この記事では、Containers カテゴリの Azure 組み込みロール一覧を示します。
AcrDelete
コンテナー レジストリからリポジトリ、タグ、またはマニフェストを削除します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | コンテナー レジストリの成果物を削除します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
このロールは使用しないでください。 Azure Container Registry のコンテンツ信頼と AcrImageSigner ロールは非推奨となり、2028 年 3 月 31 日に完全に削除されます。 詳細と移行のガイダンスについては、 https://aka.ms/acr/dctdeprecationを参照してください。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | コンテナー レジストリのコンテンツの信頼メタデータをプッシュ/プルします。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | コンテナー レジストリ コンテンツの信頼されたコレクションのプッシュまたは公開を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/sign/write アクションに似ています |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Planned DEPRECATION on March 31, 2028. Grant the signing permission for content trust. As content trust is being deprecated and will be completely removed on March 31, 2028, this role will also be removed. Refer to https://aka.ms/acr/dctdeprecation for details and transition guidance.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
アックルプル
コンテナー レジストリから成果物をプルします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
アクプッシュ
コンテナー レジストリに成果物をプッシュしたり、成果物をプルしたりします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/push/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
コンテナー レジストリから検疫済みのイメージをプルします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | コンテナー レジストリから検疫済みのイメージをプルまたは取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
アクルクアランティーンライター
検疫済みのイメージをコンテナー レジストリにプッシュしたり、検疫済みイメージをプルしたりします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | コンテナー レジストリから検疫済みのイメージをプルまたは取得します |
| Microsoft.ContainerRegistry/registries/quarantine/write | 検疫済みイメージの検疫状態を書き込むか変更します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | 検疫済み成果物の検疫状態の書き込みまたは更新を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/write アクションに似ています |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc 対応 Kubernetes クラスター ユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | clusterUser 資格情報を一覧表示します (プレビュー) |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | clusterUser 資格情報を一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes 管理者
リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | localsubjectaccessreviews を書き込みます |
| Microsoft.Kubernetes/接続されたクラスタ/自動スケーリング/水平ポッドオートスケーラー/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes クラスター管理者
クラスター内のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes ビューアー
クラスターおよび名前空間内のすべてのリソース (シークレットを除く) を表示できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | デプロイを読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | レプリカセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | ジョブを読み取ります |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | configmaps を読み取ります |
| Microsoft.Kubernetes/connectedClusters/endpoints/read | エンドポイントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | レプリカセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.Kubernetes/connectedClusters/pods/read | ポッドを読み取ります |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.Kubernetes/connectedClusters/services/read | サービスを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes ライター
(クラスター) ロール、(クラスター) ロール バインドを除く、クラスターおよび名前空間内のすべてを更新できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/接続されたクラスタ/自動スケーリング/水平ポッドオートスケーラー/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Container Instances 共同作成者ロール
Azure Container Instances によって提供されるコンテナー グループへの読み取り/書き込みアクセスを許可します
| アクション | 説明 |
|---|---|
| Microsoft.ContainerInstance/containerGroups/* | コンテナー グループの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to container groups provided by Azure Container Instances",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"name": "5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"permissions": [
{
"actions": [
"Microsoft.ContainerInstance/containerGroups/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Instances Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure コンテナー ストレージ共同作成者
Azure コンテナー ストレージをインストールし、そのストレージ リソースを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | 説明 |
|---|---|
| Microsoft.KubernetesConfiguration/拡張/書き込み | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/削除 | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Management/managementGroups/read | 認証済みユーザーの管理グループを一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" | |
| アクション | |
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" | |
| 状態 | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}))OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})AND (!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | 以下のロールでロールの割り当てを追加または削除します: Azure コンテナー ストレージ オペレーター |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure コンテナー ストレージ オペレーター
仮想マシンの管理や仮想ネットワークの管理など、Azure コンテナー ストレージの操作をマネージド ID が実行できるようにします。
| アクション | 説明 |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/ロケーション/非同期操作/読み取り | 非同期操作の状態をポーリングします。 |
| Microsoft.Network/routeTables/join/action | ルート テーブルを結合します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/write | 仮想ネットワークを作成するか、既存の仮想ネットワークを更新します |
| Microsoft.Network/virtualNetworks/削除 | 仮想ネットワークを削除します |
| Microsoft.Network/virtualNetworks/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| Microsoft.Compute/virtualMachines/write | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します |
| Microsoft.Compute/virtualMachineScaleSets/read | 仮想マシン スケール セットのプロパティを取得します |
| Microsoft.Compute/virtualMachineScaleSets/write | 新しい仮想マシン スケール セットを作成するか、既存のものを更新します |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | VM スケール セット内の仮想マシンのプロパティを更新します |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | VM スケール セット内の仮想マシンのプロパティを取得します |
| Microsoft.Resources/subscriptions/providers/read | リソース プロバイダーを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure コンテナー ストレージ所有者
Azure コンテナー ストレージをインストールし、そのストレージ リソースへのアクセスを許可し、Azure Elastic Storage Area Network (SAN) を構成できます。 ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | 説明 |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/ロケーション/非同期操作/読み取り | 非同期操作の状態をポーリングします。 |
| Microsoft.KubernetesConfiguration/拡張/書き込み | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/削除 | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Management/managementGroups/read | 認証済みユーザーの管理グループを一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" | |
| アクション | |
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" | |
| 状態 | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'}))OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})AND (!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | 以下のロールでロールの割り当てを追加または削除します: Azure コンテナー ストレージ オペレーター |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager 共同作成者ロール
Azure Kubernetes Fleet Manager によって提供される Azure リソース (フリート、フリート メンバー、フリート更新戦略、フリート更新実行など) への読み取りおよび書き込みアクセス権限が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager Hub エージェントのロール
Azure Kubernetes Fleet Manager ハブ エージェントに必要な Azure リソースへのアクセスを許可します。
| アクション | 説明 |
|---|---|
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/trafficManagerProfiles/read | Traffic Manager プロファイル構成を取得します。 これには、DNS 設定、トラフィック ルーティング設定、エンドポイント監視設定、この Traffic Manager プロファイルによってルーティングされるエンドポイントの一覧が含まれます。 |
| Microsoft.Network/trafficManagerProfiles/write | Traffic Manager プロファイルを作成するか、既存の Traffic Manager プロファイルの構成を変更します。 これには、プロファイルの有効化または無効化と、DNS 設定、トラフィック ルーティング設定、またはエンドポイント監視設定の変更が含まれます。 Traffic Manager プロファイルによってルーティングされるエンドポイントを追加、削除、有効化、または無効化できます。 |
| Microsoft.Network/trafficManagerProfiles/delete | Traffic Manager プロファイルを削除します。 Traffic Manager プロファイルに関連付けられているすべての設定が失われ、プロファイルを使用してトラフィックをルーティングすることはできなくなります。 |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/read | Traffic Manager プロファイルに属する Azure エンドポイントを取得します (その Azure エンドポイントのすべてのプロパティなど)。 |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/write | 既存の Traffic Manager プロファイルに新しい Azure エンドポイントを追加するか、その Traffic Manager プロファイルの既存の Azure エンドポイントのプロパティを更新します。 |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete | 既存の Traffic Manager プロファイルから Azure エンドポイントを削除します。 Traffic Manager は、削除された Azure エンドポイントへのトラフィックのルーティングを停止します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants access to Azure resources needed by Azure Kubernetes Fleet Manager hub agents.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"name": "de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/trafficManagerProfiles/read",
"Microsoft.Network/trafficManagerProfiles/write",
"Microsoft.Network/trafficManagerProfiles/delete",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/read",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/write",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Agent Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager Hub クラスター ユーザー ロール
Azure Kubernetes Fleet Manager と Kubernetes 構成ファイルへの読み取りアクセス権を付与して、フリートマネージド ハブ クラスターに接続します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read access to Azure Kubernetes Fleet Manager as well as the Kubernetes config file to connect to the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/850c5848-fc51-4a9a-8823-f220370626e3",
"name": "850c5848-fc51-4a9a-8823-f220370626e3",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/listCredentials/action",
"Microsoft.ContainerService/fleets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC 管理者
フリート マネージド ハブ クラスターの名前空間内の Kubernetes リソースに対する読み取り/書き込みアクセス権限が付与されます。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対する書き込みアクセス許可が付与されます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | localsubjectaccessreviews を書き込みます |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | フリートの internalmembercluster リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | フリートの resourceoverridesnapshot リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | フリートの work リソースを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
メンバー クラスターの Azure Kubernetes Fleet Manager RBAC 管理者
このロールは管理者アクセス権を付与します。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対する書き込みアクセス許可を提供します。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/members/* | |
| NotDataActions | |
| Microsoft.ContainerService/fleets/members/resourcequotas/write | resourcequotas を書き込みます |
| Microsoft.ContainerService/fleets/members/resourcequotas/delete | resourcequotas を削除します |
| Microsoft.ContainerService/fleets/members/namespaces/write | namespaces を書き込みます |
| Microsoft.ContainerService/fleets/members/namespaces/delete | 名前空間を削除します |
{
"assignableScopes": [
"/"
],
"description": "This role grants admin access - provides write permissions on most objects within a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d1f699ed-700a-4c77-a22f-29890ac7b115",
"name": "d1f699ed-700a-4c77-a22f-29890ac7b115",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/resourcequotas/write",
"Microsoft.ContainerService/fleets/members/resourcequotas/delete",
"Microsoft.ContainerService/fleets/members/namespaces/write",
"Microsoft.ContainerService/fleets/members/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC クラスター管理者
フリートマネージド ハブ クラスター内のすべての Kubernetes リソースへの読み取り/書き込みアクセス権限が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| Microsoft.ContainerService/fleets/members/* |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/*"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager メンバー クラスター用 RBAC クラスター管理者
フリート内のメンバー クラスター内のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/members/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the member clusters in the fleet.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"name": "79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC リーダー
フリートマネージド ハブ クラスター内の名前空間内のほとんどの Kubernetes リソースへの読み取り専用アクセス権限が付与されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/fleets/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/fleets/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/fleets/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/fleets/services/read | サービスを読み取ります |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | フリートの internalmembercluster リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | フリートの resourceoverride リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | フリートの resourceoverridesnapshot リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | フリートの work リソースを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
メンバー クラスターの Azure Kubernetes Fleet Manager ロールベースのアクセス制御 (RBAC) リーダー
名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/members/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/members/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/members/apps/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/fleets/members/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/fleets/members/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/fleets/members/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/fleets/members/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/fleets/members/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/fleets/members/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/members/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/members/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/members/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/members/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/members/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/members/extensions/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/fleets/members/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/fleets/members/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/members/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/fleets/members/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/fleets/members/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/members/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/members/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/fleets/members/services/read | サービスを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/463ad26c-fcce-4469-9c7f-5653d8acbab5",
"name": "463ad26c-fcce-4469-9c7f-5653d8acbab5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/members/apps/deployments/read",
"Microsoft.ContainerService/fleets/members/apps/replicasets/read",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/read",
"Microsoft.ContainerService/fleets/members/configmaps/read",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/endpoints/read",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/read",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/members/extensions/deployments/read",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/read",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/members/pods/read",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/serviceaccounts/read",
"Microsoft.ContainerService/fleets/members/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC ライター
フリートマネージド ハブ クラスターの名前空間にある、ほとんどの Kubernetes リソースへの読み取りおよび書き込みアクセス権限が付与されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount として Secrets にアクセスできるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/write | デーモンセットを書き込みます |
| Microsoft.ContainerService/fleets/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/apps/deployments/write | デプロイを書き込みます |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/statefulsets/write | ステートフルセットを書き込みます |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write | horizontalpodautoscalers を書き込みます |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/fleets/batch/cronjobs/write | cronjobs を書き込みます |
| Microsoft.ContainerService/fleets/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/fleets/batch/jobs/write | ジョブを書き込みます |
| Microsoft.ContainerService/fleets/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/fleets/configmaps/write | configmaps を書き込みます |
| Microsoft.ContainerService/fleets/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/fleets/endpoints/write | エンドポイントを書き込みます |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/write | デーモンセットを書き込みます |
| Microsoft.ContainerService/fleets/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/extensions/deployments/write | デプロイを書き込みます |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/extensions/ingresses/write | イングレスを書き込みます |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/write | networkpolicies を書き込みます |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write | イングレスを書き込みます |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write | networkpolicies を書き込みます |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/write | persistentvolumeclaims を書き込みます |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write | poddisruptionbudgets を書き込みます |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/write | replicationcontrollers を書き込みます |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/secrets/read | シークレットを読み取ります |
| Microsoft.ContainerService/fleets/secrets/write | シークレットを書き込みます |
| Microsoft.ContainerService/fleets/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/fleets/serviceaccounts/write | serviceaccounts を書き込みます |
| Microsoft.ContainerService/fleets/services/read | サービスを読み取ります |
| Microsoft.ContainerService/fleets/services/write | サービスを書き込みます |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | フリートの internalmembercluster リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | フリートの resourceoverride リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | フリートの resourceoverride リソースを書き込む |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | フリートの resourceoverridesnapshot リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | フリートの work リソースを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
メンバー クラスター用の Azure Kubernetes Fleet Manager RBAC ライター
名前空間内のほとんどのオブジェクトに対する読み取り/書き込みアクセス権限が付与されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/members/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/members/apps/deployments/* | |
| Microsoft.ContainerService/fleets/members/apps/replicasets/* | |
| Microsoft.ContainerService/fleets/members/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/members/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/read | リースを読み取ります |
| Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/write | リースを書き込みます |
| Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/delete | リースを削除します |
| Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/fleets/members/batch/jobs/* | |
| Microsoft.ContainerService/fleets/members/configmaps/* | |
| Microsoft.ContainerService/fleets/members/endpoints/* | |
| Microsoft.ContainerService/fleets/members/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/members/events/* | |
| Microsoft.ContainerService/fleets/members/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/members/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/members/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/members/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/members/extensions/replicasets/* | |
| Microsoft.ContainerService/fleets/members/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/fleets/members/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/members/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/members/pods/* | |
| Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/members/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/members/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/members/secrets/* | |
| Microsoft.ContainerService/fleets/members/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/members/services/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/50346970-0998-40f2-b47d-f3b8809840f8",
"name": "50346970-0998-40f2-b47d-f3b8809840f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/members/apps/deployments/*",
"Microsoft.ContainerService/fleets/members/apps/replicasets/*",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/*",
"Microsoft.ContainerService/fleets/members/configmaps/*",
"Microsoft.ContainerService/fleets/members/endpoints/*",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/*",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/members/extensions/deployments/*",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/*",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/members/pods/*",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/secrets/*",
"Microsoft.ContainerService/fleets/members/serviceaccounts/*",
"Microsoft.ContainerService/fleets/members/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc クラスター管理者ロール
クラスター管理者の資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | ダイレクト モードでのみ使用されるプロビジョニング済みクラスター インスタンスの管理者資格情報を一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters を読み取ります |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc クラスター ユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | 直接モードでのみ使用されるプロビジョニング済みクラスター インスタンスの AAD ユーザー資格情報を一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters を読み取ります |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc 共同作成者ロール
Azure Kubernetes Service ハイブリッド クラスターへの読み取りおよび書き込みアクセス権限が付与されます
| アクション | 説明 |
|---|---|
| Microsoft.HybridContainerService/Locations/operationStatuses/read | operationStatuses を読み取ります |
| Microsoft.HybridContainerService/Locations/operationStatuses/write | operationStatuses を書き込みます |
| Microsoft.HybridContainerService/Operations/read | 操作を読み取ります |
| Microsoft.HybridContainerService/kubernetesVersions/read | 基になるカスタムの場所からサポートされている Kubernetes バージョンを一覧表示します |
| Microsoft.HybridContainerService/kubernetesVersions/write | Kubernetes バージョンのリソースの種類を配置します |
| Microsoft.HybridContainerService/kubernetesVersions/delete | Kubernetes バージョンのリソースの種類を削除します |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します |
| Microsoft.HybridContainerService/provisionedClusterInstances/write | ハイブリッド AKS プロビジョニング済みクラスター インスタンスを作成します |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | ハイブリッド AKS プロビジョニング済みクラスター インスタンスを削除します |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | ハイブリッド AKS プロビジョニング済みクラスター インスタンス内のエージェント プールを取得します |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | ハイブリッド AKS プロビジョニング済みクラスター インスタンスのエージェント プールを更新します |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete | ハイブリッド AKS プロビジョニング済みクラスター インスタンス内のエージェント プールを削除します |
| Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | upgradeProfiles を読み取ります |
| Microsoft.HybridContainerService/skus/read | 基になるカスタムの場所からサポートされている VM SKU を一覧表示します |
| Microsoft.HybridContainerService/skus/write | VM SKU リソースの種類を配置します |
| Microsoft.HybridContainerService/skus/delete | Vm SKU リソースの種類を削除します |
| Microsoft.HybridContainerService/virtualNetworks/read | サブスクリプション別にハイブリッド AKS 仮想ネットワークを一覧表示します |
| Microsoft.HybridContainerService/仮想ネットワーク/書き込み | ハイブリッド AKS 仮想ネットワークにパッチを適用します |
| Microsoft.HybridContainerService/virtualNetworks/delete | ハイブリッド AKS 仮想ネットワークを削除します |
| Microsoft.ExtendedLocation/customLocations/deploy/action | カスタムの場所リソースへのアクセス許可をデプロイします |
| Microsoft.ExtendedLocation/customLocations/read | カスタムの場所リソースを取得します |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters を読み取ります |
| Microsoft.Kubernetes/connectedClusters/Write | connectedClusters を書き込みます |
| Microsoft.Kubernetes/connectedClusters/Delete | connectedClusters を削除します |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | clusterUser 資格情報を一覧表示します |
| Microsoft.AzureStackHCI/clusters/read | クラスターを取得します |
| Microsoft.Resources/deployments/read | デプロイを取得または一覧表示します。 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/deployments/delete | デプロイを削除します。 |
| Microsoft.Resources/deployments/cancel/action | デプロイを取り消します。 |
| Microsoft.Resources/deployments/validate/action | デプロイを検証します。 |
| Microsoft.Resources/deployments/whatIf/action | テンプレートのデプロイの変更を予測します。 |
| Microsoft.Resources/deployments/exportTemplate/action | デプロイのテンプレートをエクスポートします |
| Microsoft.Resources/deployments/operations/read | デプロイ操作を取得または一覧表示します。 |
| Microsoft.Resources/deployments/operationstatuses/read | デプロイ操作の状態を取得または一覧表示します。 |
| Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete | ハイブリッド ID メタデータ プロキシ リソースを削除します。 |
| Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write | マネージド ID のプロビジョニングを容易にするハイブリッド ID メタデータ プロキシ リソースを作成します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Locations/operationStatuses/write",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスター管理者ロール
クラスター管理者の資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | 管理対象クラスターの clusterAdmin 資格情報を一覧表示します |
| Microsoft.ContainerService/managedClusters/アクセスプロファイル/リストクレデンシャル/アクション | 資格情報の一覧の取得を使用し、ロール名を指定してマネージド クラスターのアクセス プロファイルを取得します |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します |
| Microsoft.ContainerService/managedClusters/runcommand/action | マネージド Kubernetes サーバーに対してユーザーが発行したコマンドを実行します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスターの監視ユーザー
クラスター監視ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | 管理対象クラスターの clusterMonitoringUser 資格情報を一覧表示します |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスター ユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 共同作成者ロール
Azure Kubernetes Service クラスターへの読み取りおよび書き込みアクセス権限が付与されます
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ContainerService/locations/* | ContainerService リソースから使用できる場所を読み取ります |
| Microsoft.ContainerService/managedClusters/* | マネージド クラスターを作成して管理します |
| Microsoft.ContainerService/managedclustersnapshots/* | マネージド クラスター スナップショットを作成して管理します |
| Microsoft.ContainerService/snapshots/* | スナップショットを作成して管理します |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/deploymentSafeguards/* | |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/deploymentSafeguards/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 名前空間共同作成者
ユーザーが Azure Kubernetes Service 名前空間リソースを作成および管理できるようにします。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/managedClusters/managedNamespaces/* | 名前空間の作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows users to create and manage Azure Kubernetes Service namespace resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/289d8817-ee69-43f1-a0af-43a45505b488",
"name": "289d8817-ee69-43f1-a0af-43a45505b488",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 名前空間ユーザー
ユーザーが Azure Kubernetes Service 名前空間リソースを読み取ることができます。 クラスター内名前空間へのアクセスでは、さらに、Entra ID が有効なクラスターの名前空間リソースに Azure Kubernetes Service RBAC ロールを割り当てする必要があります。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/managedNamespaces/read | マネージド クラスターのマネージド名前空間を取得する |
| Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action | マネージド名前空間のクラスター資格情報を一覧表示する |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows users to read Azure Kubernetes Service namespace resources. In-cluster namespace access further requires assignment of Azure Kubernetes Service RBAC roles to the namespace resource for an Entra ID enabled cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"name": "c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/managedNamespaces/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 管理者
リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/管理クラスタ/リソース割り当て/書き込み | resourcequotas を書き込みます |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | resourcequotas を削除します |
| Microsoft.ContainerService/managedClusters/namespaces/write | namespaces を書き込みます |
| Microsoft.ContainerService/managedClusters/namespaces/delete | 名前空間を削除します |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC クラスター管理者
クラスター内のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 閲覧者
名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/managedClusters/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/managedClusters/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/managedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/managedClusters/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read(マイクロソフト・コンテナサービス/管理されたクラスタ/サービスアカウント/読込) | serviceaccounts を読み取ります |
| Microsoft.ContainerService/管理クラスター/サービス/読み取り | サービスを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC ライター
名前空間内のほとんどのオブジェクトに対する読み取り/書き込みアクセス権限が付与されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | リースを読み取ります |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | リースを書き込みます |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | リースを削除します |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/managedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift Cloud Controller Manager
OpenShift の上に展開されたクラウド コントローラー マネージャーを管理および更新できます。
| アクション | 説明 |
|---|---|
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | ロード バランサーのバックエンド アドレス プールを接続します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します |
| Microsoft.Network/loadBalancers/write | ロード バランサーを作成するか、既存のロード バランサーを更新します |
| Microsoft.Network/networkInterfaces/read (英語) | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得します |
| Microsoft.Network/ネットワークセキュリティグループ/書き込み (write) | ネットワーク セキュリティ グループを作成するか、既存のネットワーク セキュリティ グループを更新します |
| Microsoft.Network/publicIPAddresses/join/action | パブリック IP アドレスに参加します。 警告不可能です。 |
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/publicIPAddresses/write | パブリック IP アドレスを作成するか、既存のパブリック IP アドレスを更新します。 |
| Microsoft.Network/publicIPAddresses/delete | パブリック IP アドレスを削除します。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | ロード バランサーのインバウンド NAT 規則を接続します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/publicIPPrefixes/join/action | PublicIPPrefix を結合します。 警告不可能です。 |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | セキュリティ ルールをアプリケーション セキュリティ グループに結合します。 警告不可能です。 |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Network/privatelinkservices/write | 新しいプライベート リンク サービスを作成するか、または既存のプライベート リンク サービスを更新します。 |
| Microsoft.Network/privatelinkservices/read | プライベート リンクのサービス リソースを取得します。 |
| Microsoft.Network/privatelinkservices/delete | プライベート リンクのサービス リソースを削除します。 |
| Microsoft.Network/loadBalancers/loadBalancingRules/read | ロード バランサーの負荷分散規則の定義を取得します。 |
| Microsoft.Network/serviceEndpointPolicies/join/action | サービス エンドポイント ポリシーを結合します。 警告不可能です。 |
| Microsoft.Network/natGateways/join/action | NAT Gateway を結合します |
| Microsoft.Network/networkIntentPolicies/join/action | ネットワーク インテント ポリシーに参加します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/routeTables/join/action | ルート テーブルを結合します。 警告不可能です。 |
| Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action | リソースを Ipam プールに関連付ける操作のためのアクセス許可 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Manage and update the cloud controller manager deployed on top of OpenShift.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a1f96423-95ce-4224-ab27-4e3dc72facd4",
"name": "a1f96423-95ce-4224-ab27-4e3dc72facd4",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/publicIPPrefixes/join/action",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/privatelinkservices/write",
"Microsoft.Network/privatelinkservices/read",
"Microsoft.Network/privatelinkservices/delete",
"Microsoft.Network/loadBalancers/loadBalancingRules/read",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cloud Controller Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift クラスターイングレス オペレーター
OpenShift ルーターを管理および構成します。
| アクション | 説明 |
|---|---|
| Microsoft.Network/dnsZones/A/delete | 指定された名前の "A" タイプのレコード セットを DNS ゾーンから削除します。 |
| Microsoft.Network/dnsZones/A/write | DNS ゾーン内の "A" タイプのレコード セットを作成または更新します。 レコード セットの現在のレコードが指定されたレコードに置き換えられます。 |
| Microsoft.Network/privateDnsZones/A/delete | 指定された名前の "A" タイプのレコード セットをプライベート DNS ゾーンから削除します。 |
| Microsoft.Network/privateDnsZones/A/write | プライベート DNS ゾーン内の "A" タイプのレコード セットを作成または更新します。 レコード セットの現在のレコードが指定されたレコードに置き換えられます。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Manage and configure the OpenShift router.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0336e1d3-7a87-462b-b6db-342b63f7802c",
"name": "0336e1d3-7a87-462b-b6db-342b63f7802c",
"permissions": [
{
"actions": [
"Microsoft.Network/dnsZones/A/delete",
"Microsoft.Network/dnsZones/A/write",
"Microsoft.Network/privateDnsZones/A/delete",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cluster Ingress Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift Disk Storage オペレーター
クラスターでの Azure ディスクの使用を可能にする、Container Storage Interface (CSI) ドライバーをインストールします。 クラスター向けとして既定のストレージ クラスが存在するように、OpenShift クラスター全体のストレージの既定値を設定します。
| アクション | 説明 |
|---|---|
| Microsoft.Compute/virtualMachines/write | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | VM スケール セット内の仮想マシンのプロパティを更新します |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | VM スケール セット内の仮想マシンのプロパティを取得します |
| Microsoft.Compute/virtualMachineScaleSets/read | 仮想マシン スケール セットのプロパティを取得します |
| Microsoft.Compute/snapshots/write | 新しいスナップショットを作成するか、既存のスナップショットを更新します |
| Microsoft.Compute/スナップショット/読み取り | スナップショットのプロパティを取得します |
| Microsoft.Compute/スナップショット/削除 | スナップショットを削除します |
| Microsoft.Compute/locations/operations/read | 非同期操作の状態を取得します |
| Microsoft.Compute/locations/DiskOperations/read | 非同期のディスク操作の状態を取得します |
| Microsoft.Compute/disks/write | 新しいディスクを作成するか、既存のディスクを更新します |
| Microsoft.Compute/disks/read | ディスクのプロパティを取得します |
| Microsoft.Compute/ディスク/削除 | ディスクを削除します |
| Microsoft.Compute/disks/beginGetAccess/action | BLOB へのアクセス用にディスクの SAS URI を取得します |
| Microsoft.Compute/diskEncryptionSets/read | ディスク暗号化セットのプロパティを取得します |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Disks. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b7237c5-45e1-49d6-bc18-a1f62f400748",
"name": "5b7237c5-45e1-49d6-bc18-a1f62f400748",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/DiskOperations/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Disk Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift フェデレーション資格情報
マネージド ID、OpenID Connect (OIDC)、サービス アカウントの間に信頼関係を構築するために、ユーザー割り当てマネージド ID のフェデレーション資格情報を作成、更新、削除します。
| アクション | 説明 |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | 既存のユーザー割り当て ID を取得します |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | フェデレーション ID 資格情報を追加または更新する |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | フェデレーション ID 資格情報を取得または一覧表示する |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | フェデレーション ID 資格情報を削除する |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Create, update and delete federated credentials on user assigned managed identities in order to build a trust relationship between the managed identity, OpenID Connect (OIDC), and the service account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"name": "ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Federated Credential",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift ファイル ストレージ オペレーター
クラスターでの Azure Files の使用を可能にする Container Storage Interface (CSI) ドライバーをインストールします。 クラスター向けとして既定のストレージ クラスが存在するように、OpenShift クラスター全体のストレージの既定値を設定します。
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/delete | 既存のストレージ アカウントを削除します。 |
| Microsoft.Storage/storageAccounts/fileServices/read | ファイル サービスのプロパティを取得します |
| Microsoft.Storage/storageAccounts/fileServices/shares/delete | ファイル共有を削除します |
| Microsoft.Storage/storageAccounts/fileServices/shares/read | ファイル共有を一覧表示します |
| Microsoft.Storage/ストレージアカウント/ファイルサービス/共有/書き込み | ファイル共有を作成または更新します |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/ストレージアカウント/読み取り | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Storage/storageAccounts/write | 指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。 |
| Microsoft.Storage/storageAccounts/プライベートエンドポイント接続承認/アクション | プライベート エンドポイント接続を承認します |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Network/routeTables/join/action | ルート テーブルを結合します。 警告不可能です。 |
| Microsoft.Network/natGateways/join/action | NAT Gateway を結合します |
| Microsoft.Network/virtualNetworks/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/privateEndpoints/write | 新しいプライベート エンドポイントを作成するか、または既存のプライベート エンドポイントを更新します。 |
| Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action | リソースを Ipam プールに関連付ける操作のためのアクセス許可 |
| Microsoft.Network/networkIntentPolicies/join/action | ネットワーク インテント ポリシーに参加します。 警告不可能です。 |
| Microsoft.Network/serviceEndpointPolicies/join/action | サービス エンドポイント ポリシーを結合します。 警告不可能です。 |
| Microsoft.Network/locations/operations/read | 非同期操作の状態を表す操作リソースを取得します。 |
| Microsoft.Network/privateDnsOperationStatuses/read | プライベート DNS 操作の状態を取得します |
| Microsoft.Network/privateDnsZones/read | プライベート DNS ゾーンのプロパティを JSON 形式で取得します。 このコマンドでは、プライベート DNS ゾーンがリンクされている仮想ネットワーク、またはゾーン内のレコード セットは取得されません。 |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/read | 仮想ネットワークのプロパティへのプライベート DNS ゾーンのリンクを JSON 形式で取得します。 |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | 仮想ネットワークへのプライベート DNS ゾーンのリンクを作成または更新します。 |
| Microsoft.Network/privateDnsZones/write | リソース グループ内のプライベート DNS ゾーンを作成または更新します。 このコマンドを使用して、ゾーン内の仮想ネットワーク リンクまたはレコード セットを作成または更新することはできません。 |
| Microsoft.Network/privateDnsZones/join/action | プライベート DNS ゾーンに参加します |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | プライベート DNS ゾーン グループを設定します |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | プライベート DNS ゾーン グループを取得します |
| Microsoft.Network/privateEndpoints/read | プライベート エンドポイント リソースを取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Files. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0d7aedc0-15fd-4a67-a412-efad370c947e",
"name": "0d7aedc0-15fd-4a67-a412-efad370c947e",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/delete",
"Microsoft.Storage/storageAccounts/fileServices/shares/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/locations/operations/read",
"Microsoft.Network/privateDnsOperationStatuses/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateEndpoints/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift File Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift イメージレジストリオペレーター
OpenShift イメージ レジストリのシングルトン インスタンスを管理するための、オペレーター用のアクセス許可を有効にします。 ストレージの作成を含め、レジストリのすべての構成を管理します。
| アクション | 説明 |
|---|---|
| Microsoft.Storage/ストレージアカウント/ブロブサービス/読み取り | Blob service のプロパティまたは統計情報を返します |
| Microsoft.Storage のストレージアカウント/ブロブサービス/コンテナ/読み取り | コンテナーの一覧を返します |
| Microsoft.Storage/ストレージアカウント/ブロブサービス/コンテナ/書き込み | BLOB コンテナーのプット結果を返します |
| Microsoft.Storage/ストレージアカウント/Blobサービス/コンテナ/削除 | コンテナーを削除した結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Blob service のユーザーの委任キーを返します |
| Microsoft.Storage/ストレージアカウント/読み取り | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Storage/storageAccounts/write | 指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。 |
| Microsoft.Storage/storageAccounts/delete | 既存のストレージ アカウントを削除します。 |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/storageAccounts/プライベートエンドポイント接続承認/アクション | プライベート エンドポイント接続を承認します |
| Microsoft.Resources/tags/write | 既存のタグを新しいタグのセットと置換またはマージするか、既存のタグを削除することによって、リソースのタグを更新します。 |
| Microsoft.Network/privateEndpoints/write | 新しいプライベート エンドポイントを作成するか、または既存のプライベート エンドポイントを更新します。 |
| Microsoft.Network/privateEndpoints/read | プライベート エンドポイント リソースを取得します |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | プライベート DNS ゾーン グループを設定します |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | プライベート DNS ゾーン グループを取得します |
| Microsoft.Network/privateDnsZones/read | プライベート DNS ゾーンのプロパティを JSON 形式で取得します。 このコマンドでは、プライベート DNS ゾーンがリンクされている仮想ネットワーク、またはゾーン内のレコード セットは取得されません。 |
| Microsoft.Network/privateDnsZones/write | リソース グループ内のプライベート DNS ゾーンを作成または更新します。 このコマンドを使用して、ゾーン内の仮想ネットワーク リンクまたはレコード セットを作成または更新することはできません。 |
| Microsoft.Network/privateDnsZones/join/action | プライベート DNS ゾーンに参加します |
| Microsoft.Network/privateDnsZones/A/write | プライベート DNS ゾーン内の "A" タイプのレコード セットを作成または更新します。 レコード セットの現在のレコードが指定されたレコードに置き換えられます。 |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | 仮想ネットワークへのプライベート DNS ゾーンのリンクを作成または更新します。 |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/read | 仮想ネットワークのプロパティへのプライベート DNS ゾーンのリンクを JSON 形式で取得します。 |
| Microsoft.Network/networkInterfaces/read (英語) | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | BLOB を削除した結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | BLOB の書き込みの結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | BLOB または BLOB の一覧を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action | BLOB コンテンツを追加した結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action | パス間で BLOB を移動します |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Enables permissions for the operator to manage a singleton instance of the OpenShift image registry. It manages all configuration of the registry, including creating storage.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"name": "8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Resources/tags/write",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/join/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action"
],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Image Registry Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift マシン API オペレーター
Kubernetes API を拡張してクラスター内のマシンの望ましい状態を宣言する、特定目的のカスタム リソース定義 (CRD)、コントローラー、および Azure RBAC オブジェクトのライフサイクルを管理します。
| アクション | 説明 |
|---|---|
| Microsoft.Compute/可用性セット/削除 | 可用性セットを削除します |
| Microsoft.Compute/availabilitySets/read | 可用性セットのプロパティを取得します |
| Microsoft.Compute/availabilitySets/write | 新しい可用性セットを作成するか、既存の可用性セットを更新します |
| Microsoft.Compute/diskEncryptionSets/read | ディスク暗号化セットのプロパティを取得します |
| Microsoft.Compute/ディスク/削除 | ディスクを削除します |
| Microsoft.Compute/galleries/images/versions/read | ギャラリー イメージ バージョンのプロパティを取得します |
| Microsoft.Compute/skus/read | サブスクリプションで使用可能な Microsoft.Compute SKU の一覧を取得します |
| Microsoft.Compute/virtualMachines/delete | 仮想マシンを削除します |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| Microsoft.Compute/virtualMachines/write | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します |
| Microsoft.Compute/capacityReservationGroups/deploy/action | 容量予約グループを使用して新しい VM/VMSS をデプロイします |
| Microsoft.ManagedIdentity/ユーザー割り当てID/割り当て/アクション | 既存のユーザー割り当て ID をリソースに割り当てるための RBAC アクションです |
| Microsoft.Network/applicationSecurityGroups/read | アプリケーション セキュリティ グループ ID を取得します。 |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | ロード バランサーのバックエンド アドレス プールを接続します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します |
| Microsoft.Network/loadBalancers/write | ロード バランサーを作成するか、既存のロード バランサーを更新します |
| Microsoft.Network/networkInterfaces/削除 | ネットワーク インターフェイスを削除します |
| Microsoft.Network/networkInterfaces/join/action | 仮想マシンをネットワーク インターフェイスに接続します。 警告不可能です。 |
| Microsoft.Network/networkInterfaces/loadBalancers/read | ネットワーク インターフェイスが含まれているすべてのロード バランサーを取得します |
| Microsoft.Network/networkInterfaces/read (英語) | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得します |
| Microsoft.Network/ネットワークセキュリティグループ/書き込み (write) | ネットワーク セキュリティ グループを作成するか、既存のネットワーク セキュリティ グループを更新します |
| Microsoft.Network/publicIPAddresses/delete | パブリック IP アドレスを削除します。 |
| Microsoft.Network/publicIPAddresses/join/action | パブリック IP アドレスに参加します。 警告不可能です。 |
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/publicIPAddresses/write | パブリック IP アドレスを作成するか、既存のパブリック IP アドレスを更新します。 |
| Microsoft.Network/routeTables/read | ルート テーブルの定義を取得します |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | セキュリティ ルールをアプリケーション セキュリティ グループに結合します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action | ロード バランサーのフロントエンド IP 構成を結合します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/inboundNATRules/join/action | ロード バランサーのインバウンド NAT 規則を接続します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Manage the lifecycle of specific-purpose custom resource definitions (CRD), controllers, and Azure RBAC objects that extend the Kubernetes API to declares the desired state of machines in a cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0358943c-7e01-48ba-8889-02cc51d78637",
"name": "0358943c-7e01-48ba-8889-02cc51d78637",
"permissions": [
{
"actions": [
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/capacityReservationGroups/deploy/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action",
"Microsoft.Network/loadBalancers/inboundNATRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Machine API Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift ネットワーク オペレーター
OpenShift クラスターにネットワーク コンポーネントをインストールしてアップグレードできます。
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkInterfaces/read (英語) | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | ロード バランサーのバックエンド アドレス プールを接続します。 警告不可能です。 |
| Microsoft.Network/ロードバランサー/バックエンドアドレスプール/読み取り | ロード バランサーのバックエンド アドレス プールの定義を取得します |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Install and upgrade the networking components on an OpenShift cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/be7a6435-15ae-4171-8f30-4a343eff9e8f",
"name": "be7a6435-15ae-4171-8f30-4a343eff9e8f",
"permissions": [
{
"actions": [
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Compute/virtualMachines/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Network Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift サービス オペレーター
OpenShift クラスターのマネージド サービスとして継続する機能に固有な、マシンの正常性、ネットワーク構成、監視、その他の機能を維持します。
| アクション | 説明 |
|---|---|
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Network/natGateways/join/action | NAT Gateway を結合します |
| Microsoft.Network/routeTables/join/action | ルート テーブルを結合します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/serviceEndpointPolicies/join/action | サービス エンドポイント ポリシーを結合します。 警告不可能です。 |
| Microsoft.Network/networkIntentPolicies/join/action | ネットワーク インテント ポリシーに参加します。 警告不可能です。 |
| Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action | リソースを Ipam プールに関連付ける操作のためのアクセス許可 |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/ストレージアカウント/読み取り | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Maintain machine health, network configuration, monitoring, and other features that are specific to an OpenShift cluster's continued functionality as a managed service.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4436bae4-7702-4c84-919b-c4069ff25ee2",
"name": "4436bae4-7702-4c84-919b-c4069ff25ee2",
"permissions": [
{
"actions": [
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Service Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
接続済みクラスターマネージド ID の CheckAccess 閲覧者
接続済みクラスターのマネージド ID による checkAccess API 呼び出しを許可する組み込みロール
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ConnectedEnvironments 共同作成者
作成、削除、更新など、Container Apps ConnectedEnvironments の完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/connectedEnvironments/* | |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/*/write | |
| Microsoft.App/connectedEnvironments/*/delete | |
| Microsoft.App/connectedEnvironments/*/action | |
| Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action | Dapr コンポーネントのリストシークレット |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ConnectedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"name": "6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/connectedEnvironments/*",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/*/write",
"Microsoft.App/connectedEnvironments/*/delete",
"Microsoft.App/connectedEnvironments/*/action",
"Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ConnectedEnvironments 閲覧者
Container Apps ConnectedEnvironments への読み取りアクセス。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.App/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read access to Container Apps ConnectedEnvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"name": "d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps 共同作成者
作成、削除、更新など、Container Apps の完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/write | |
| Microsoft.App/containerApps/*/削除 | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | マネージド環境を取得する |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedEnvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| Microsoft.App/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/358470bc-b998-42bd-ab17-a7e34c199c0f",
"name": "358470bc-b998-42bd-ab17-a7e34c199c0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/write",
"Microsoft.App/containerApps/*/delete",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ジョブ共同作成者
作成、削除、更新など、Container Apps ジョブの完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| microsoft.app/jobs/read | Container Apps ジョブを取得します |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.App/jobs/write | Container Apps ジョブを作成または更新します |
| Microsoft.App/jobs/delete | Container Apps ジョブを削除します |
| Microsoft.app/managedenvironments/read | マネージド環境を取得する |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedenvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| Microsoft.app/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps jobs, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"name": "4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.App/jobs/write",
"Microsoft.App/jobs/delete",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナーアプリジョブオペレーター
Container Apps ジョブの読み取り、開始、停止。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| microsoft.app/jobs/read | Container Apps ジョブを取得します |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.app/managedenvironments/read | マネージド環境を取得する |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedenvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| Microsoft.app/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.App/jobs/logstream/action | コンテナー アプリ ジョブのログ ストリームを表示します |
| Microsoft.App/jobs/exec/action | コンテナー アプリ ジョブのコンソールに接続します |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read, start, and stop Container Apps jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"name": "b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/jobs/logstream/action",
"Microsoft.App/jobs/exec/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ジョブ閲覧者
ContainerApps ジョブへの読み取りアクセス
| アクション | 説明 |
|---|---|
| microsoft.app/jobs/read | Container Apps ジョブを取得します |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/managedenvironments/read | マネージド環境を取得する |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps jobs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/edd66693-d32a-450b-997d-0158c03976b0",
"name": "edd66693-d32a-450b-997d-0158c03976b0",
"permissions": [
{
"actions": [
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/managedenvironments/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ManagedEnvironments 共同作成者
作成、削除、更新など、Container Apps ManagedEnvironments の完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/*/write | |
| Microsoft.App/managedEnvironments/*/delete | |
| Microsoft.App/managedEnvironments/*/action | |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ManagedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/57cc5028-e6a7-4284-868d-0611c5923f8d",
"name": "57cc5028-e6a7-4284-868d-0611c5923f8d",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/*/write",
"Microsoft.App/managedEnvironments/*/delete",
"Microsoft.App/managedEnvironments/*/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ManagedEnvironments 閲覧者
ContainerApps managedenvironments への読み取りアクセス。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/managedEnvironments/*/read | |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps managedenvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"name": "1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps オペレーター
ログストリームの読み取りと、Container Apps 内での実行。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | マネージド環境を取得する |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedEnvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| Microsoft.App/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.App/containerApps/logstream/action | コンテナー アプリのログ ストリームを表示します |
| Microsoft.App/containerApps/exec/action | コンテナー アプリのコンソールに接続します |
| Microsoft.App/containerApps/debug/action | コンテナー アプリのデバッグ コンソールに接続します |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read, logstream and exec into Container Apps.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"name": "f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/containerApps/logstream/action",
"Microsoft.App/containerApps/exec/action",
"Microsoft.App/containerApps/debug/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps SessionPools 共同作成者
作成、削除、更新など、Container Apps SessionPools の完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/sessionPools/*/read | |
| Microsoft.App/sessionPools/*/write | |
| Microsoft.App/sessionPools/*/delete | |
| Microsoft.App/sessionPools/*/action | |
| microsoft.App/managedEnvironments/read | マネージド環境を取得する |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedEnvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| microsoft.App/接続環境/読み取り | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| Microsoft.App/sessionPools/fetchMcpServerCredentials/action | セッション プールの MCP サーバー資格情報をフェッチする |
| Microsoft.App/sessionPools/rotateMcpServerCredentials/action | セッション プールの MCP サーバー資格情報のローテーション |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps SessionPools, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"name": "f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read",
"Microsoft.App/sessionPools/*/write",
"Microsoft.App/sessionPools/*/delete",
"Microsoft.App/sessionPools/*/action",
"microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [
"Microsoft.App/sessionPools/fetchMcpServerCredentials/action",
"Microsoft.App/sessionPools/rotateMcpServerCredentials/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps SessionPools 閲覧者
ContainerApps セッションプールへの読み取りアクセス。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/sessionPools/*/read | |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps sessionpools.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/af61e8fc-2633-4b95-bed3-421ad6826515",
"name": "af61e8fc-2633-4b95-bed3-421ad6826515",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナレジストリキャッシュルール管理者
コンテナー レジストリでキャッシュ 規則を作成、読み取り、更新、および削除します。 このロールでは、資格情報セットを管理するためのアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | 指定したキャッシュ ルールのプロパティを取得するか、指定したコンテナー レジストリのすべてのキャッシュ ルールを一覧表示します |
| Microsoft.ContainerRegistry/registries/cacheRules/write | 指定されたパラメーターでコンテナー レジストリのキャッシュ ルールを作成または更新します |
| Microsoft.ContainerRegistry/registries/cacheRules/delete | コンテナー レジストリからキャッシュ ルールを削除します |
| Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read | キャッシュ ルールの非同期操作の状態を取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Cache Rules in Container Registry. This role doesn't grant permissions to manage Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/df87f177-bb12-4db1-9793-a413691eff94",
"name": "df87f177-bb12-4db1-9793-a413691eff94",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read",
"Microsoft.ContainerRegistry/registries/cacheRules/write",
"Microsoft.ContainerRegistry/registries/cacheRules/delete",
"Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナ・レジストリ・キャッシュ・ルール・リーダー
コンテナー レジストリのキャッシュ 規則の構成を読み取ります。 このアクセス許可では、資格情報セットを読み取るアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | 指定したキャッシュ ルールのプロパティを取得するか、指定したコンテナー レジストリのすべてのキャッシュ ルールを一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Cache Rules in Container Registry. This permission doesn't grant permission to read Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c357b964-0002-4b64-a50d-7a28f02edc52",
"name": "c357b964-0002-4b64-a50d-7a28f02edc52",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry 構成閲覧者およびデータ アクセス構成閲覧者
コンテナー レジストリとレジストリ構成プロパティを一覧表示するアクセス許可が付与されます。 管理者ユーザーの資格情報、スコープ マップ、トークンなど、データ アクセス構成を一覧表示するアクセス許可が付与されます。これは、リポジトリとイメージの読み取り、書き込み、削除に使用できます。 リポジトリやイメージを含むレジストリ コンテンツの読み取り、リスト化、または書き込みを行う直接のアクセス許可は付与されません。 インポート、アーティファクト キャッシュまたは同期、転送パイプラインなどのデータ プレーン コンテンツを変更するためのアクセス許可は付与されません。 タスクを管理するためのアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/operationStatuses/read | レジストリの非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | プライベート エンドポイント接続のプロパティ、または指定されたコンテナー レジストリのすべてのプライベート エンドポイント接続の一覧を取得します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | プライベート エンドポイント接続の非同期操作状態を取得します |
| Microsoft.ContainerRegistry/registries/listCredentials/action | 指定されたコンテナー レジストリのログイン資格情報を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tokens/read | 指定したトークンのプロパティを取得するか、指定したコンテナー レジストリのすべてのトークンを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | トークンの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | 指定したスコープ マップのプロパティを取得するか、指定したコンテナー レジストリのすべてのスコープ マップを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | スコープ マップの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/webhooks/read | 指定された webhook のプロパティを取得するか、指定されたコンテナー レジストリのすべての webhook を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | webhook のサービス URI とカスタム ヘッダーの構成を取得します。 |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | 指定された webhook の最近のイベントを一覧表示します。 |
| Microsoft.ContainerRegistry/レジストリ/webhooks/オペレーションステータス/読み取り | webhook の非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/replications/read | 指定されたレプリケーションのプロパティを取得するか、指定されたコンテナー レジストリのすべてのレプリケーションを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | レプリケーションの非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | 指定された接続先レジストリのプロパティを取得するか、指定されたコンテナー レジストリのすべての接続先レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | リソースの診断設定を取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | リソースの診断設定を作成または更新します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Microsoft ContainerRegistry の利用可能なログを取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Microsoft ContainerRegistry の使用可能なメトリックを取得します |
| Microsoft.Insights/アラートルール/書き込み | クラシック メトリック アラートを作成または更新します |
| Microsoft.Insights/AlertRules/Delete | クラシック メトリック アラートを削除します |
| Microsoft.Insights/AlertRules/Read | クラシック メトリック アラートを読み取ります |
| Microsoft.Insights/AlertRules/Activated/Action | クラシック メトリック アラートがアクティブ化されました |
| Microsoft.Insights/AlertRules/Resolved/Action | クラシック メトリック アラートが解決されました |
| Microsoft.Insights/アラートルール/スロットル/アクション | クラシック メトリック アラート ルールが調整されました |
| Microsoft.Insights/AlertRules/Incidents/Read | クラシック メトリック アラートのインシデントを読み取ります |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry 共同作成者およびデータ アクセス構成管理者
コンテナー レジストリとレジストリ構成プロパティを作成、リスト化、更新するアクセス許可が付与されます。 管理者ユーザーの資格情報、スコープ マップ、トークンなどのデータ アクセスを構成するアクセス許可が付与されます。これは、リポジトリとイメージの読み取り、書き込み、または削除に使用できます。 リポジトリやイメージを含むレジストリ コンテンツの読み取り、リスト化、または書き込みを行う直接のアクセス許可は付与されません。 インポート、アーティファクト キャッシュまたは同期、転送パイプラインなどのデータ プレーン コンテンツを変更するためのアクセス許可は付与されません。 タスクを管理するためのアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerRegistry/registries/operationStatuses/read | レジストリの非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/write | 指定されたパラメーターでコンテナー レジストリを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/delete | コンテナー レジストリを削除します。 |
| Microsoft.ContainerRegistry/registries/listCredentials/action | 指定されたコンテナー レジストリのログイン資格情報を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/regenerateCredential/action | 指定されたコンテナー レジストリのログイン資格情報の 1 つを再生成します。 |
| Microsoft.ContainerRegistry/registries/generateCredentials/action | 指定されたコンテナー レジストリのトークンのキーを生成します。 |
| Microsoft.ContainerRegistry/registries/replications/read | 指定されたレプリケーションのプロパティを取得するか、指定されたコンテナー レジストリのすべてのレプリケーションを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/replications/write | 指定されたパラメーターでコンテナー レジストリのレプリケーションを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/replications/delete | コンテナー レジストリからレプリケーションを削除します。 |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | レプリケーションの非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/プライベートエンドポイント接続承認/action | プライベート エンドポイント接続を自動的に承認します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | プライベート エンドポイント接続のプロパティ、または指定されたコンテナー レジストリのすべてのプライベート エンドポイント接続の一覧を取得します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/write | プライベート エンドポイント接続を承認/拒否します |
| Microsoft.ContainerRegistry/レジストリ/プライベートエンドポイント接続/削除 | プライベート エンドポイント接続を削除します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | プライベート エンドポイント接続の非同期操作状態を取得します |
| Microsoft.ContainerRegistry/registries/tokens/read | 指定したトークンのプロパティを取得するか、指定したコンテナー レジストリのすべてのトークンを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tokens/write | 指定されたパラメーターでコンテナー レジストリのトークンを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/tokens/delete | コンテナー レジストリからトークンを削除します。 |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | トークンの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | 指定したスコープ マップのプロパティを取得するか、指定したコンテナー レジストリのすべてのスコープ マップを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/write | 指定されたパラメーターでコンテナー レジストリのスコープ マップを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/delete | コンテナー レジストリからスコープ マップを削除します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | スコープ マップの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | リソースの診断設定を取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | リソースの診断設定を作成または更新します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Microsoft ContainerRegistry の利用可能なログを取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Microsoft ContainerRegistry の使用可能なメトリックを取得します |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | 指定された接続先レジストリのプロパティを取得するか、指定されたコンテナー レジストリのすべての接続先レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/write | 指定されたパラメーターでコンテナー レジストリの接続先レジストリを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/delete | コンテナー レジストリから接続先レジストリを削除します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action | コンテナー レジストリから接続されたレジストリを非アクティブ化します |
| Microsoft.ContainerRegistry/registries/webhooks/read | 指定された webhook のプロパティを取得するか、指定されたコンテナー レジストリのすべての webhook を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/webhooks/write | 指定されたパラメーターでコンテナー レジストリの webhook を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/webhooks/delete | コンテナー レジストリから webhook を削除します。 |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | webhook のサービス URI とカスタム ヘッダーの構成を取得します。 |
| Microsoft.ContainerRegistry/registries/webhooks/ping/action | webhook に送信される ping イベントをトリガーします。 |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | 指定された webhook の最近のイベントを一覧表示します。 |
| Microsoft.ContainerRegistry/レジストリ/webhooks/オペレーションステータス/読み取り | webhook の非同期操作の状態を取得します |
| Microsoft.Insights/アラートルール/書き込み | クラシック メトリック アラートを作成または更新します |
| Microsoft.Insights/AlertRules/Delete | クラシック メトリック アラートを削除します |
| Microsoft.Insights/AlertRules/Read | クラシック メトリック アラートを読み取ります |
| Microsoft.Insights/AlertRules/Activated/Action | クラシック メトリック アラートがアクティブ化されました |
| Microsoft.Insights/AlertRules/Resolved/Action | クラシック メトリック アラートが解決されました |
| Microsoft.Insights/アラートルール/スロットル/アクション | クラシック メトリック アラート ルールが調整されました |
| Microsoft.Insights/AlertRules/Incidents/Read | クラシック メトリック アラートのインシデントを読み取ります |
| Microsoft.ContainerRegistry/locations/operationResults/read | 非同期操作の結果を取得します |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します |
| Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write | 新しいプライベート リンク サービス プロキシを作成するか、または既存のプライベート リンク サービス プロキシを更新します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Credential Set 管理者
コンテナー レジストリで資格情報セットを作成、読み取り、更新、および削除します。 このロールは、Azure Key Vault 内にコンテンツを格納するために必要なアクセス許可には影響しません。 このロールでは、キャッシュ ルールを管理するためのアクセス許可も付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | 指定した資格情報セットのプロパティを取得するか、指定したコンテナー レジストリのすべての資格情報セットを一覧表示します |
| Microsoft.ContainerRegistry/registries/credentialSets/write | 指定されたパラメーターでコンテナー レジストリの資格情報 セットを作成または更新します |
| Microsoft.ContainerRegistry/registries/credentialSets/delete | コンテナー レジストリから資格情報 セットを削除します |
| Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read | 資格情報セットの非同期操作の状態を取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Credential Sets in Container Registry. This role doesn't affect the needed permissions for storing content inside Azure Key Vault. This role also doesn't grant permissions to manage Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f094fb07-0703-4400-ad6a-e16dd8000e14",
"name": "f094fb07-0703-4400-ad6a-e16dd8000e14",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read",
"Microsoft.ContainerRegistry/registries/credentialSets/write",
"Microsoft.ContainerRegistry/registries/credentialSets/delete",
"Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Credential Set 閲覧者
コンテナー レジストリの資格情報セットの構成を読み取ります。 このアクセス許可では、Azure Key Vault のコンテンツを表示することはできず、Container Registry 内のコンテンツのみを表示できます。 このアクセス許可では、キャッシュ ルールを読み取るアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | 指定した資格情報セットのプロパティを取得するか、指定したコンテナー レジストリのすべての資格情報セットを一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Credential Sets in Container Registry. This permission doesn't allow permission to see content inside Azure Key vault only the content inside Container Registry. This permission doesn't grant permission to read Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29093635-9924-4f2c-913b-650a12949526",
"name": "29093635-9924-4f2c-913b-650a12949526",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry データ インポーターおよびデータ閲覧者
レジストリのインポート操作を通じてレジストリにイメージをインポートすることができます。 リポジトリのリスト化、イメージとタグの表示、マニフェストの取得、イメージのプルを行うことができます。 インポート パイプラインやエクスポート パイプラインなど、レジストリ転送パイプラインを構成してイメージをインポートするアクセス許可は付与されません。 アーティファクト キャッシュまたは同期ルールを構成してインポートするアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/importImage/action | 指定されたパラメーターを使用して、コンテナー レジストリにイメージをインポートします。 |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/catalog/read | コンテナー レジストリ内のリポジトリを一覧表示します。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナ・レジストリ・リポジトリ・カタログ・リスター
Azure Container Registry 内のすべてのリポジトリを一覧表示できます。
| アクション | 説明 |
|---|---|
| "なし" | |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/catalog/read | コンテナー レジストリ内のリポジトリを一覧表示します。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナレジストリリポジトリの寄稿者
カタログの一覧表示を除き、Azure Container Registry リポジトリに対する読み取り、書き込み、削除アクセス権限が付与されます。
| アクション | 説明 |
|---|---|
| "なし" | |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | コンテナー レジストリのリポジトリのメタデータを更新します |
| Microsoft.ContainerRegistry/registries/repositories/content/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/delete | コンテナー レジストリのリポジトリのメタデータを削除します |
| Microsoft.ContainerRegistry/registries/repositories/content/delete | コンテナー レジストリの成果物を削除します。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナレジストリリポジトリリーダー
カタログの一覧表示を除き、Azure Container Registry リポジトリに対する読み取りアクセスが付与されます。
| アクション | 説明 |
|---|---|
| "なし" | |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry リポジトリ ライター
カタログの一覧表示を除き、Azure Container Registry リポジトリに対する読み取り、書き込みアクセス権限が付与されます。
| アクション | 説明 |
|---|---|
| "なし" | |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | コンテナー レジストリのリポジトリのメタデータを更新します |
| Microsoft.ContainerRegistry/registries/repositories/content/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナレジストリタスク貢献者
Container Registry タスク、タスク実行、タスク ログ、クイック実行、クイック ビルド、タスク エージェント プールを構成、読み取り、リスト、トリガー、またはキャンセルするアクセス許可が付与されます。 タスク管理に付与されるアクセス許可は、レジストリ内のコンテナー イメージの読み取り、書き込み、削除を含む、レジストリのデータ プレーン全体に対するアクセス許可として使用できます。 また、タスク管理に付与されるアクセス許可は、顧客が作成したビルド ディレクティブの実行や、ソフトウェア成果物をビルドするスクリプトの実行に使用できます。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/agentpools/read | コンテナー レジストリの agentpool を取得するか、すべての agentpool を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/agentpools/write | コンテナー レジストリの agentpool を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/agentpools/delete | コンテナー レジストリの agentpool を削除します。 |
| Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action | コンテナー レジストリの agentpool のすべてのキューの状態を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read | agentpool の非同期操作の結果の状態を取得します |
| Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read | agentpool の非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/tasks/read | コンテナー レジストリに対するタスクを取得するか、すべてのタスクを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tasks/write | コンテナー レジストリに対するタスクを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/tasks/delete | コンテナー レジストリに対するタスクを削除します。 |
| Microsoft.ContainerRegistry/registries/tasks/listDetails/action | コンテナー レジストリに対するタスクの詳細を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/scheduleRun/action | コンテナー レジストリに対する実行をスケジュールします。 |
| Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action | コンテナー レジストリのソース アップロード URL の場所を取得します。 |
| Microsoft.ContainerRegistry/registries/runs/read | コンテナー レジストリに対する実行のプロパティを取得するか、実行を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/runs/write | 実行を更新します。 |
| Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action | 実行のログ SAS URL を取得します。 |
| Microsoft.ContainerRegistry/registries/runs/cancel/action | 既存の実行をキャンセルします。 |
| Microsoft.ContainerRegistry/registries/taskruns/read | コンテナー レジストリに対するタスク実行を取得するか、すべてのタスク実行を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/taskruns/write | コンテナー レジストリのタスク実行を作成または更新します。 |
| Microsoft.ContainerRegistry/レジストリ/タスクラン/削除 | コンテナー レジストリのタスク実行を削除します。 |
| Microsoft.ContainerRegistry/registries/taskruns/listDetails/action | コンテナー レジストリに対するタスク実行のすべての詳細を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read | taskrun の非同期操作状態を取得します |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry 転送パイプライン共同作成者
中間ストレージ アカウントとキー コンテナーを含むレジストリ転送パイプラインを構成することで、成果物を転送、インポート、エクスポートすることができます。 イメージをプッシュまたはプルするアクセス許可は付与されません。 ストレージ アカウントまたはキー コンテナーを作成、管理、一覧表示するアクセス許可は付与されません。 ロールの割り当てを実行するアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/exportPipelines/read | 指定したエクスポート パイプラインのプロパティを取得するか、指定したコンテナー レジストリのすべてのエクスポート パイプラインを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/exportPipelines/write | 指定されたパラメーターでコンテナー レジストリのエクスポート パイプラインを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/exportPipelines/delete | コンテナー レジストリからエクスポート パイプラインを削除します。 |
| Microsoft.ContainerRegistry/registries/importPipelines/read | 指定したインポート パイプラインのプロパティを取得するか、指定したコンテナー レジストリのすべてのインポート パイプラインを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/importPipelines/write | 指定されたパラメーターでコンテナー レジストリのインポート パイプラインを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/importPipelines/delete | コンテナー レジストリからインポート パイプラインを削除します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/read | 指定したパイプライン実行のプロパティを取得するか、指定したコンテナー レジストリのすべてのパイプライン実行を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/write | 指定されたパラメーターでコンテナー レジストリのパイプライン実行を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/delete | コンテナー レジストリからパイプライン実行を削除します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read | パイプライン実行の非同期操作の状態を取得します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Defender Kubernetes API Access
Microsoft Defender for Cloud に Azure Kubernetes Services へのアクセス権を付与します
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | マネージド クラスターの信頼されたアクセス ロール バインドを作成または更新します |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | マネージド クラスターの信頼されたアクセス ロール バインドを取得します |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | マネージド クラスターの信頼されたアクセス ロール バインドを削除します |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します |
| Microsoft.Features/features/read | サブスクリプションの機能を取得します。 |
| Microsoft.Features/providers/features/read | 指定されたリソース プロバイダーのサブスクリプションの機能を取得します。 |
| Microsoft.Features/プロバイダー/機能/登録/アクション | 指定されたリソース プロバイダーのサブスクリプションの機能を登録します。 |
| Microsoft.Security/pricings/securityoperators/read | スコープのセキュリティ演算子を取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Defender Kubernetes API Access",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes クラスター - Azure Arc のオンボード
connectedClusters リソースを作成するため、あらゆるユーザーまたはサービスを承認するロールの定義
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/Write | connectedClusters を書き込みます |
| Microsoft.Kubernetes/connectedClusters/read | connectedClusters を読み取ります |
| Microsoft.KubernetesConfiguration/拡張/書き込み | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/削除 | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes 拡張機能共同作成者
Kubernetes 拡張機能の作成、更新、取得、一覧表示、削除を行い、拡張機能の非同期操作を取得することができます
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.KubernetesConfiguration/拡張/書き込み | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/削除 | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| Microsoft.KubernetesConfiguration/register/action | Microsoft.KubernetesConfiguration リソース プロバイダーにサブスクリプションを登録します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.KubernetesConfiguration/register/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Service Fabric クラスター共同作成者
Service Fabric クラスター リソースを管理します。 クラスター、アプリケーションの種類、アプリケーションの種類のバージョン、アプリケーション、サービスが含まれます。 仮想マシン スケール セット、ストレージ アカウント、ネットワークなど、クラスターの基盤となるリソースを展開および管理するには、追加のアクセス許可が必要です。
| アクション | 説明 |
|---|---|
| Microsoft.ServiceFabric/clusters/* | |
| Microsoft.ServiceFabric/operations/read | 使用可能な操作を読み取ります。 |
| Microsoft.ServiceFabric/locations/clusterVersions/read | クラスターのバージョンを読み取ります。 |
| Microsoft.ServiceFabric/locations/environments/clusterVersions/read | 特定の環境のクラスターのバージョンを読み取ります。 |
| Microsoft.ServiceFabric/locations/operationresults/read | 操作結果を読み取ります。 |
| Microsoft.ServiceFabric/locations/operations/read | 場所別に操作を読み取ります。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Service Fabric マネージド クラスター共同作成者
Service Fabric マネージド クラスター リソースを展開および管理します。 マネージド クラスター、ノード タイプ、アプリケーション タイプ、アプリケーション タイプのバージョン、アプリケーション、サービスが含まれます。
| アクション | 説明 |
|---|---|
| Microsoft.ServiceFabric/managedclusters/* | |
| Microsoft.ServiceFabric/operations/read | 使用可能な操作を読み取ります。 |
| Microsoft.ServiceFabric/locations/clusterVersions/read | クラスターのバージョンを読み取ります。 |
| Microsoft.ServiceFabric/locations/environments/clusterVersions/read | 特定の環境のクラスターのバージョンを読み取ります。 |
| Microsoft.ServiceFabric/locations/operationresults/read | 操作結果を読み取ります。 |
| Microsoft.ServiceFabric/locations/operations/read | 場所別に操作を読み取ります。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}