts/fileServices/shares/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/locations/operations/read",
"Microsoft.Network/privateDnsOperationStatuses/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateEndpoints/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift File Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift-Imageregistrierungsoperator
Ermöglicht Berechtigungen für den Operator zum Verwalten einer Singleton-Instanz der OpenShift-Imageregistrierung. Es verwaltet alle Konfigurationen der Registrierung, einschließlich des Erstellens von Speicher.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Storage/Speicherkonten/Blob-Dienste/lesen | Gibt Eigenschaften oder Statistiken des Blob-Diensts zurück. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Hiermit wird eine Liste von Containern zurückgegeben. |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Gibt das Ergebnis des PUT-Vorgangs für den Blobcontainer zurück. |
| Microsoft.Storage/storageAccounts/blobServices/containers/delete | Gibt das Ergebnis beim Löschen eines Containers zurück. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Gibt einen Benutzerdelegierungsschlüssel für den Blobdienst zurück. |
| Microsoft.Storage/SpeicherKonten/lesen | Gibt die Liste mit Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab. |
| Microsoft.Storage/storageAccounts/write | Erstellt ein Speicherkonto mit den angegebenen Parametern oder aktualisiert die Eigenschaften oder Tags oder fügt eine benutzerdefinierte Domäne zum angegebenen Speicherkonto hinzu. |
| Microsoft.Storage/storageAccounts/delete | Löscht ein vorhandenes Speicherkonto. |
| Microsoft.Storage/storageAccounts/listKeys/action | Gibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück. |
| Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action | Bestätigt Verbindungen mit privaten Endpunkten |
| Microsoft.Resources/tags/write | Aktualisiert die Tags einer Ressource durch Ersetzen oder Zusammenführen vorhandener Tags mit einem neuen Satz von Tags oder entfernt die vorhandenen Tags |
| Microsoft.Network/privateEndpoints/write | Erstellt einen neuen privaten Endpunkt oder aktualisiert einen vorhandenen privaten Endpunkt. |
| Microsoft.Network/privateEndpoints/read | Ruft eine private Endpunktressource ab. |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | Übermittelt eine private DNS-Zonengruppe. |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | Ruft eine private DNS-Zonengruppe ab. |
| Microsoft.Network/privateDnsZones/read | Ruft die Eigenschaften der Zone mit Privatem DNS im JSON-Format ab. Beachten Sie, dass dieser Befehl weder die virtuellen Netzwerke abruft, mit denen die Zone mit Privatem DNS verknüpft ist, noch die in der Zone enthaltenen Ressourceneintragssätze. |
| Microsoft.Network/privateDnsZones/write | Erstellt oder aktualisiert eine Zone mit Privatem DNS innerhalb einer Ressourcengruppe. Beachten Sie, dass dieser Befehl nicht zum Erstellen oder Aktualisieren von Verknüpfungen mit dem virtuellen Netzwerk oder von Ressourceneintragssätzen innerhalb der Zone verwendet werden kann. |
| Microsoft.Network/privateDnsZones/join/action | Verknüpft eine private DNS-Zone |
| Microsoft.Network/privateDnsZones/A/write | Erstellt oder aktualisiert einen Ressourceneintragssatz vom Typ „A“ innerhalb einer Zone mit privatem DNS. Die aktuellen Ressourceneinträge des Ressourceneintragssatzes werden durch die angegebenen Einträge ersetzt. |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | Erstellt oder aktualisiert die Verknüpfung einer Zone mit Privatem DNS mit dem virtuellen Netzwerk |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/read | Ruft die Verknüpfung der Zone mit Privatem DNS mit den Eigenschaften des virtuellen Netzwerks im JSON-Format ab |
| Microsoft.Network/networkInterfaces/read | Ruft eine Netzwerkschnittstellendefinition ab. |
| Microsoft.Network/virtualNetworks/subnets/read | Ruft eine Subnetzdefinition für virtuelle Netzwerke ab. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Verknüpft ein virtuelles Netzwerk. Nicht warnbar. |
| Microsoft.Network/virtualNetworks/join/action | Verknüpft ein virtuelles Netzwerk. Nicht warnbar. |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | Gibt das Ergebnis beim Löschen eines Blobs zurück. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | Gibt das Ergebnis beim Schreiben eines Blobs zurück. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | Gibt ein Blob oder eine Liste von Blobs zurück. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action | Gibt das Ergebnis beim Hinzufügen von Blobinhalten zurück. |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action | Verschiebt das Blob aus einem Pfad in einen anderen. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Enables permissions for the operator to manage a singleton instance of the OpenShift image registry. It manages all configuration of the registry, including creating storage.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"name": "8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Resources/tags/write",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/join/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action"
],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Image Registry Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift Machine API-Operator
Verwalten Sie den Lebenszyklus von benutzerdefinierten Ressourcendefinitionen (Custom Resource Definitions, CRD), Controllern und Azure RBAC-Objekten, die die Kubernetes-API erweitern, um den gewünschten Zustand von Computern in einem Cluster zu deklarieren.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Compute/availabilitySets/delete | Löscht die Verfügbarkeitsgruppe. |
| Microsoft.Compute/availabilitySets/read | Dient zum Abrufen der Eigenschaften einer Verfügbarkeitsgruppe. |
| Microsoft.Compute/availabilitySets/write | Erstellt eine neue Verfügbarkeitsgruppe oder aktualisiert eine bereits vorhandene. |
| Microsoft.Compute/diskEncryptionSets/read | Abrufen der Eigenschaften eines Datenträgerverschlüsselungssatzes |
| Microsoft.Compute/Disks/Delete | Löscht den Datenträger. |
| Microsoft.Compute/Galerien/images/versions/read | Hiermit werden die Eigenschaften der Katalogimageversion abgerufen. |
| Microsoft.Compute/skus/read | Ruft die Liste der verfügbaren Microsoft.Compute-SKUs für Ihr Abonnement ab. |
| Microsoft.Compute/virtualMachines/delete | Löscht den virtuellen Computer. |
| Microsoft.Compute/virtualMachines/read | Dient zum Abrufen der Eigenschaften eines virtuellen Computers. |
| Microsoft.Compute/virtualMachines/write | Erstellt einen neuen virtuellen Computer oder aktualisiert einen vorhandenen virtuellen Computer. |
| Microsoft.Compute/capacityReservationGroups/deploy/action | Bereitstellen einer neuen VM/VMSS mithilfe einer Kapazitätsreservierungsgruppe |
| Microsoft.ManagedIdentity/userAssignedIdentities/assign/action | RBAC-Aktion für das Zuweisen einer vorhandenen Identität, die einem Benutzer zugewiesen ist, zu einer Ressource |
| Microsoft.Network/applicationSecurityGroups/read | Ruft eine Anwendungssicherheitsgruppen-ID ab. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Verknüpft einen Back-End-Adresspool für den Lastenausgleich. Nicht warnbar. |
| Microsoft.Network/loadBalancers/read | Ruft eine Lastenausgleichsdefinition ab. |
| Microsoft.Network/loadBalancers/write | Erstellt einen Lastenausgleich oder aktualisiert einen vorhandenen Lastenausgleich. |
| Microsoft.Network/networkInterfaces/delete | Löscht eine Netzwerkschnittstelle. |
| Microsoft.Network/networkInterfaces/join/action | Verknüpft einen virtuellen Computer mit einer Netzwerkschnittstelle. Nicht warnbar. |
| Microsoft.Network/networkInterfaces/loadBalancers/read | Ruft alle Lastenausgleichsmodule ab, denen die Netzwerkschnittstelle angehört. |
| Microsoft.Network/networkInterfaces/read | Ruft eine Netzwerkschnittstellendefinition ab. |
| Microsoft.Network/networkInterfaces/write | Erstellt eine Netzwerkschnittstelle oder aktualisiert eine vorhandene Netzwerkschnittstelle. |
| Microsoft.Network/networkSecurityGroups/read | Ruft eine Netzwerksicherheitsgruppen-Definition ab. |
| Microsoft.Network/networkSecurityGroups/write | Erstellt eine Netzwerksicherheitsgruppe oder aktualisiert eine vorhandene Netzwerksicherheitsgruppe. |
| Microsoft.Network/publicIPAddresses/delete | Löscht eine öffentliche IP-Adresse. |
| Microsoft.Network/publicIPAddresses/join/action | Verknüpft eine öffentliche IP-Adresse. Nicht warnbar. |
| Microsoft.Network/publicIPAddresses/read | Ruft eine Definition für eine öffentliche IP-Adresse ab. |
| Microsoft.Network/publicIPAddresses/write | Erstellt eine öffentliche IP-Adresse oder aktualisiert eine vorhandene öffentliche IP-Adresse. |
| Microsoft.Network/routeTables/read | Ruft eine Routingtabellendefinition ab. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Verknüpft ein virtuelles Netzwerk. Nicht warnbar. |
| Microsoft.Network/virtualNetworks/subnets/read | Ruft eine Subnetzdefinition für virtuelle Netzwerke ab. |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Dient zum Verknüpfen der Sicherheitsregel mit Anwendungssicherheitsgruppen. Nicht warnbar. |
| Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action | Verknüpft eine Front-End-IP-Konfiguration für den Lastenausgleich. Nicht warnbar. |
| Microsoft.Network/loadBalancers/inboundNATRules/join/action | Verknüpft eine NAT-Regel für eingehenden Datenverkehr für den Lastenausgleich. Nicht warnbar. |
| Microsoft.Network/Netzwerksicherheitsgruppen/beitreten/aktion | Verknüpft eine Netzwerksicherheitsgruppe. Nicht warnbar. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Manage the lifecycle of specific-purpose custom resource definitions (CRD), controllers, and Azure RBAC objects that extend the Kubernetes API to declares the desired state of machines in a cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0358943c-7e01-48ba-8889-02cc51d78637",
"name": "0358943c-7e01-48ba-8889-02cc51d78637",
"permissions": [
{
"actions": [
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/capacityReservationGroups/deploy/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action",
"Microsoft.Network/loadBalancers/inboundNATRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Machine API Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift-Netzbetreiber
Installieren und aktualisieren Sie die Netzwerkkomponenten in einem OpenShift-Cluster.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Network/networkInterfaces/read | Ruft eine Netzwerkschnittstellendefinition ab. |
| Microsoft.Network/networkInterfaces/write | Erstellt eine Netzwerkschnittstelle oder aktualisiert eine vorhandene Netzwerkschnittstelle. |
| Microsoft.Network/virtualNetworks/read | Dient zum Abrufen der Definition des virtuellen Netzwerks. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Verknüpft ein virtuelles Netzwerk. Nicht warnbar. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Verknüpft einen Back-End-Adresspool für den Lastenausgleich. Nicht warnbar. |
| Microsoft.Network/loadBalancers/backendAddressPools/read | Ruft eine Back-End-Adresspooldefinition für den Lastenausgleich ab. |
| Microsoft.Compute/virtualMachines/read | Dient zum Abrufen der Eigenschaften eines virtuellen Computers. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Install and upgrade the networking components on an OpenShift cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/be7a6435-15ae-4171-8f30-4a343eff9e8f",
"name": "be7a6435-15ae-4171-8f30-4a343eff9e8f",
"permissions": [
{
"actions": [
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Compute/virtualMachines/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Network Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift-Dienstoperator
Verwalten der Computerintegrität, der Netzwerkkonfiguration, der Überwachung und anderer Features, die für die fortgesetzte Funktionalität eines OpenShift-Clusters als verwalteter Dienst spezifisch sind.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Network/virtualNetworks/subnets/read | Ruft eine Subnetzdefinition für virtuelle Netzwerke ab. |
| Microsoft.Network/virtualNetworks/subnets/write | Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke. |
| Microsoft.Network/natGateways/join/action | Stellt eine Verknüpfung mit einem NAT-Gateway her |
| Microsoft.Network/routeTables/join/action | Verknüpft eine Routingtabelle. Nicht warnbar. |
| Microsoft.Network/Netzwerksicherheitsgruppen/beitreten/aktion | Verknüpft eine Netzwerksicherheitsgruppe. Nicht warnbar. |
| Microsoft.Network/serviceEndpointPolicies/join/action | Verknüpft eine Dienstendpunktrichtlinie. Nicht warnbar. |
| Microsoft.Network/networkIntentPolicies/join/action | Verknüpft eine Netzwerkabsichtsrichtlinie. Nicht warnbar. |
| Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action | Aktionsberechtigung zum Zuordnen von Ressourcen zum IPAM-Pool |
| Microsoft.Storage/storageAccounts/listKeys/action | Gibt die Zugriffsschlüssel für das angegebene Speicherkonto zurück. |
| Microsoft.Storage/SpeicherKonten/lesen | Gibt die Liste mit Speicherkonten zurück oder ruft die Eigenschaften für das angegebene Speicherkonto ab. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Maintain machine health, network configuration, monitoring, and other features that are specific to an OpenShift cluster's continued functionality as a managed service.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4436bae4-7702-4c84-919b-c4069ff25ee2",
"name": "4436bae4-7702-4c84-919b-c4069ff25ee2",
"permissions": [
{
"actions": [
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Service Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
CheckAccess-Leser für vernetzte verwaltete Clusteridentität
Integrierte Rolle, mit der eine verwaltete Identität eines verbundenen Clusters die checkAccess-API aufrufen kann
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mitwirkender von Container Apps ConnectedEnvironments
Vollständige Verwaltung von Container-Apps ConnectedEnvironments, einschließlich Erstellung, Löschung und Updates.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.App/connectedEnvironments/* | |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/*/write | |
| Microsoft.App/connectedEnvironments/*/delete | |
| Microsoft.App/connectedEnvironments/*/action | |
| Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action | Geheime Schlüssel einer Dapr-Komponente auflisten |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ConnectedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"name": "6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/connectedEnvironments/*",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/*/write",
"Microsoft.App/connectedEnvironments/*/delete",
"Microsoft.App/connectedEnvironments/*/action",
"Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leser von Container Apps ConnectedEnvironments
Lesezugriff auf Container Apps in verbundenen Umgebungen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.App/connectedEnvironments/read | Abrufen einer vernetzten Umgebung |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Read access to Container Apps ConnectedEnvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"name": "d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps-Mitwirkender
Vollständige Verwaltung von Container-Apps, einschließlich Erstellung, Löschung und Updates.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/write | |
| Microsoft.App/containerApps/*/löschen | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | Abrufen einer verwalteten Umgebung |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | Ermöglicht das Erstellen einer Container App in einer verwalteten Umgebung |
| Microsoft.App/verwalteteUmgebungen/prüfeNamenverfügbarkeit/aktion | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verwaltete Umgebung |
| Microsoft.App/connectedEnvironments/read | Abrufen einer vernetzten Umgebung |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Ermöglicht das Erstellen einer Container App oder eines Container Apps-Auftrags in einer verbundenen Umgebung |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verbundene Umgebung |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/358470bc-b998-42bd-ab17-a7e34c199c0f",
"name": "358470bc-b998-42bd-ab17-a7e34c199c0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/write",
"Microsoft.App/containerApps/*/delete",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mitwirkender für Container Apps-Aufträge
Vollständige Verwaltung von Container-Apps-Aufträgen, einschließlich Erstellung, Löschung und Updates.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| microsoft.app/jobs/read | Abrufen eines Container Apps-Auftrags |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.App/jobs/write | Erstellen oder Aktualisieren eines Container Apps-Auftrags |
| Microsoft.App/Aufträge/Löschen | Löschen eines Container Apps-Auftrags |
| Microsoft.app/managedenvironments/read | Abrufen einer verwalteten Umgebung |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | Ermöglicht das Erstellen einer Container App in einer verwalteten Umgebung |
| Microsoft.App/managedenvironments/checknameavailability/action | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verwaltete Umgebung |
| Microsoft.app/connectedEnvironments/read | Abrufen einer vernetzten Umgebung |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Ermöglicht das Erstellen einer Container App oder eines Container Apps-Auftrags in einer verbundenen Umgebung |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verbundene Umgebung |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps jobs, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"name": "4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.App/jobs/write",
"Microsoft.App/jobs/delete",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps-Auftragsoperator
Container Apps-Aufträge lesen, starten und beenden.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| microsoft.app/jobs/read | Abrufen eines Container Apps-Auftrags |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.app/managedenvironments/read | Abrufen einer verwalteten Umgebung |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | Ermöglicht das Erstellen einer Container App in einer verwalteten Umgebung |
| Microsoft.App/managedenvironments/checknameavailability/action | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verwaltete Umgebung |
| Microsoft.app/connectedEnvironments/read | Abrufen einer vernetzten Umgebung |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Ermöglicht das Erstellen einer Container App oder eines Container Apps-Auftrags in einer verbundenen Umgebung |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verbundene Umgebung |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.App/jobs/logstream/action | Anzeigen des Protokolldatenstroms eines Container App-Auftrags |
| Microsoft.App/jobs/exec/action | Herstellen einer Verbindung mit der Konsole eines Container App-Auftrags |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Read, start, and stop Container Apps jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"name": "b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/jobs/logstream/action",
"Microsoft.App/jobs/exec/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps-Aufträge: Leser
Lesezugriff auf ContainerApps-Jobs
| Aktionen | BESCHREIBUNG |
|---|---|
| microsoft.app/jobs/read | Abrufen eines Container Apps-Auftrags |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/managedenvironments/read | Abrufen einer verwalteten Umgebung |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps jobs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/edd66693-d32a-450b-997d-0158c03976b0",
"name": "edd66693-d32a-450b-997d-0158c03976b0",
"permissions": [
{
"actions": [
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/managedenvironments/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mitwirkender für verwaltete Umgebungen von Container Apps
Vollständige Verwaltung von Container-Apps in verwalteten Umgebungen, einschließlich Erstellung, Löschung und Aktualisierungen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/*/write | |
| Microsoft.App/managedEnvironments/*/delete (löschen) | |
| Microsoft.App/managedEnvironments/*/action | |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ManagedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/57cc5028-e6a7-4284-868d-0611c5923f8d",
"name": "57cc5028-e6a7-4284-868d-0611c5923f8d",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/*/write",
"Microsoft.App/managedEnvironments/*/delete",
"Microsoft.App/managedEnvironments/*/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leser für verwaltete Umgebungen von Container Apps
Lesezugriff auf verwaltete Umgebungen in ContainerApp.s
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.App/managedEnvironments/*/read | |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps managedenvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"name": "1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container-Apps-Betreiber
Lesen, Protokollstream und Exec in Container Apps.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | Abrufen einer verwalteten Umgebung |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | Ermöglicht das Erstellen einer Container App in einer verwalteten Umgebung |
| Microsoft.App/verwalteteUmgebungen/prüfeNamenverfügbarkeit/aktion | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verwaltete Umgebung |
| Microsoft.App/connectedEnvironments/read | Abrufen einer vernetzten Umgebung |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Ermöglicht das Erstellen einer Container App oder eines Container Apps-Auftrags in einer verbundenen Umgebung |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verbundene Umgebung |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.App/containerApps/logstream/action | Anzeigen des Protokolldatenstroms einer Container App |
| Microsoft.App/containerApps/exec/action | Herstellen einer Verbindung mit der Konsole einer Container App |
| Microsoft.App/containerApps/debug/action | Herstellen einer Verbindung mit der Debugging-Konsole einer Container App |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Read, logstream and exec into Container Apps.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"name": "f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/containerApps/logstream/action",
"Microsoft.App/containerApps/exec/action",
"Microsoft.App/containerApps/debug/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps SessionPools-Mitwirkender
Vollständige Verwaltung von Container-Apps-Session-Pools, einschließlich Erstellung, Löschung und Aktualisierungen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.App/sessionPools/*/read | |
| Microsoft.App/sessionPools/*/write | |
| Microsoft.App/sessionPools/*/delete | |
| Microsoft.App/sessionPools/*/action | |
| microsoft.App/managedEnvironments/read | Abrufen einer verwalteten Umgebung |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | Ermöglicht das Erstellen einer Container App in einer verwalteten Umgebung |
| Microsoft.App/verwalteteUmgebungen/prüfeNamenverfügbarkeit/aktion | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verwaltete Umgebung |
| microsoft.App/connectedEnvironments/read | Abrufen einer vernetzten Umgebung |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Ermöglicht das Erstellen einer Container App oder eines Container Apps-Auftrags in einer verbundenen Umgebung |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Überprüfen der Verfügbarkeit von Ressourcennamen für eine verbundene Umgebung |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| NotActions | |
| Microsoft.App/sessionPools/fetchMcpServerCredentials/action | Abrufen der MCP-Serveranmeldeinformationen eines Sitzungspools |
| Microsoft.App/sessionPools/rotateMcpServerCredentials/action | Drehen der MCP-Serveranmeldeinformationen eines Sitzungspools |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps SessionPools, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"name": "f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read",
"Microsoft.App/sessionPools/*/write",
"Microsoft.App/sessionPools/*/delete",
"Microsoft.App/sessionPools/*/action",
"microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [
"Microsoft.App/sessionPools/fetchMcpServerCredentials/action",
"Microsoft.App/sessionPools/rotateMcpServerCredentials/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps SessionPools-Leser
Lesezugriff auf Container Apps-Sessionpools.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.App/sessionPools/*/read | |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps sessionpools.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/af61e8fc-2633-4b95-bed3-421ad6826515",
"name": "af61e8fc-2633-4b95-bed3-421ad6826515",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Für die Administration von Container Registry-Cacheregeln zuständige Person
Erstellen, Lesen, Aktualisieren und Löschen von Cacheregeln in der Containerregistrierung. Diese Rolle gewährt keine Berechtigungen zum Verwalten von Anmeldeinformationen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | Ruft die Eigenschaften der angegebenen Cacheregel ab oder listet alle Cacheregeln für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/cacheRules/write | Erstellt oder aktualisiert eine Cacheregel für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/cacheRules/delete | Löscht eine Cacheregel aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read | Ruft den asynchronen Vorgangsstatus einer Cacheregel ab. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Cache Rules in Container Registry. This role doesn't grant permissions to manage Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/df87f177-bb12-4db1-9793-a413691eff94",
"name": "df87f177-bb12-4db1-9793-a413691eff94",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read",
"Microsoft.ContainerRegistry/registries/cacheRules/write",
"Microsoft.ContainerRegistry/registries/cacheRules/delete",
"Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Cacheregelleser für Container Registry
Lesen Sie die Konfiguration der Cache-Regeln in der Container-Registry. Diese Berechtigung gewährt keine Berechtigung zum Lesen von Anmeldedatensätzen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | Ruft die Eigenschaften der angegebenen Cacheregel ab oder listet alle Cacheregeln für die angegebene Containerregistrierung auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Cache Rules in Container Registry. This permission doesn't grant permission to read Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c357b964-0002-4b64-a50d-7a28f02edc52",
"name": "c357b964-0002-4b64-a50d-7a28f02edc52",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leser der Container Registry-Konfiguration und Leser der Datenzugriffskonfiguration
Stellt Berechtigungen zum Auflisten von Containerregistrierungen und Registrierungskonfigurationseigenschaften bereit. Stellt Berechtigungen zum Auflisten der Datenzugriffskonfiguration bereit, z. B. Administratorbenutzer-Anmeldeinformationen, Bereichszuordnungen und Token, die zum Lesen, Schreiben oder Löschen von Repositorys und Bildern verwendet werden können. Bietet keine direkten Berechtigungen zum Lesen, Auflisten oder Schreiben von Registrierungsinhalten einschließlich Repositorys und Bildern. Bietet keine Berechtigungen zum Ändern von Datenebeneninhalten wie Importen, Artefaktcache oder Synchronisierung und Übertragung von Pipelines. Stellt keine Berechtigungen zum Verwalten von Aufgaben bereit.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/operationStatuses/read | Ruft den Status eines asynchronen Registrierungsvorgangs ab. |
| Microsoft.ContainerRegistry/registries/read | Ruft die Eigenschaften der angegebenen Containerregistrierung ab oder listet alle Containerregistrierungen unter der angegebenen Ressourcengruppe oder dem angegebenen Abonnement auf. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | Ruft die Eigenschaften der Verbindung mit privaten Endpunkten ab oder listet alle Verbindungen mit privaten Endpunkten für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Ruft den Status des asynchronen Vorgangs der Verbindung eines privaten Endpunkts ab |
| Microsoft.ContainerRegistry/registries/listCredentials/action | Listet die Anmeldeinformationen für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/tokens/read | Ruft die Eigenschaften des angegebenen Tokens ab oder listet alle Token für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | Ruft den Status des asynchronen Vorgangs eines Tokens ab. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | Ruft die Eigenschaften der angegebenen Bereichszuordnung ab oder listet alle Bereichszuordnungen für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | Ruft den Status eines asynchronen Vorgangs der Bereichszuordnung ab. |
| Microsoft.ContainerRegistry/registries/webhooks/read | Ruft die Eigenschaften des angegebenen Webhooks ab oder listet alle Webhooks für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | Ruft die Konfiguration des Dienst-URI und benutzerdefinierte Header für den Webhook ab. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | Listet die aktuellen Ereignisse für den angegebenen Webhook auf. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | Ruft den Status eines asynchronen Webhookvorgangs ab. |
| Microsoft.ContainerRegistry/registries/replications/read | Ruft die Eigenschaften der angegebenen Replikation ab oder listet alle Replikationen für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registrierungen/replikationen/operationsstatus/lesen | Ruft den Status eines asynchronen Replikationsvorgangs ab. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | Ruft die Eigenschaften der angegebenen verbundenen Registrierung ab oder listet alle verbundenen Registrierungen für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | Ruft die Diagnoseeinstellung für die Ressource ab. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | Erstellt oder aktualisiert die Diagnoseeinstellung für die Ressource. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Ruft die verfügbaren Protokolle für die Microsoft-Containerregistrierung ab. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Ruft die verfügbaren Metriken für die Microsoft-Containerregistrierung ab. |
| Microsoft.Insights/AlertRules/Write | Erstellt oder aktualisiert eine klassische Metrikwarnung. |
| Microsoft.Insights/AlertRules/Delete | Löscht eine klassische Metrikwarnung. |
| Microsoft.Insights/AlertRules/Read | Liest eine klassische Metrikwarnung. |
| Microsoft.Insights/AlertRules/Activated/Action | Klassische Metrikwarnung aktiviert |
| Microsoft.Insights/AlertRules/Resolved/Action | Klassische Metrikwarnung gelöst |
| Microsoft.Insights/AlertRules/Gedrosselt/Maßnahme | Klassische Metrikwarnungsregel gedrosselt |
| Microsoft.Insights/AlertRules/Incidents/Read | Liest eine klassische Metrikwarnung zu einem Vorfall. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry – Mitwirkende und Datenzugriffskonfiguration – Admin
Stellt Berechtigungen zum Erstellen, Auflisten und Aktualisieren von Containerregistrierungen und Registrierungskonfigurationseigenschaften bereit. Bietet Berechtigungen zum Konfigurieren des Datenzugriffs wie Administratorbenutzer-Anmeldeinformationen, Bereichszuordnungen und Token, die zum Lesen, Schreiben oder Löschen von Repositorys und Bildern verwendet werden können. Bietet keine direkten Berechtigungen zum Lesen, Auflisten oder Schreiben von Registrierungsinhalten einschließlich Repositorys und Bildern. Bietet keine Berechtigungen zum Ändern von Datenebeneninhalten wie Importen, Artefaktcache oder Synchronisierung und Übertragung von Pipelines. Stellt keine Berechtigungen zum Verwalten von Aufgaben bereit.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerRegistry/registries/operationStatuses/read | Ruft den Status eines asynchronen Registrierungsvorgangs ab. |
| Microsoft.ContainerRegistry/registries/read | Ruft die Eigenschaften der angegebenen Containerregistrierung ab oder listet alle Containerregistrierungen unter der angegebenen Ressourcengruppe oder dem angegebenen Abonnement auf. |
| Microsoft.ContainerRegistry/registries/write | Erstellt oder aktualisiert eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/delete | Löscht eine Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/listCredentials/action | Listet die Anmeldeinformationen für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/regenerateCredential/action | Generiert die Anmeldeinformationen für die angegebene Containerregistrierung neu. |
| Microsoft.ContainerRegistry/registries/generateCredentials/action | Generiert Schlüssel für ein Token mit einer angegebenen Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/replications/read | Ruft die Eigenschaften der angegebenen Replikation ab oder listet alle Replikationen für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/replications/write | Erstellt oder aktualisiert eine Replikation für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/replications/delete | Löscht eine Replikation aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registrierungen/replikationen/operationsstatus/lesen | Ruft den Status eines asynchronen Replikationsvorgangs ab. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action | Genehmigt automatisch eine Verbindung mit privaten Endpunkten. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | Ruft die Eigenschaften der Verbindung mit privaten Endpunkten ab oder listet alle Verbindungen mit privaten Endpunkten für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/write | Genehmigt/verweigert die Verbindung mit privaten Endpunkten. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete | Löscht die Verbindung mit privaten Endpunkten. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Ruft den Status des asynchronen Vorgangs der Verbindung eines privaten Endpunkts ab |
| Microsoft.ContainerRegistry/registries/tokens/read | Ruft die Eigenschaften des angegebenen Tokens ab oder listet alle Token für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/tokens/write | Erstellt oder aktualisiert ein Token für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/tokens/delete | Löscht ein Token aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | Ruft den Status des asynchronen Vorgangs eines Tokens ab. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | Ruft die Eigenschaften der angegebenen Bereichszuordnung ab oder listet alle Bereichszuordnungen für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/scopeMaps/write | Erstellt oder aktualisiert eine Bereichszuordnung für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/scopeMaps/delete | Löscht eine Bereichszuordnung aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | Ruft den Status eines asynchronen Vorgangs der Bereichszuordnung ab. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | Ruft die Diagnoseeinstellung für die Ressource ab. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | Erstellt oder aktualisiert die Diagnoseeinstellung für die Ressource. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Ruft die verfügbaren Protokolle für die Microsoft-Containerregistrierung ab. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Ruft die verfügbaren Metriken für die Microsoft-Containerregistrierung ab. |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | Ruft die Eigenschaften der angegebenen verbundenen Registrierung ab oder listet alle verbundenen Registrierungen für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/write | Erstellt oder aktualisiert eine verbundene Registrierung für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/delete | Löscht eine verbundene Registrierung aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action | Deaktiviert eine verbundene Registry für eine Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/webhooks/read | Ruft die Eigenschaften des angegebenen Webhooks ab oder listet alle Webhooks für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/webhooks/write | Erstellt oder aktualisiert einen Webhook für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/webhooks/delete | Löscht einen Webhook aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | Ruft die Konfiguration des Dienst-URI und benutzerdefinierte Header für den Webhook ab. |
| Microsoft.ContainerRegistry/registries/webhooks/ping/action | Löst ein Pingereignis aus, das an den Webhook gesendet werden muss. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | Listet die aktuellen Ereignisse für den angegebenen Webhook auf. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | Ruft den Status eines asynchronen Webhookvorgangs ab. |
| Microsoft.Insights/AlertRules/Write | Erstellt oder aktualisiert eine klassische Metrikwarnung. |
| Microsoft.Insights/AlertRules/Delete | Löscht eine klassische Metrikwarnung. |
| Microsoft.Insights/AlertRules/Read | Liest eine klassische Metrikwarnung. |
| Microsoft.Insights/AlertRules/Activated/Action | Klassische Metrikwarnung aktiviert |
| Microsoft.Insights/AlertRules/Resolved/Action | Klassische Metrikwarnung gelöst |
| Microsoft.Insights/AlertRules/Gedrosselt/Maßnahme | Klassische Metrikwarnungsregel gedrosselt |
| Microsoft.Insights/AlertRules/Incidents/Read | Liest eine klassische Metrikwarnung zu einem Vorfall. |
| Microsoft.ContainerRegistry/locations/operationResults/read | Ruft das Ergebnis eines asynchronen Vorgangs ab. |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | Verknüpft Ressourcen wie etwa ein Speicherkonto oder eine SQL-Datenbank mit einem Subnetz. Nicht warnbar. |
| Microsoft.Network/virtualNetworks/subnets/read | Ruft eine Subnetzdefinition für virtuelle Netzwerke ab. |
| Microsoft.Network/virtualNetworks/subnets/write | Erstellt ein Subnetz für virtuelle Netzwerke oder aktualisiert ein vorhandenes Subnetz für virtuelle Netzwerke. |
| Microsoft.Network/virtualNetworks/read | Dient zum Abrufen der Definition des virtuellen Netzwerks. |
| Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write | Erstellt einen neuen privaten Verknüpfungsdienstproxy oder aktualisiert einen vorhandenen privaten Verknüpfungsdienstproxy. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Für die Administration von Container Registry-Anmeldeinformationssätzen zuständige Person
Erstellen, Lesen, Aktualisieren und Löschen von Zugangsdaten in der Containerregistrierung. Diese Rolle wirkt sich nicht auf die erforderlichen Berechtigungen zum Speichern von Inhalten in Azure Key Vault aus. Diese Rolle gewährt auch keine Berechtigungen zum Verwalten von Cacheregeln.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | Ruft die Eigenschaften des angegebenen Anmeldeinformationssatzes ab oder listet alle Anmeldeinformationssätze für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/credentialSets/write | Erstellt oder aktualisiert einen Anmeldeinformationssatz für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/credentialSets/delete | Löscht einen Anmeldeinformationssatz aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read | Ruft einen asynchronen Vorgangsstatus für einen Anmeldeinformationssatz ab. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Credential Sets in Container Registry. This role doesn't affect the needed permissions for storing content inside Azure Key Vault. This role also doesn't grant permissions to manage Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f094fb07-0703-4400-ad6a-e16dd8000e14",
"name": "f094fb07-0703-4400-ad6a-e16dd8000e14",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read",
"Microsoft.ContainerRegistry/registries/credentialSets/write",
"Microsoft.ContainerRegistry/registries/credentialSets/delete",
"Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Person mit Leseberechtigungen für Container Registry-Anmeldeinformationssätze
Lesen der Konfiguration von Anmeldeinformationen in Container Registry. Diese Berechtigung ermöglicht das Anzeigen von Inhalten innerhalb von Azure Key Vault nicht, nur den Inhalt in Container Registry. Diese Berechtigung gewährt keine Berechtigung zum Lesen von Cacheregeln.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | Ruft die Eigenschaften des angegebenen Anmeldeinformationssatzes ab oder listet alle Anmeldeinformationssätze für die angegebene Containerregistrierung auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Credential Sets in Container Registry. This permission doesn't allow permission to see content inside Azure Key vault only the content inside Container Registry. This permission doesn't grant permission to read Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29093635-9924-4f2c-913b-650a12949526",
"name": "29093635-9924-4f2c-913b-650a12949526",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry – Datenimporteur*in und Datenleser*in
Bietet die Möglichkeit, Bilder über den Registrierungsimportvorgang in eine Registrierung zu importieren. Bietet die Möglichkeit, Repositorys auflisten, Bilder und Tags anzeigen, Manifeste abzurufen und Bilder abzurufen. Bietet keine Berechtigungen zum Importieren von Bildern durch Konfigurieren von Registrierungsübertragungspipelines wie Import- und Exportpipelinen. Stellt keine Berechtigungen zum Importieren durch Konfigurieren von Artefaktcache- oder Synchronisierungsregeln bereit.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/importImage/action | Importiert ein Image in die Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/read | Ruft die Eigenschaften der angegebenen Containerregistrierung ab oder listet alle Containerregistrierungen unter der angegebenen Ressourcengruppe oder dem angegebenen Abonnement auf. |
| Microsoft.ContainerRegistry/registries/pull/read | Pullen oder Abrufen von Images aus einer Containerregistrierung |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Pullen oder Abrufen von Images aus einer Containerregistrierung |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Ruft die Metadaten eines angegebenen Repositorys für eine Containerregistrierung ab |
| Microsoft.ContainerRegistry/registries/catalog/read | Listet Repositorys in einer Containerregistrierung auf. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Auflistende Person für Container Registry-Repositorykatalog
Ermöglicht das Auflisten aller Repositorys in einer Azure Container Registry.
| Aktionen | BESCHREIBUNG |
|---|---|
| keine | |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerRegistry/registries/catalog/read | Listet Repositorys in einer Containerregistrierung auf. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry-Repository – Mitwirkender
Ermöglicht Lese-, Schreib- und Löschzugriff auf Azure Container Registry-Repositorys, mit Ausnahme des Kataloglistings.
| Aktionen | BESCHREIBUNG |
|---|---|
| keine | |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Ruft die Metadaten eines angegebenen Repositorys für eine Containerregistrierung ab |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Pullen oder Abrufen von Images aus einer Containerregistrierung |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | Aktualisiert die Metadaten eines Repositorys für eine Containerregistrierung |
| Microsoft.ContainerRegistry/registries/repositories/content/write | Pushen oder Schreiben von Images in eine Containerregistrierung |
| Microsoft.ContainerRegistry/registries/repositories/metadata/delete | Löschen der Metadaten eines Repositorys für eine Containerregistrierung |
| Microsoft.ContainerRegistry/registries/repositories/content/löschen | Löschen von Artefakten aus einer Containerregistrierung. |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leser des Container Registry-Repositorys
Ermöglicht Lesezugriff auf Azure Container Registry-Repositorys, jedoch ohne Kataloglisting.
| Aktionen | BESCHREIBUNG |
|---|---|
| keine | |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Ruft die Metadaten eines angegebenen Repositorys für eine Containerregistrierung ab |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Pullen oder Abrufen von Images aus einer Containerregistrierung |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Schreiber des Container Registry-Repository
Ermöglicht Lese- und Schreibzugriff auf Azure Container Registry-Repositorys, jedoch ohne Kataloglisting.
| Aktionen | BESCHREIBUNG |
|---|---|
| keine | |
| NotActions | |
| keine | |
| DatenAktionen | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | Ruft die Metadaten eines angegebenen Repositorys für eine Containerregistrierung ab |
| Microsoft.ContainerRegistry/registries/repositories/content/read | Pullen oder Abrufen von Images aus einer Containerregistrierung |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | Aktualisiert die Metadaten eines Repositorys für eine Containerregistrierung |
| Microsoft.ContainerRegistry/registries/repositories/content/write | Pushen oder Schreiben von Images in eine Containerregistrierung |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry-Aufgaben – Mitwirkende*r
Bietet Berechtigungen zum Konfigurieren, Lesen, Auflisten, Auslösen oder Abbrechen von Container Registry-Aufgaben Aufgabenausführungen, Aufgabenprotokollen, Schnellausführungen, Schnellbuilds und Aufgaben-Agent-Pools. Berechtigungen, die für die Aufgabenverwaltung erteilt werden, können für vollständige Berechtigungen für Registrierungsdatenebene verwendet werden, einschließlich Lese-/Schreibzugriff/Löschen von Containerimages in Registrierungen. Berechtigungen für die Aufgabenverwaltung können auch verwendet werden, um vom Kunden erstellte Builddirektiven auszuführen und Skripts zum Erstellen von Softwareartefakten auszuführen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/agentpools/read | Ruft einen Agentpool für eine Containerregistrierung ab oder listet alle Agentpools auf. |
| Microsoft.ContainerRegistry/registries/agentpools/write | Erstellt oder aktualisiert einen Agentpool für eine Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/agentpools/delete | Löscht einen Agentpool für eine Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action | Listet den Status aller Warteschlangen eines Agentpools für eine Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read | Ruft einen asynchronen Status des Agentpool-Vorgangsergebnis ab. |
| Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read | Ruft einen asynchronen Agentpool-Vorgangsstatus ab. |
| Microsoft.ContainerRegistry/registries/tasks/read | Ruft einen Task für eine Containerregistrierung ab oder listet alle Tasks auf. |
| Microsoft.ContainerRegistry/registries/tasks/write | Erstellt oder aktualisiert einen Task für eine Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/tasks/delete | Löscht einen Task für eine Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/tasks/listDetails/action | Listet die Details eines Tasks für eine Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/scheduleRun/action | Plant eine Ausführung für eine Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action | Ruft den Quellupload-URL-Speicherort für eine Containerregistrierung ab. |
| Microsoft.ContainerRegistry/registries/runs/read | Ruft die Eigenschaften einer Ausführung für eine Containerregistrierung oder Listenausführungen ab. |
| Microsoft.ContainerRegistry/registries/runs/write | Aktualisiert eine Ausführung. |
| Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action | Ruft die Protokoll-SAS-URL für eine Ausführung ab. |
| Microsoft.ContainerRegistry/registries/runs/cancel/action | Bricht eine vorhandene Ausführung ab. |
| Microsoft.ContainerRegistry/registries/taskruns/read | Ruft eine Taskausführung für eine Containerregistrierung ab oder listet alle Taskausführungen auf. |
| Microsoft.ContainerRegistry/registries/taskruns/write | Erstellt oder aktualisiert eine Taskausführung für eine Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/taskruns/delete | Löscht eine Taskausführung für eine Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/taskruns/listDetails/action | Listet alle Details einer Taskausführung für eine Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read | Ruft einen asynchronen Vorgangsstatus des Taskruns ab. |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.ContainerRegistry/registries/read | Ruft die Eigenschaften der angegebenen Containerregistrierung ab oder listet alle Containerregistrierungen unter der angegebenen Ressourcengruppe oder dem angegebenen Abonnement auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mitwirkender an Container Registry-Übertragungspipeline
Bietet die Möglichkeit zum Übertragen, Importieren und Exportieren von Artefakten durch Konfigurieren von Registrierungsübertragungspipelines, die zwischengeschaltete Speicherkonten und Schlüsseltresor umfassen. Stellt keine Berechtigungen zum Übertragen oder Abrufen von Bildern bereit. Bietet keine Berechtigungen zum Erstellen, Verwalten oder Auflisten von Speicherkonten oder Schlüsseltresoren. Stellt keine Berechtigungen zum Ausführen von Rollenzuweisungen bereit.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerRegistry/registries/exportPipelines/read | Ruft die Eigenschaften der angegebenen Exportpipeline ab oder listet alle Exportpipelines für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/exportPipelines/write | Erstellt oder aktualisiert eine Exportpipeline für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/exportPipelines/delete | Löscht eine Exportpipeline aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/importPipelines/read | Ruft die Eigenschaften der angegebenen Importpipeline ab oder listet alle Importpipelines für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/importPipelines/write | Erstellt oder aktualisiert eine Importpipeline für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/importPipelines/delete | Löscht eine Importpipeline aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/read | Ruft die Eigenschaften der angegebenen Pipelineausführung ab oder listet alle Pipelineausführungen für die angegebene Containerregistrierung auf. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/write | Erstellt oder aktualisiert eine Pipelineausführung für eine Containerregistrierung mit den angegebenen Parametern. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/delete | Löscht eine Pipelineausführung aus einer Containerregistrierung. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read | Ruft den Status des asynchronen Vorgangs einer Pipelineausführung ab. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Defender Kubernetes-API-Zugriff
Gewährt Microsoft Defender for Cloud Zugriff auf Azure Kubernetes Services
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | Erstellen oder Aktualisieren von Rollenbindungen für vertrauenswürdigen Zugriff für verwalteten Cluster |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | Abrufen von Rollenbindungen für vertrauenswürdigen Zugriff für verwalteten Cluster |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | Löschen von Rollenbindungen für vertrauenswürdigen Zugriff für verwalteten Cluster |
| Microsoft.ContainerService/managedClusters/read | Ruft einen verwalteten Cluster ab. |
| Microsoft.Features/features/read | Ruft die Features eines Abonnements ab. |
| Microsoft.Features/providers/features/read | Ruft das Feature eines Abonnements in einem angegebenen Ressourcenanbieter ab. |
| Microsoft.Features/providers/features/register/action | Registriert das Feature für ein Abonnement in einem angegebenen Ressourcenanbieter. |
| Microsoft.Security/pricings/securityoperators/read | Ruft die Sicherheitsoperatoren für den Bereich ab. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Defender Kubernetes API Access",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes-Cluster – Azure Arc-Onboarding
Rollendefinition zum Autorisieren eines Benutzers/Diensts zum Erstellen einer connectedClusters-Ressource
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/write | Erstellt oder aktualisiert eine Bereitstellung. |
| Microsoft.Resources/subscriptions/operationresults/read | Dient zum Abrufen der Ergebnisse des Abonnementvorgangs. |
| Microsoft.Resources/subscriptions/read | Ruft die Abonnementliste ab. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.Kubernetes/connectedClusters/Write | Schreibt connectedClusters. |
| Microsoft.Kubernetes/connectedClusters/read | Liest connectedClusters. |
| Microsoft.KubernetesConfiguration/extensions/write | Hiermit wird eine Erweiterungsressource erstellt oder aktualisiert. |
| Microsoft.KubernetesConfiguration/extensions/read | Hiermit wird die Erweiterungsinstanzressource abgerufen. |
| Microsoft.KubernetesConfiguration/extensions/delete | Hiermit wird die Erweiterungsinstanzressource gelöscht. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Hiermit wird der Status für einen asynchronen Vorgang abgerufen. |
| Microsoft.Support/* | Erstellen und Aktualisieren eines Supporttickets |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Mitwirkender für Kubernetes-Erweiterungen
Kann Kubernetes-Erweiterungen erstellen, aktualisieren, abrufen, auflisten und löschen und asynchrone Vorgänge für Kubernetes-Erweiterungen abrufen.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| Microsoft.KubernetesConfiguration/extensions/write | Hiermit wird eine Erweiterungsressource erstellt oder aktualisiert. |
| Microsoft.KubernetesConfiguration/extensions/read | Hiermit wird die Erweiterungsinstanzressource abgerufen. |
| Microsoft.KubernetesConfiguration/extensions/delete | Hiermit wird die Erweiterungsinstanzressource gelöscht. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Hiermit wird der Status für einen asynchronen Vorgang abgerufen. |
| Microsoft.KubernetesConfiguration/register/action | Hiermit wird das Abonnement beim Ressourcenanbieter Microsoft.KubernetesConfiguration registriert. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.KubernetesConfiguration/register/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Service Fabric Cluster-Mitwirkender
Verwalten Sie Ihre Service Fabric-Clusterressourcen. Umfasst Cluster, Anwendungstypen, Anwendungstypversionen, Anwendungen und Dienste. Sie benötigen zusätzliche Berechtigungen zum Bereitstellen und Verwalten der zugrunde liegenden Ressourcen des Clusters, z. B. Virtual Machine Scale Sets, Speicherkonten, Netzwerke usw.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ServiceFabric/clusters/* | |
| Microsoft.ServiceFabric/operations/read | Hiermit lesen Sie verfügbare Vorgänge. |
| Microsoft.ServiceFabric/locations/clusterVersions/read | Liest Clusterversionen. |
| Microsoft.ServiceFabric/locations/environments/clusterVersions/read | Hiermit lesen Sie eine Clusterversion für eine bestimmte Umgebung. |
| Microsoft.ServiceFabric/locations/operationresults/read | Hiermit lesen Sie Vorgangsergebnisse. |
| Microsoft.ServiceFabric/locations/operations/read | Hiermit lesen Sie Vorgänge nach Standort. |
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Verwaltete Service Fabric-Cluster: Mitwirkender
Bereitstellen und Verwalten Ihrer von Service Fabric verwalteten Clusterressourcen. Umfasst verwaltete Cluster, Knotentypen, Anwendungstypen, Anwendungstypversionen, Anwendungen und Dienste.
| Aktionen | BESCHREIBUNG |
|---|---|
| Microsoft.ServiceFabric/managedclusters/* | |
| Microsoft.ServiceFabric/operations/read | Hiermit lesen Sie verfügbare Vorgänge. |
| Microsoft.ServiceFabric/locations/clusterVersions/read | Liest Clusterversionen. |
| Microsoft.ServiceFabric/locations/environments/clusterVersions/read | Hiermit lesen Sie eine Clusterversion für eine bestimmte Umgebung. |
| Microsoft.ServiceFabric/locations/operationresults/read | Hiermit lesen Sie Vorgangsergebnisse. |
| Microsoft.ServiceFabric/locations/operations/read | Hiermit lesen Sie Vorgänge nach Standort. |
| Microsoft.Authorization/*/read | Lesen von Rollen und Rollenzuweisungen |
| Microsoft.Insights/alertRules/* | Erstellen und Verwalten einer klassischen Metrikwarnung |
| Microsoft.Resources/deployments/* | Erstellen und Verwalten einer Bereitstellung |
| Microsoft.Resources/subscriptions/resourceGroups/read | Ruft Ressourcengruppen ab oder listet sie auf. |
| NotActions | |
| keine | |
| DatenAktionen | |
| keine | |
| NotDataActions | |
| keine |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}