Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono wbudowane role platformy Azure w kategorii Kontenery.
UsuńAcr
Usuwanie repozytoriów, tagów lub manifestów z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | Usuń artefakt w rejestrze kontenerów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
Unikaj korzystania z tej roli. Zaufanie do zawartości w usłudze Azure Container Registry i roli AcrImageSigner są przestarzałe i zostaną całkowicie usunięte 31 marca 2028 r. Aby uzyskać szczegółowe informacje i wskazówki dotyczące przejścia, zobacz https://aka.ms/acr/dctdeprecation.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | Wypychanie/ściąganie metadanych zaufania zawartości dla rejestru kontenerów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | Umożliwia wypychanie lub publikowanie zaufanych kolekcji zawartości rejestru kontenerów. Jest to podobne do akcji Microsoft.ContainerRegistry/registry/sign/write, z tą różnicą, że jest to akcja danych |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Planned DEPRECATION on March 31, 2028. Grant the signing permission for content trust. As content trust is being deprecated and will be completely removed on March 31, 2028, this role will also be removed. Refer to https://aka.ms/acr/dctdeprecation for details and transition guidance.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrPull
Ściąganie artefaktów z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Funkcja AcrPush
Wypychanie artefaktów do lub ściąganie artefaktów z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/push/write | Wypychanie lub zapisywanie obrazów do rejestru kontenerów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
Ściąganie obrazów poddanych kwarantannie z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Ściąganie lub pobieranie obrazów poddanych kwarantannie z rejestru kontenerów |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Umożliwia ściąganie lub pobieranie artefaktów poddanych kwarantannie z rejestru kontenerów. Jest to podobne do Microsoft.ContainerRegistry/registry/quarantine/read, z wyjątkiem tego, że jest to akcja danych |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineWriter
Wypchnij obrazy poddane kwarantannie do lub ściągnąć obrazy poddane kwarantannie z rejestru kontenerów.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | Ściąganie lub pobieranie obrazów poddanych kwarantannie z rejestru kontenerów |
| Microsoft.ContainerRegistry/rejestry/kwarantanna/zapis | Zapisywanie/modyfikowanie stanu kwarantanny obrazów poddanych kwarantannie |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | Umożliwia ściąganie lub pobieranie artefaktów poddanych kwarantannie z rejestru kontenerów. Jest to podobne do Microsoft.ContainerRegistry/registry/quarantine/read, z wyjątkiem tego, że jest to akcja danych |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | Umożliwia zapisywanie lub aktualizowanie stanu kwarantanny artefaktów poddanych kwarantannie. Jest to podobne do akcji Microsoft.ContainerRegistry/registry/quarantine/write, z tą różnicą, że jest to akcja danych |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola użytkownika klastra Kubernetes z włączoną usługą Azure Arc
Wyświetl akcję poświadczeń użytkownika klastra.
| Akcje | opis |
|---|---|
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | Wyświetlanie listy poświadczeń użytkownika (wersja zapoznawcza) |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| Microsoft.Kubernetes/połączoneKlastery/listaPoświadczeńUżytkownikaKlastra/akcja | Wyświetlanie listy poświadczeń użytkownika |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator usługi Azure Arc Kubernetes
Umożliwia zarządzanie wszystkimi zasobami w obszarze klastra/przestrzeni nazw, z wyjątkiem aktualizowania lub usuwania przydziałów zasobów i przestrzeni nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.Kubernetes/connectedClusters/apps/demononsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje kontrolki localsubjectaccessreviews |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/extensions/demononsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Limity odczytu |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator klastra Kubernetes w usłudze Azure Arc
Umożliwia zarządzanie wszystkimi zasobami w klastrze.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Podgląd platformy Kubernetes w usłudze Azure Arc
Umożliwia wyświetlenie wszystkich zasobów w klastrze/przestrzeni nazw, z wyjątkiem wpisów tajnych.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.Kubernetes/connectedClusters/apps/demononsets/read | Odczytuje demony |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | Odczytuje wdrożenia |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | Odczytuje zestawy replik |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | Odczytuje stanowe zestawy |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | Odczytuje poziomypodautoscalers |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | Odczyty cronjobs |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | Zadania odczytu |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | Odczytuje mapy konfiguracji |
| Microsoft.Kubernetes/connectedClusters/endpoints/read | Odczytuje punkty końcowe |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/extensions/demononsets/read | Odczytuje demony |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | Odczytuje wdrożenia |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | Odczyty przychodzące |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | Odczytuje zestawy replik |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Limity odczytu |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | Odczyty przychodzące |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/odczyt | Odczytuje trwałe operacjevolumeclaim |
| Microsoft.Kubernetes/connectedClusters/pods/read | Odczytuje zasobniki |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | Odczytuje konta usługi |
| Microsoft.Kubernetes/connectedClusters/services/read | Usługi odczytu |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Składnik zapisywania platformy Kubernetes w usłudze Azure Arc
Umożliwia aktualizowanie wszystkich elementów w obszarze klastra/przestrzeni nazw, z wyjątkiem ról (klastra) i powiązań ról (klastra).
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.Kubernetes/connectedClusters/apps/demononsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/events/read | Odczytuje zdarzenia |
| Microsoft.Kubernetes/connectedClusters/extensions/demononsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | Limity odczytu |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola współautora usługi Azure Container Instances
Udziela dostępu do odczytu/zapisu do grup kontenerów udostępnianych przez usługę Azure Container Instances
| Akcje | opis |
|---|---|
| Microsoft.ContainerInstance/containerGroups/* | Tworzenie grup kontenerów i zarządzanie nimi |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to container groups provided by Azure Container Instances",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"name": "5d977122-f97e-4b4d-a52f-6b43003ddb4d",
"permissions": [
{
"actions": [
"Microsoft.ContainerInstance/containerGroups/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Instances Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor usługi Azure Container Storage
Zainstaluj usługę Azure Container Storage i zarządzaj jej zasobami magazynu. Obejmuje warunek ABAC do ograniczenia przypisań ról.
| Akcje | opis |
|---|---|
| Microsoft.KubernetesConfiguration/extensions/write | Tworzy lub aktualizuje zasób rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/read | Pobiera zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/delete | Usuwa zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Pobiera stan operacji asynchronicznych. |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Management/managementGroups/read | Wyświetlanie listy grup zarządzania dla uwierzytelnioowanego użytkownika. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden | |
| Akcje | |
| Microsoft.Authorization/przypisaniaRól/pisanie | Utwórz przypisanie roli w określonym zakresie. |
| Microsoft.Authorization/przydziałyRól/usuń | Usuń przypisanie roli w określonym zakresie. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden | |
| Warunek | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) i ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) | Dodaj lub usuń przypisania ról dla następujących ról: Operator magazynowania kontenerów Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator magazynowania kontenerów Azure
Umożliwia tożsamości zarządzanej wykonywanie operacji usługi Azure Container Storage, takich jak zarządzanie maszynami wirtualnymi i zarządzanie sieciami wirtualnymi.
| Akcje | opis |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Sonduje stan operacji asynchronicznej. |
| Microsoft.Network/routeTables/join/action | Łączy tabelę tras. Nie można otrzymywać alertów. |
| Microsoft.Network/networkSecurityGroups/join/action | Dołącza do sieciowej grupy zabezpieczeń. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/write | Tworzy sieć wirtualną lub aktualizuje istniejącą sieć wirtualną |
| Microsoft.Network/virtualNetworks/delete | Usuwa sieć wirtualną |
| Microsoft.Network/virtualNetworks/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/subnets/read | Pobiera definicję podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej |
| Microsoft.Compute/virtualMachines/read | Pobieranie właściwości maszyny wirtualnej |
| Microsoft.Compute/wirtualneMaszyny/zapis | Tworzy nową maszynę wirtualną lub aktualizuje istniejącą maszynę wirtualną |
| Microsoft.Compute/virtualMachineScaleSets/read | Pobieranie właściwości zestawu skalowania maszyn wirtualnych |
| Microsoft.Compute/virtualMachineScaleSets/write | Tworzy nowy zestaw skalowania maszyn wirtualnych lub aktualizuje istniejący |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Aktualizuje właściwości maszyny wirtualnej w zestawie skalowania maszyn wirtualnych |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Pobiera właściwości maszyny wirtualnej w zestawie skalowania maszyn wirtualnych |
| Microsoft.Resources/subskrypcje/dostawcy/czytanie | Pobiera lub wyświetla listę dostawców zasobów. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Network/virtualNetworks/read | Pobieranie definicji sieci wirtualnej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Właściciel usługi Azure Container Storage
Zainstaluj usługę Azure Container Storage, przyznaj dostęp do zasobów magazynu i skonfiguruj sieć azure Elastic Storage Area Network (SAN). Obejmuje warunek ABAC do ograniczenia przypisań ról.
| Akcje | opis |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/locations/asyncoperations/read | Sonduje stan operacji asynchronicznej. |
| Microsoft.KubernetesConfiguration/extensions/write | Tworzy lub aktualizuje zasób rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/read | Pobiera zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/delete | Usuwa zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Pobiera stan operacji asynchronicznych. |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Management/managementGroups/read | Wyświetlanie listy grup zarządzania dla uwierzytelnioowanego użytkownika. |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden | |
| Akcje | |
| Microsoft.Authorization/przypisaniaRól/pisanie | Utwórz przypisanie roli w określonym zakresie. |
| Microsoft.Authorization/przydziałyRól/usuń | Usuń przypisanie roli w określonym zakresie. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden | |
| Warunek | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) i ((!( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyValues:GuidEquals{08d4c71acc634ce4a9c85d251b4d619})) | Dodaj lub usuń przypisania ról dla następujących ról: Operator magazynowania kontenerów Azure |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola współautora usługi Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu do zasobów platformy Azure udostępnianych przez usługę Azure Kubernetes Fleet Manager, w tym flot, członków floty, strategii aktualizacji floty, przebiegów aktualizacji floty itp.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola agenta hubu usługi Azure Kubernetes Fleet Manager
Udziela dostępu do zasobów platformy Azure wymaganych przez agentów centrum usługi Azure Kubernetes Fleet Manager.
| Akcje | opis |
|---|---|
| Microsoft.Network/publicIPAddresses/read | Pobiera definicję publicznego adresu IP. |
| Microsoft.Network/trafficManagerProfiles/read | Pobierz konfigurację profilu usługi Traffic Manager. Obejmuje to ustawienia DNS, ustawienia routingu ruchu, ustawienia monitorowania punktu końcowego oraz listę punktów końcowych kierowanych przez ten profil usługi Traffic Manager. |
| Microsoft.Network/trafficManagerProfiles/write | Utwórz profil usługi Traffic Manager lub zmodyfikuj konfigurację istniejącego profilu usługi Traffic Manager. Obejmuje to włączanie lub wyłączanie profilu oraz modyfikowanie ustawień DNS, ustawień routingu ruchu lub ustawień monitorowania punktu końcowego. Punkty końcowe kierowane przez profil usługi Traffic Manager można dodawać, usuwać, włączać lub wyłączać. |
| Microsoft.Network/trafficManagerProfiles/delete | Usuń profil usługi Traffic Manager. Wszystkie ustawienia skojarzone z profilem usługi Traffic Manager zostaną utracone, a profil nie może być już używany do kierowania ruchu. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/read | Pobiera punkt końcowy platformy Azure należący do profilu usługi Traffic Manager, w tym wszystkie właściwości tego punktu końcowego platformy Azure. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/write | Dodaj nowy punkt końcowy platformy Azure w istniejącym profilu usługi Traffic Manager lub zaktualizuj właściwości istniejącego punktu końcowego platformy Azure w tym profilu usługi Traffic Manager. |
| Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete | Usuwa punkt końcowy platformy Azure z istniejącego profilu usługi Traffic Manager. Usługa Traffic Manager przestanie kierować ruch do usuniętego punktu końcowego platformy Azure. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants access to Azure resources needed by Azure Kubernetes Fleet Manager hub agents.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"name": "de2b316d-7a2c-4143-b4cd-c148f6a355a1",
"permissions": [
{
"actions": [
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/trafficManagerProfiles/read",
"Microsoft.Network/trafficManagerProfiles/write",
"Microsoft.Network/trafficManagerProfiles/delete",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/read",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/write",
"Microsoft.Network/trafficManagerProfiles/azureEndpoints/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Agent Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola użytkownika klastra usługi Azure Kubernetes Fleet Manager Hub
Udziela dostępu do odczytu do usługi Azure Kubernetes Fleet Manager, a także pliku konfiguracji kubernetes w celu nawiązania połączenia z klastrem centrum zarządzanego przez flotę.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
| Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants read access to Azure Kubernetes Fleet Manager as well as the Kubernetes config file to connect to the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/850c5848-fc51-4a9a-8823-f220370626e3",
"name": "850c5848-fc51-4a9a-8823-f220370626e3",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/listCredentials/action",
"Microsoft.ContainerService/fleets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Hub Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator kontroli dostępu opartej na rolach w usłudze Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu do zasobów Kubernetes w przestrzeni nazw w klastrze centrum zarządzanym przez flotę — zapewnia uprawnienia do zapisu dla większości obiektów w przestrzeni nazw, z wyjątkiem obiektu ResourceQuota i samego obiektu przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
| Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/fleets/apps/demononsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | Zapisuje kontrolki localsubjectaccessreviews |
| Microsoft.ContainerService/floty/automatyczne skalowanie/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/floty/wydarzenia/czytaj | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/extensions/demononsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/fleets/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Przeczytaj zasób internalmecluster floty |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Przeczytaj zasób fleet resourceoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Odczytywanie zasobu pracy floty |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator RBAC Azure Kubernetes Fleet Manager dla klastrów członkowskich
Ta rola udziela dostępu administratora — zapewnia uprawnienia do zapisu dla większości obiektów w przestrzeni nazw, z wyjątkiem obiektu ResourceQuota i samego obiektu przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/fleets/members/* | |
| NotDataActions (Akcje NotData) | |
| Microsoft.ContainerService/fleets/members/resourcequotas/write | Zapisuje zasobyquotas |
| Microsoft.ContainerService/fleets/members/resourcequotas/delete | Usuwa zasobyquotas |
| Microsoft.ContainerService/fleets/members/namespaces/write | Zapisuje przestrzenie nazw |
| Microsoft.ContainerService/fleets/members/namespaces/delete | Usuwa przestrzenie nazw |
{
"assignableScopes": [
"/"
],
"description": "This role grants admin access - provides write permissions on most objects within a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d1f699ed-700a-4c77-a22f-29890ac7b115",
"name": "d1f699ed-700a-4c77-a22f-29890ac7b115",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/resourcequotas/write",
"Microsoft.ContainerService/fleets/members/resourcequotas/delete",
"Microsoft.ContainerService/fleets/members/namespaces/write",
"Microsoft.ContainerService/fleets/members/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator klastra RBAC usługi Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu do wszystkich zasobów kubernetes w klastrze centrum zarządzanym przez flotę.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
| Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions (Akcje NotData) | |
| Microsoft.ContainerService/fleets/members/* |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": [
"Microsoft.ContainerService/fleets/members/*"
]
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator klastra RBAC w Azure Kubernetes Fleet Manager dla klastrów członkowskich
Umożliwia zarządzanie wszystkimi zasobami w klastrach członkowskich w floty.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/fleets/members/* | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the member clusters in the fleet.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"name": "79a36d98-eb96-4a76-ae1d-481dc98d2c23",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik kontroli dostępu opartej na rolach w usłudze Azure Kubernetes Fleet Manager
Przyznaje dostęp tylko do odczytu większości zasobów Kubernetes w przestrzeni nazw w klastrze centrum zarządzanym przez flotę. Nie zezwala na wyświetlanie ról ani powiązań ról. Ta rola nie zezwala na wyświetlanie wpisów tajnych, ponieważ odczytywanie zawartości wpisów tajnych umożliwia dostęp do poświadczeń usługi ServiceAccount w przestrzeni nazw, co umożliwi dostęp do interfejsu API jako dowolnego konta usługi w przestrzeni nazw (forma eskalacji uprawnień). Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
| Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/fleets/apps/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/fleets/apps/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Odczytuje stanowe zestawy |
| Microsoft.ContainerService/floty/autoskalowanie/horizontalpodautoscalery/odczyt | Odczytuje poziomypodautoscalers |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Odczyty cronjobs |
| Microsoft.ContainerService/fleets/batch/jobs/read | Zadania odczytu |
| Microsoft.ContainerService/fleets/configmaps/read | Odczytuje mapy konfiguracji |
| Microsoft.ContainerService/fleets/endpoints/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/floty/wydarzenia/czytaj | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/extensions/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/fleets/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/fleets/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Odczytuje trwałe operacjevolumeclaim |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.ContainerService/fleets/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Odczytuje konta usługi |
| Microsoft.ContainerService/fleets/services/read | Usługi odczytu |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Przeczytaj zasób internalmecluster floty |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Odczytywanie zasobu floty zasobówoverride |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Przeczytaj zasób fleet resourceoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Odczytywanie zasobu pracy floty |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik kontroli RBAC usługi Azure Kubernetes Fleet Manager dla klastrów członkowskich
Umożliwia dostęp tylko do odczytu, aby wyświetlić większość obiektów w przestrzeni nazw. Nie zezwala na wyświetlanie ról ani powiązań ról. Ta rola nie zezwala na wyświetlanie wpisów tajnych, ponieważ odczytywanie zawartości wpisów tajnych umożliwia dostęp do poświadczeń usługi ServiceAccount w przestrzeni nazw, co umożliwi dostęp do interfejsu API jako dowolnego konta usługi w przestrzeni nazw (forma eskalacji uprawnień). Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/fleets/members/apps/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/fleets/members/apps/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/fleets/members/apps/replicasets/read | Odczytuje zestawy replik |
| Microsoft.ContainerService/fleets/members/apps/statefulsets/read | Odczytuje stanowe zestawy |
| Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read | Odczytuje poziomypodautoscalers |
| Microsoft.ContainerService/fleets/members/batch/cronjobs/read | Odczyty cronjobs |
| Microsoft.ContainerService/fleets/members/batch/jobs/read | Zadania odczytu |
| Microsoft.ContainerService/fleets/members/configmaps/read | Odczytuje mapy konfiguracji |
| Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/fleets/members/endpoints/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/fleets/members/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/members/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/members/extensions/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/fleets/members/extensions/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/fleets/members/extensions/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/fleets/members/extensions/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/fleets/members/extensions/replicasets/read | Odczytuje zestawy replik |
| Microsoft.ContainerService/fleets/members/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read | Odczytuje zasobniki |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read | Węzły odczytu |
| Microsoft.ContainerService/fleets/members/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/fleets/members/persistentvolumeclaims/read | Odczytuje trwałe operacjevolumeclaim |
| Microsoft.ContainerService/fleets/members/pods/read | Odczytuje zasobniki |
| Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
| Microsoft.ContainerService/fleets/members/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.ContainerService/fleets/members/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/fleets/members/serviceaccounts/read | Odczytuje konta usługi |
| Microsoft.ContainerService/fleets/members/services/read | Usługi odczytu |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/463ad26c-fcce-4469-9c7f-5653d8acbab5",
"name": "463ad26c-fcce-4469-9c7f-5653d8acbab5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/members/apps/deployments/read",
"Microsoft.ContainerService/fleets/members/apps/replicasets/read",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/read",
"Microsoft.ContainerService/fleets/members/configmaps/read",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/endpoints/read",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/read",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/members/extensions/deployments/read",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/read",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/members/pods/read",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/serviceaccounts/read",
"Microsoft.ContainerService/fleets/members/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Moduł zapisywania kontroli dostępu opartej na rolach w usłudze Azure Kubernetes Fleet Manager
Przyznaje dostęp do odczytu/zapisu większości zasobów Kubernetes w przestrzeni nazw w klastrze centrum zarządzanym przez flotę. Ta rola nie zezwala na wyświetlanie ani modyfikowanie ról ani powiązań ról. Jednak ta rola umożliwia uzyskiwanie dostępu do wpisów tajnych jako dowolnego konta usługi w przestrzeni nazw, dzięki czemu może służyć do uzyskiwania poziomów dostępu do interfejsu API dowolnego konta usługi w przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/fleets/read | Uzyskiwanie floty |
| Microsoft.ContainerService/fleets/listCredentials/action | Wyświetlanie listy poświadczeń floty |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/fleets/apps/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/fleets/apps/demononsets/write | Zapisuje demony |
| Microsoft.ContainerService/fleets/apps/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/fleets/apps/deployments/write | Zapisuje wdrożenia |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | Odczytuje stanowe zestawy |
| Microsoft.ContainerService/fleets/apps/statefulsets/write | Zapisuje stanowe zestawy |
| Microsoft.ContainerService/floty/autoskalowanie/horizontalpodautoscalery/odczyt | Odczytuje poziomypodautoscalers |
| Microsoft.ContainerService/floty/autoskalowanie/horizontalpodautoscalers/write | Zapisuje w poziomiepodautoscalers |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | Odczyty cronjobs |
| Microsoft.ContainerService/fleets/batch/cronjobs/write | Zapisuje obiekty cronjob |
| Microsoft.ContainerService/fleets/batch/jobs/read | Zadania odczytu |
| Microsoft.ContainerService/fleets/batch/jobs/write | Zadania zapisu |
| Microsoft.ContainerService/fleets/configmaps/read | Odczytuje mapy konfiguracji |
| Microsoft.ContainerService/fleets/configmaps/write | Zapisuje mapy konfiguracji |
| Microsoft.ContainerService/fleets/endpoints/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/fleets/endpoints/write | Zapisuje punkty końcowe |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/floty/wydarzenia/czytaj | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/extensions/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/fleets/extensions/demononsets/write | Zapisuje demony |
| Microsoft.ContainerService/fleets/extensions/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/fleets/extensions/deployments/write | Zapisuje wdrożenia |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/fleets/extensions/ingresses/write | Zapisy przychodzące |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/write | Zapisywanie zasad sieci |
| Microsoft.ContainerService/fleets/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/fleets/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write | Zapisy przychodzące |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write | Zapisywanie zasad sieci |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | Odczytuje trwałe operacjevolumeclaim |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/write | Zapisuje trwałevolumeclaims |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write | Zapisuje poddisruptionbudgets |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | Odczytuje kontrolek replikacji |
| Microsoft.ContainerService/fleets/replicationcontrollers/write | Zapisuje kontrolery replikacji |
| Microsoft.ContainerService/fleets/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/fleets/sekrety/czytaj | Odczytuje wpisy tajne |
| Microsoft.ContainerService/fleets/secrets/write | Zapisuje wpisy tajne |
| Microsoft.ContainerService/fleets/serviceaccounts/read | Odczytuje konta usługi |
| Microsoft.ContainerService/fleets/serviceaccounts/write | Zapisuje konta usługi |
| Microsoft.ContainerService/fleets/services/read | Usługi odczytu |
| Microsoft.ContainerService/fleets/services/write | Zapisuje usługi |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | Przeczytaj zasób internalmecluster floty |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | Odczytywanie zasobu floty zasobówoverride |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | Zapisywanie zasobu floty w trybieoverride |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | Przeczytaj zasób fleet resourceoverridesnapshot |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | Odczytywanie zasobu pracy floty |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Pisarz RBAC Azure Kubernetes Fleet Manager dla klastrów członkowskich
Umożliwia dostęp do odczytu/zapisu do większości obiektów w przestrzeni nazw. Ta rola nie zezwala na wyświetlanie ani modyfikowanie ról ani powiązań ról. Jednak ta rola umożliwia uzyskiwanie dostępu do wpisów tajnych i uruchamianie zasobników jako dowolnego konta usługi w przestrzeni nazw, dzięki czemu może służyć do uzyskiwania poziomów dostępu interfejsu API dowolnego konta usługi w przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/fleets/members/apps/demononsets/* | |
| Microsoft.ContainerService/fleets/members/apps/deployments/* | |
| Microsoft.ContainerService/fleets/members/apps/replicasets/* | |
| Microsoft.ContainerService/fleets/members/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/members/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/read | Odczytuje dzierżawy |
| Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/write | Zapisuje dzierżawy |
| Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/delete | Usuwa dzierżawy |
| Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/fleets/members/batch/jobs/* | |
| Microsoft.ContainerService/fleets/members/configmaps/* | |
| Microsoft.ContainerService/fleets/members/endpoints/* | |
| Microsoft.ContainerService/fleets/members/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/fleets/members/events/* | |
| Microsoft.ContainerService/fleets/members/extensions/demononsets/* | |
| Microsoft.ContainerService/fleets/members/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/members/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/members/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/members/extensions/replicasets/* | |
| Microsoft.ContainerService/fleets/members/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read | Odczytuje zasobniki |
| Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read | Węzły odczytu |
| Microsoft.ContainerService/fleets/members/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/members/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/members/pods/* | |
| Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/members/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/members/resourcequotas/read | Odczytuje zasobyquotas |
| Microsoft.ContainerService/fleets/members/secrets/* | |
| Microsoft.ContainerService/fleets/members/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/members/services/* | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/50346970-0998-40f2-b47d-f3b8809840f8",
"name": "50346970-0998-40f2-b47d-f3b8809840f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/members/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/members/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/members/apps/deployments/*",
"Microsoft.ContainerService/fleets/members/apps/replicasets/*",
"Microsoft.ContainerService/fleets/members/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/members/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/members/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/fleets/members/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/fleets/members/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/fleets/members/batch/jobs/*",
"Microsoft.ContainerService/fleets/members/configmaps/*",
"Microsoft.ContainerService/fleets/members/endpoints/*",
"Microsoft.ContainerService/fleets/members/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/members/events/*",
"Microsoft.ContainerService/fleets/members/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/members/extensions/deployments/*",
"Microsoft.ContainerService/fleets/members/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/members/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/extensions/replicasets/*",
"Microsoft.ContainerService/fleets/members/limitranges/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/fleets/members/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/fleets/members/namespaces/read",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/members/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/members/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/members/pods/*",
"Microsoft.ContainerService/fleets/members/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/members/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/members/resourcequotas/read",
"Microsoft.ContainerService/fleets/members/secrets/*",
"Microsoft.ContainerService/fleets/members/serviceaccounts/*",
"Microsoft.ContainerService/fleets/members/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer for Member Clusters",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola administratora klastra usługi Azure Kubernetes Service Arc
Wyświetl akcję poświadczeń administratora klastra.
| Akcje | opis |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Pobiera wystąpienia klastra aprowizowania hybrydowego usługi AKS skojarzone z połączonym klastrem |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | Wyświetla listę poświadczeń administratora aprowizowanego wystąpienia klastra używanego tylko w trybie bezpośrednim. |
| Microsoft.Kubernetes/connectedClusters/Odczyt | Odczyt connectedClusters |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola użytkownika klastra usługi Azure Kubernetes Service Arc
Wyświetl akcję poświadczeń użytkownika klastra.
| Akcje | opis |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Pobiera wystąpienia klastra aprowizowania hybrydowego usługi AKS skojarzone z połączonym klastrem |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | Wyświetla listę poświadczeń użytkownika usługi AAD dla aprowizowanego wystąpienia klastra używanego tylko w trybie bezpośrednim. |
| Microsoft.Kubernetes/connectedClusters/Odczyt | Odczyt connectedClusters |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola współautora usługi Azure Kubernetes Service Arc
Udziela dostępu do odczytu i zapisu klastrów hybrydowych usługi Azure Kubernetes Services
| Akcje | opis |
|---|---|
| Microsoft.HybridContainerService/lokacje/statusyOperacji/odczyt | odczytaj operationStatuses |
| Microsoft.HybridContainerService/Locations/operationStatuses/write | zapisz statusy operacji |
| Microsoft.HybridContainerService/Operations/read | operacje odczytu |
| Microsoft.HybridContainerService/kubernetesVersions/read | Wyświetla listę obsługiwanych wersji platformy Kubernetes z bazowej lokalizacji niestandardowej |
| Microsoft.HybridContainerService/kubernetesVersions/write | Umieszcza typ zasobu wersji kubernetes |
| Microsoft.HybridContainerService/kubernetesVersions/delete | Usuwanie typu zasobu wersji kubernetes |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | Pobiera wystąpienia klastra aprowizowania hybrydowego usługi AKS skojarzone z połączonym klastrem |
| Microsoft.HybridContainerService/provisionedClusterInstances/write | Tworzy wystąpienie klastra aprowizowanego hybrydowego usługi AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | Usuwa wystąpienie aprowizowanego klastra hybrydowego usługi AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | Pobiera pule agentów w wystąpieniu aprowizowanego klastra hybrydowego usługi AKS |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | Aktualizuje pulę agentów w wystąpieniu klastra aprowizowania hybrydowego usługi AKS |
| Microsoft.HybridContainerService/zainstalowaneInstancjeKlastra/puleAgentów/usunąć | Usuwa pulę agentów w wystąpieniu klastra aprowizowania hybrydowego usługi AKS |
| Microsoft.HybridContainerService/provisionowaneInstancjeKlastra/profilAktualizacji/odczyt | odczytaj upgradeProfiles |
| Microsoft.HybridContainerService/skus/read | Wyświetla listę obsługiwanych jednostek SKU maszyn wirtualnych z bazowej lokalizacji niestandardowej |
| Microsoft.HybridContainerService/skus/write | Umieszcza typ zasobu jednostek SKU maszyny wirtualnej |
| Microsoft.HybridContainerService/skus/delete | Usuwa typ zasobu jednostki SKU maszyny wirtualnej |
| Microsoft.HybridContainerService/virtualNetworks/read | Wyświetla listę hybrydowych sieci wirtualnych usługi AKS według subskrypcji |
| Microsoft.HybridContainerService/virtualNetworks/write | Poprawia hybrydową sieć wirtualną usługi AKS |
| Microsoft.HybridContainerService/virtualNetworks/delete | Usuwa hybrydową sieć wirtualną usługi AKS |
| Microsoft.ExtendedLocation/customLocations/deploy/action | Wdrażanie uprawnień do zasobu Lokalizacja niestandardowa |
| Microsoft.ExtendedLocation/customLocations/read | Pobiera zasób lokalizacji niestandardowej |
| Microsoft.Kubernetes/connectedClusters/Odczyt | Odczyt connectedClusters |
| Microsoft.Kubernetes/connectedClusters/Zapisz | Zapisy connectedClusters |
| Microsoft.Kubernetes/connectedClusters/Usuń | Usuwa element connectedClusters |
| Microsoft.Kubernetes/połączoneKlastery/listaPoświadczeńUżytkownikaKlastra/akcja | Wyświetlanie listy poświadczeń użytkownika |
| Microsoft.AzureStackHCI/clusters/read | Pobiera klastry |
| Microsoft.Resources/wdrożenia/read | Pobiera wdrożenia lub wyświetla je. |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/deployments/delete | Usuwa wdrożenie. |
| Microsoft.Resources/wdrożenia/anuluj/działanie | Anuluje wdrożenie. |
| Microsoft.Resources/wdrożenia/walidacja/działanie | Weryfikuje wdrożenie. |
| Microsoft.Resources/deployments/whatIf/action | Przewiduje zmiany wdrożenia szablonu. |
| Microsoft.Resources/deployments/exportTemplate/action | Eksportowanie szablonu wdrożenia |
| Microsoft.Resources/deployments/operations/read | Pobiera lub wyświetla listę operacji wdrażania. |
| Microsoft.Resources/deployments/operationstatuses/read | Pobiera lub wyświetla stan operacji wdrażania. |
| Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete | Usuwa zasób serwera proxy metadanych tożsamości hybrydowej. |
| Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write | Tworzy zasób serwera proxy metadanych tożsamości hybrydowej, który ułatwia aprowizację tożsamości zarządzanej. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Locations/operationStatuses/write",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read",
"Microsoft.Resources/deployments/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/deployments/delete",
"Microsoft.Resources/deployments/cancel/action",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Resources/deployments/whatIf/action",
"Microsoft.Resources/deployments/exportTemplate/action",
"Microsoft.Resources/deployments/operations/read",
"Microsoft.Resources/deployments/operationstatuses/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/hybridIdentityMetadata/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola administratora klastra usługi Azure Kubernetes Service
Wyświetl akcję poświadczeń administratora klastra.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | Wyświetlanie listy poświadczeń clusterAdmin klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action | Uzyskiwanie profilu dostępu do klastra zarządzanego według nazwy roli przy użyciu poświadczeń listy |
| Microsoft.ContainerService/managedClusters/odczyt | Pobieranie klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/runcommand/action | Uruchom polecenie wydane przez użytkownika względem zarządzanego serwera kubernetes. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Użytkownik monitorowania klastra usługi Azure Kubernetes Service
Wyświetlanie listy akcji poświadczeń użytkownika monitorowania klastra.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | Wyświetlanie listy poświadczeń klastraMonitoringUser zarządzanego klastra |
| Microsoft.ContainerService/managedClusters/odczyt | Pobieranie klastra zarządzanego |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola użytkownika klastra usługi Azure Kubernetes Service
Wyświetl akcję poświadczeń użytkownika klastra.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń klastraUżytkownika zarządzanego |
| Microsoft.ContainerService/managedClusters/odczyt | Pobieranie klastra zarządzanego |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Rola współautora usługi Azure Kubernetes Service
Udziela dostępu do odczytu i zapisu klastrów usługi Azure Kubernetes Service
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.ContainerService/locations/* | Odczyt lokalizacji dostępnych dla zasobów usługi ContainerService |
| Microsoft.ContainerService/managedClusters/* | Tworzenie klastra zarządzanego i zarządzanie nim |
| Microsoft.ContainerService/managedclustersnapshots/* | Tworzenie migawki klastra zarządzanego i zarządzanie nim |
| Microsoft.ContainerService/snapshots/* | Tworzenie migawki i zarządzanie nią |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/deploymentSafeguards/* | |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/deploymentSafeguards/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor przestrzeni nazw usługi Azure Kubernetes Service
Umożliwia użytkownikom tworzenie zasobów przestrzeni nazw usługi Azure Kubernetes Service i zarządzanie nimi.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/managedClusters/managedNamespaces/* | Tworzenie przestrzeni nazw i zarządzanie nimi |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows users to create and manage Azure Kubernetes Service namespace resources.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/289d8817-ee69-43f1-a0af-43a45505b488",
"name": "289d8817-ee69-43f1-a0af-43a45505b488",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Użytkownik przestrzeni nazw usługi Azure Kubernetes Service
Umożliwia użytkownikom odczytywanie zasobów przestrzeni nazw usługi Azure Kubernetes Service. Dostęp do przestrzeni nazw w klastrze wymaga dalszego przypisania ról RBAC usługi Azure Kubernetes Service do zasobu przestrzeni nazw dla klastra z włączoną obsługą identyfikatora Entra.
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/managedClusters/managedNamespaces/read | Pobieranie zarządzanej przestrzeni nazw klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action | Wyświetlanie listy poświadczeń klastra zarządzanej przestrzeni nazw |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows users to read Azure Kubernetes Service namespace resources. In-cluster namespace access further requires assignment of Azure Kubernetes Service RBAC roles to the namespace resource for an Entra ID enabled cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"name": "c9f76ca8-b262-4b10-8ed2-09cf0948aa35",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/managedNamespaces/read",
"Microsoft.ContainerService/managedClusters/managedNamespaces/listCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Namespace User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator kontroli dostępu opartej na rolach usługi Azure Kubernetes Service
Umożliwia zarządzanie wszystkimi zasobami w obszarze klastra/przestrzeni nazw, z wyjątkiem aktualizowania lub usuwania przydziałów zasobów i przestrzeni nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń klastraUżytkownika zarządzanego |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions (Akcje NotData) | |
| Microsoft.ContainerService/managedClusters/resourcequotas/write | Zapisuje zasobyquotas |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | Usuwa zasobyquotas |
| Microsoft.ContainerService/managedClusters/namespaces/write | Zapisuje przestrzenie nazw |
| Microsoft.ContainerService/managedClusters/namespaces/delete | Usuwa przestrzenie nazw |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator klastra RBAC usługi Azure Kubernetes Service
Umożliwia zarządzanie wszystkimi zasobami w klastrze.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | Wyświetlanie listy poświadczeń klastraUżytkownika zarządzanego |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik kontroli dostępu opartej na rolach usługi Azure Kubernetes Service
Umożliwia dostęp tylko do odczytu, aby wyświetlić większość obiektów w przestrzeni nazw. Nie zezwala na wyświetlanie ról ani powiązań ról. Ta rola nie zezwala na wyświetlanie wpisów tajnych, ponieważ odczytywanie zawartości wpisów tajnych umożliwia dostęp do poświadczeń usługi ServiceAccount w przestrzeni nazw, co umożliwi dostęp do interfejsu API jako dowolnego konta usługi w przestrzeni nazw (forma eskalacji uprawnień). Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/czytaj | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/managedClusters/apps/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | Odczytuje zestawy replik |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | Odczytuje stanowe zestawy |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | Odczytuje poziomypodautoscalers |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | Odczyty cronjobs |
| Microsoft.ContainerService/zarządzaneKlastery/wsadowe/zadania/czytaj | Zadania odczytu |
| Microsoft.ContainerService/managedClusters/configmaps/read | Odczytuje mapy konfiguracji |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/managedClusters/endpoints/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/zarządzaneNagromadzenia/wydarzenia/odczyt | Odczytuje zdarzenia |
| Microsoft.ContainerService/managedClusters/extensions/demononsets/read | Odczytuje demony |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | Odczytuje wdrożenia |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | Odczytuje zestawy replik |
| Microsoft.ContainerService/managedClusters/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Odczytuje zasobniki |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Węzły odczytu |
| Microsoft.ContainerService/managedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | Odczyty przychodzące |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | Odczytuje zasady sieci |
| Microsoft.ContainerService/zarządzaneKlastry/roszczeniaTrwałegoWolumenu/read | Odczytuje trwałe operacjevolumeclaim |
| Microsoft.ContainerService/managedClusters/pods/read | Odczytuje zasobniki |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | Odczytuje poddisruptionbudgets |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/czytaj | Odczytuje kontrolek replikacji |
| Microsoft.ContainerService/zarządzaneKlastry/kontyngentyZasobów/czytaj | Odczytuje zasobyquotas |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read | Odczytuje konta usługi |
| Microsoft.ContainerService/managedClusters/services/read | Usługi odczytu |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Składnik zapisywania kontroli dostępu opartej na rolach usługi Azure Kubernetes Service
Umożliwia dostęp do odczytu/zapisu do większości obiektów w przestrzeni nazw. Ta rola nie zezwala na wyświetlanie ani modyfikowanie ról ani powiązań ról. Jednak ta rola umożliwia uzyskiwanie dostępu do wpisów tajnych i uruchamianie zasobników jako dowolnego konta usługi w przestrzeni nazw, dzięki czemu może służyć do uzyskiwania poziomów dostępu interfejsu API dowolnego konta usługi w przestrzeni nazw. Zastosowanie tej roli w zakresie klastra zapewni dostęp we wszystkich przestrzeniach nazw.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/czytaj | Odczyty kontrolerówrevisions |
| Microsoft.ContainerService/managedClusters/apps/demononsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | Odczytuje dzierżawy |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | Zapisuje dzierżawy |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | Usuwa dzierżawy |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | Odczytuje punkty końcowe |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | Odczytuje zdarzenia |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/demononsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | Limity odczytu |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | Odczytuje zasobniki |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | Węzły odczytu |
| Microsoft.ContainerService/managedClusters/namespaces/read | Odczytuje przestrzenie nazw |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/zarządzaneKlastry/kontyngentyZasobów/czytaj | Odczytuje zasobyquotas |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Menedżer kontrolera chmury usługi Azure Red Hat OpenShift
Zarządzanie i aktualizowanie menedżera kontrolera chmury wdrożonego na platformie OpenShift.
| Akcje | opis |
|---|---|
| Microsoft.Compute/virtualMachines/read | Pobieranie właściwości maszyny wirtualnej |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Łączy pulę adresów zaplecza modułu równoważenia obciążenia. Nie można otrzymywać alertów. |
| Microsoft.Network/loadBalancers/read | Pobiera definicję modułu równoważenia obciążenia |
| Microsoft.Network/loadBalancers/write | Tworzy moduł równoważenia obciążenia lub aktualizuje istniejący moduł równoważenia obciążenia |
| Microsoft.Network/networkInterfaces/read | Pobiera definicję interfejsu sieciowego. |
| Microsoft.Network/networkInterfaces/write | Tworzy interfejs sieciowy lub aktualizuje istniejący interfejs sieciowy. |
| Microsoft.Network/networkSecurityGroups/read | Pobiera definicję sieciowej grupy zabezpieczeń |
| Microsoft.Network/networkSecurityGroups/write | Tworzy sieciową grupę zabezpieczeń lub aktualizuje istniejącą sieciową grupę zabezpieczeń |
| Microsoft.Network/publicIPAddresses/join/action | Dołącza publiczny adres IP. Nie można otrzymywać alertów. |
| Microsoft.Network/publicIPAddresses/read | Pobiera definicję publicznego adresu IP. |
| Microsoft.Network/publicIPAddresses/write | Tworzy publiczny adres IP lub aktualizuje istniejący publiczny adres IP. |
| Microsoft.Network/AdresyIPPubliczne/usunąć | Usuwa publiczny adres IP. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/subnets/read | Pobiera definicję podsieci sieci wirtualnej |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | Łączy regułę nat ruchu przychodzącego modułu równoważenia obciążenia. Nie można otrzymywać alertów. |
| Microsoft.Network/networkSecurityGroups/join/action | Dołącza do sieciowej grupy zabezpieczeń. Nie można otrzymywać alertów. |
| Microsoft.Network/publicIPPrefixes/join/action | Dołącza do prefiksu PublicIPPrefix. Nie można otrzymywać alertów. |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Dołącza regułę zabezpieczeń do grup zabezpieczeń aplikacji. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej |
| Microsoft.Network/privatelinkservices/write | Tworzy nową usługę łącza prywatnego lub aktualizuje istniejącą usługę łącza prywatnego. |
| Microsoft.Network/privatelinkservices/read | Pobiera zasób usługi łącza prywatnego. |
| Microsoft.Network/privatelinkservices/delete | Usuwa zasób usługi łącza prywatnego. |
| Microsoft.Network/loadBalancers/loadBalancingRules/read | Pobiera definicję reguły równoważenia obciążenia modułu równoważenia obciążenia |
| Microsoft.Network/serviceEndpointPolicies/join/action | Dołącza do zasad punktu końcowego usługi. Nie można otrzymywać alertów. |
| Microsoft.Network/natGateways/join/action | Dołącza do bramy translatora adresów sieciowych |
| Microsoft.Network/networkIntentPolicies/join/action | Dołącza do zasad intencji sieci. Nie można otrzymywać alertów. |
| Microsoft.Network/networkSecurityGroups/join/action | Dołącza do sieciowej grupy zabezpieczeń. Nie można otrzymywać alertów. |
| Microsoft.Network/routeTables/join/action | Łączy tabelę tras. Nie można otrzymywać alertów. |
| Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action | Uprawnienie do akcji dla skojarzyć zasoby z pulą ipam |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Manage and update the cloud controller manager deployed on top of OpenShift.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a1f96423-95ce-4224-ab27-4e3dc72facd4",
"name": "a1f96423-95ce-4224-ab27-4e3dc72facd4",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/publicIPPrefixes/join/action",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/privatelinkservices/write",
"Microsoft.Network/privatelinkservices/read",
"Microsoft.Network/privatelinkservices/delete",
"Microsoft.Network/loadBalancers/loadBalancingRules/read",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cloud Controller Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator ruchu przychodzącego klastra Usługi Azure Red Hat OpenShift
Zarządzanie routerem OpenShift i konfigurowanie go.
| Akcje | opis |
|---|---|
| Microsoft.Network/dnsZones/A/delete | Usuń zestaw rekordów o podanej nazwie i wpisz "A" ze strefy DNS. |
| Microsoft.Network/dnsZones/A/write | Utwórz lub zaktualizuj zestaw rekordów typu "A" w strefie DNS. Określone rekordy zastąpią bieżące rekordy w zestawie rekordów. |
| Microsoft.Network/privateDnsZones/A/delete | Usuń zestaw rekordów o podanej nazwie i wpisz "A" ze strefy Prywatna strefa DNS. |
| Microsoft.Network/privateDnsZones/A/write | Utwórz lub zaktualizuj zestaw rekordów typu "A" w strefie Prywatna strefa DNS. Określone rekordy zastąpią bieżące rekordy w zestawie rekordów. |
| Microsoft.Network/virtualNetworks/subnets/read | Pobiera definicję podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Manage and configure the OpenShift router.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0336e1d3-7a87-462b-b6db-342b63f7802c",
"name": "0336e1d3-7a87-462b-b6db-342b63f7802c",
"permissions": [
{
"actions": [
"Microsoft.Network/dnsZones/A/delete",
"Microsoft.Network/dnsZones/A/write",
"Microsoft.Network/privateDnsZones/A/delete",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cluster Ingress Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator magazynu dysków usługi Azure Red Hat OpenShift
Zainstaluj sterowniki interfejsu magazynu kontenerów (CSI), które umożliwiają klastrowi korzystanie z dysków platformy Azure. Ustaw domyślne ustawienia magazynu w całym klastrze OpenShift, aby upewnić się, że dla klastrów istnieje domyślna klasa magazynu.
| Akcje | opis |
|---|---|
| Microsoft.Compute/wirtualneMaszyny/zapis | Tworzy nową maszynę wirtualną lub aktualizuje istniejącą maszynę wirtualną |
| Microsoft.Compute/virtualMachines/read | Pobieranie właściwości maszyny wirtualnej |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | Aktualizuje właściwości maszyny wirtualnej w zestawie skalowania maszyn wirtualnych |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | Pobiera właściwości maszyny wirtualnej w zestawie skalowania maszyn wirtualnych |
| Microsoft.Compute/virtualMachineScaleSets/read | Pobieranie właściwości zestawu skalowania maszyn wirtualnych |
| Microsoft.Compute/snapshots/write | Tworzenie nowej migawki lub aktualizowanie istniejącej |
| Microsoft.Compute/snapshots/read | Pobieranie właściwości migawki |
| Microsoft.Compute/snapshots/delete | Usuwanie migawki |
| Microsoft.Compute/locations/operations/read | Pobiera stan operacji asynchronicznej |
| Microsoft.Compute/locations/DiskOperations/read | Pobiera stan operacji asynchronicznego dysku |
| Microsoft.Compute/disks/write | Tworzy nowy dysk lub aktualizuje istniejący |
| Microsoft.Compute/disks/read | Pobieranie właściwości dysku |
| Microsoft.Compute/disks/delete | Usuwa dysk |
| Microsoft.Compute/disks/beginGetAccess/action | Uzyskiwanie identyfikatora URI sygnatury dostępu współdzielonego dysku na potrzeby dostępu do obiektów blob |
| Microsoft.Compute/diskEncryptionSets/read | Pobieranie właściwości zestawu szyfrowania dysków |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Disks. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b7237c5-45e1-49d6-bc18-a1f62f400748",
"name": "5b7237c5-45e1-49d6-bc18-a1f62f400748",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/DiskOperations/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Disk Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Poświadczenia federacyjne usługi Azure Red Hat OpenShift
Tworzenie, aktualizowanie i usuwanie poświadczeń federacyjnych dla tożsamości zarządzanych przypisanych przez użytkownika w celu utworzenia relacji zaufania między tożsamością zarządzaną OpenID Connect (OIDC) i kontem usługi.
| Akcje | opis |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | Pobiera istniejącą tożsamość przypisaną przez użytkownika |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | Dodawanie lub aktualizowanie poświadczeń tożsamości federacyjnej |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | Pobieranie lub wyświetlanie listy poświadczeń tożsamości federacyjnej |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | Usuwanie poświadczeń tożsamości federacyjnej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Create, update and delete federated credentials on user assigned managed identities in order to build a trust relationship between the managed identity, OpenID Connect (OIDC), and the service account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"name": "ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Federated Credential",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator magazynu plików usługi Azure Red Hat OpenShift
Zainstaluj sterowniki interfejsu MAGAZYNU kontenera (CSI), które umożliwiają klastrowi korzystanie z usługi Azure Files. Ustaw domyślne ustawienia magazynu w całym klastrze OpenShift, aby upewnić się, że dla klastrów istnieje domyślna klasa magazynu.
| Akcje | opis |
|---|---|
| Microsoft.Storage/storageAccounts/delete | Usuwa istniejące konto magazynu. |
| Microsoft.Storage/storageAccounts/fileServices/read | Pobieranie właściwości usługi plików |
| Microsoft.Storage/storageAccounts/fileServices/shares/delete | Usuwanie udziału plików |
| Microsoft.Storage/storageAccounts/fileServices/shares/read | Wyświetlanie listy udziałów plików |
| Microsoft.Storage/storageAccounts/fileServices/shares/write | Tworzenie lub aktualizowanie udziału plików |
| Microsoft.Storage/storageAccounts/listKeys/action | Zwraca klucze dostępu dla określonego konta przechowywania. |
| Microsoft.Storage/storageAccounts/read | Zwraca listę kont magazynu lub pobiera właściwości dla określonego konta magazynu. |
| Microsoft.Storage/storageAccounts/write | Tworzy konto magazynu z określonymi parametrami lub aktualizuje właściwości lub tagi albo dodaje domenę niestandardową dla określonego konta magazynu. |
| Microsoft.Storage/storageAccounts/AprobacjaPołączeńPrywatnegoPunktuKońcowego/akcja | Zatwierdzanie połączeń prywatnych punktów końcowych |
| Microsoft.Network/networkSecurityGroups/join/action | Dołącza do sieciowej grupy zabezpieczeń. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/subnets/read | Pobiera definicję podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej |
| Microsoft.Network/routeTables/join/action | Łączy tabelę tras. Nie można otrzymywać alertów. |
| Microsoft.Network/natGateways/join/action | Dołącza do bramy translatora adresów sieciowych |
| Microsoft.Network/virtualNetworks/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/subnets/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| Microsoft.Network/privateEndpoints/write | Tworzy nowy prywatny punkt końcowy lub aktualizuje istniejący prywatny punkt końcowy. |
| Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action | Uprawnienie do akcji dla skojarzyć zasoby z pulą ipam |
| Microsoft.Network/networkIntentPolicies/join/action | Dołącza do zasad intencji sieci. Nie można otrzymywać alertów. |
| Microsoft.Network/serviceEndpointPolicies/join/action | Dołącza do zasad punktu końcowego usługi. Nie można otrzymywać alertów. |
| Microsoft.Network/locations/operations/read | Pobiera zasób operacji reprezentujący stan operacji asynchronicznej |
| Microsoft.Network/privateDnsOperationStatuses/read | Pobiera stan operacji Prywatna strefa DNS |
| Microsoft.Network/privateDnsZones/read | Pobierz właściwości strefy Prywatna strefa DNS w formacie JSON. Należy pamiętać, że to polecenie nie pobiera sieci wirtualnych, do których jest połączona strefa Prywatna strefa DNS lub zestawy rekordów zawarte w strefie. |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/read | Pobierz link strefy Prywatna strefa DNS do właściwości sieci wirtualnej w formacie JSON. |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | Utwórz lub zaktualizuj łącze strefy Prywatna strefa DNS z siecią wirtualną. |
| Microsoft.Network/privateDnsZones/write | Utwórz lub zaktualizuj strefę Prywatna strefa DNS w grupie zasobów. Należy pamiętać, że tego polecenia nie można użyć do tworzenia ani aktualizowania łączy sieci wirtualnej ani zestawów rekordów w strefie. |
| Microsoft.Network/privateDnsZones/join/action | Dołącza do strefy Prywatna strefa DNS |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | Umieszcza grupę stref Prywatna strefa DNS |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | Pobiera grupę stref Prywatna strefa DNS |
| Microsoft.Network/privateEndpoints/read | Pobiera zasób prywatnego punktu końcowego. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Files. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0d7aedc0-15fd-4a67-a412-efad370c947e",
"name": "0d7aedc0-15fd-4a67-a412-efad370c947e",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/delete",
"Microsoft.Storage/storageAccounts/fileServices/shares/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/locations/operations/read",
"Microsoft.Network/privateDnsOperationStatuses/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateEndpoints/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift File Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator rejestru obrazów usługi Azure Red Hat OpenShift
Umożliwia operatorowi zarządzanie pojedynczym wystąpieniem rejestru obrazów OpenShift. Zarządza całą konfiguracją rejestru, w tym tworzeniem magazynu.
| Akcje | opis |
|---|---|
| Microsoft.Storage/storageAccounts/blobServices/read | Zwraca właściwości lub statystyki usługi blob |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Zwraca listę kontenerów |
| Microsoft.Storage/storageAccounts/blobServices/containers/zapisywanie | Zwraca wynik umieszczania kontenera obiektów blob |
| Microsoft.Storage/storageAccounts/blobServices/containers/delete | Zwraca wynik usunięcia kontenera |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Zwraca klucz delegowania użytkownika dla usługi obiektów blob |
| Microsoft.Storage/storageAccounts/read | Zwraca listę kont magazynu lub pobiera właściwości dla określonego konta magazynu. |
| Microsoft.Storage/storageAccounts/write | Tworzy konto magazynu z określonymi parametrami lub aktualizuje właściwości lub tagi albo dodaje domenę niestandardową dla określonego konta magazynu. |
| Microsoft.Storage/storageAccounts/delete | Usuwa istniejące konto magazynu. |
| Microsoft.Storage/storageAccounts/listKeys/action | Zwraca klucze dostępu dla określonego konta przechowywania. |
| Microsoft.Storage/storageAccounts/AprobacjaPołączeńPrywatnegoPunktuKońcowego/akcja | Zatwierdzanie połączeń prywatnych punktów końcowych |
| Microsoft.Resources/tags/write | Aktualizuje tagi zasobu, zastępując lub scalając istniejące tagi nowym zestawem tagów lub usuwając istniejące tagi. |
| Microsoft.Network/privateEndpoints/write | Tworzy nowy prywatny punkt końcowy lub aktualizuje istniejący prywatny punkt końcowy. |
| Microsoft.Network/privateEndpoints/read | Pobiera zasób prywatnego punktu końcowego. |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write | Umieszcza grupę stref Prywatna strefa DNS |
| Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read | Pobiera grupę stref Prywatna strefa DNS |
| Microsoft.Network/privateDnsZones/read | Pobierz właściwości strefy Prywatna strefa DNS w formacie JSON. Należy pamiętać, że to polecenie nie pobiera sieci wirtualnych, do których jest połączona strefa Prywatna strefa DNS lub zestawy rekordów zawarte w strefie. |
| Microsoft.Network/privateDnsZones/write | Utwórz lub zaktualizuj strefę Prywatna strefa DNS w grupie zasobów. Należy pamiętać, że tego polecenia nie można użyć do tworzenia ani aktualizowania łączy sieci wirtualnej ani zestawów rekordów w strefie. |
| Microsoft.Network/privateDnsZones/join/action | Dołącza do strefy Prywatna strefa DNS |
| Microsoft.Network/privateDnsZones/A/write | Utwórz lub zaktualizuj zestaw rekordów typu "A" w strefie Prywatna strefa DNS. Określone rekordy zastąpią bieżące rekordy w zestawie rekordów. |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/write | Utwórz lub zaktualizuj łącze strefy Prywatna strefa DNS z siecią wirtualną. |
| Microsoft.Network/privateDnsZones/virtualNetworkLinks/read | Pobierz link strefy Prywatna strefa DNS do właściwości sieci wirtualnej w formacie JSON. |
| Microsoft.Network/networkInterfaces/read | Pobiera definicję interfejsu sieciowego. |
| Microsoft.Network/virtualNetworks/subnets/read | Pobiera definicję podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | Zwraca wynik usunięcia obiektu blob |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | Zwraca wynik zapisu obiektu blob |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | Zwraca obiekt blob lub listę obiektów blob |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/dodaj/akcja | Zwraca wynik dodawania zawartości obiektu blob |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action | Przenosi obiekt blob z jednej ścieżki do innej |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Enables permissions for the operator to manage a singleton instance of the OpenShift image registry. It manages all configuration of the registry, including creating storage.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"name": "8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/PrivateEndpointConnectionsApproval/action",
"Microsoft.Resources/tags/write",
"Microsoft.Network/privateEndpoints/write",
"Microsoft.Network/privateEndpoints/read",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/write",
"Microsoft.Network/privateEndpoints/privateDnsZoneGroups/read",
"Microsoft.Network/privateDnsZones/read",
"Microsoft.Network/privateDnsZones/write",
"Microsoft.Network/privateDnsZones/join/action",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/write",
"Microsoft.Network/privateDnsZones/virtualNetworkLinks/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/join/action"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action"
],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Image Registry Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator interfejsu API maszyny usługi Azure Red Hat OpenShift
Zarządzanie cyklem życia niestandardowych definicji zasobów specyficznych dla określonego przeznaczenia (CRD), kontrolerów i obiektów RBAC platformy Azure, które rozszerzają interfejs API Kubernetes w celu zadeklarowania żądanego stanu maszyn w klastrze.
| Akcje | opis |
|---|---|
| Microsoft.Compute/availabilitySets/delete | Usuwa zestaw dostępności |
| Microsoft.Compute/zestawy dostępności/odczyt | Pobieranie właściwości zestawu dostępności |
| Microsoft.Compute/availabilitySets/write | Tworzy nowy zestaw dostępności lub aktualizuje istniejący |
| Microsoft.Compute/diskEncryptionSets/read | Pobieranie właściwości zestawu szyfrowania dysków |
| Microsoft.Compute/disks/delete | Usuwa dysk |
| Microsoft.Compute/gallerys/images/versions/read | Pobiera właściwości wersji obrazu galerii |
| Microsoft.Compute/skus/read | Pobiera listę jednostek SKU Microsoft.Compute dostępnych dla subskrypcji |
| Microsoft.Compute/virtualMachines/delete | Usuwa maszynę wirtualną |
| Microsoft.Compute/virtualMachines/read | Pobieranie właściwości maszyny wirtualnej |
| Microsoft.Compute/wirtualneMaszyny/zapis | Tworzy nową maszynę wirtualną lub aktualizuje istniejącą maszynę wirtualną |
| Microsoft.Compute/capacityReservationGroups/deploy/action | Wdrażanie nowej maszyny wirtualnej/zestawu skalowania maszyn wirtualnych przy użyciu grupy rezerwacji pojemności |
| Microsoft.ManagedIdentity/userAssignedIdentities/assign/action | Akcja RBAC umożliwiająca przypisanie istniejącej tożsamości przypisanej przez użytkownika do zasobu |
| Microsoft.Network/applicationSecurityGroups/read | Pobiera identyfikator grupy zabezpieczeń aplikacji. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Łączy pulę adresów zaplecza modułu równoważenia obciążenia. Nie można otrzymywać alertów. |
| Microsoft.Network/loadBalancers/read | Pobiera definicję modułu równoważenia obciążenia |
| Microsoft.Network/loadBalancers/write | Tworzy moduł równoważenia obciążenia lub aktualizuje istniejący moduł równoważenia obciążenia |
| Microsoft.Network/networkInterfaces/delete (usuń interfejsy sieciowe) | Usuwa interfejs sieciowy |
| Microsoft.Network/networkInterfaces/join/action | Dołącza maszynę wirtualną do interfejsu sieciowego. Nie można otrzymywać alertów. |
| Microsoft.Network/networkInterfaces/loadBalancers/read | Pobiera wszystkie moduły równoważenia obciążenia, których częścią jest interfejs sieciowy |
| Microsoft.Network/networkInterfaces/read | Pobiera definicję interfejsu sieciowego. |
| Microsoft.Network/networkInterfaces/write | Tworzy interfejs sieciowy lub aktualizuje istniejący interfejs sieciowy. |
| Microsoft.Network/networkSecurityGroups/read | Pobiera definicję sieciowej grupy zabezpieczeń |
| Microsoft.Network/networkSecurityGroups/write | Tworzy sieciową grupę zabezpieczeń lub aktualizuje istniejącą sieciową grupę zabezpieczeń |
| Microsoft.Network/AdresyIPPubliczne/usunąć | Usuwa publiczny adres IP. |
| Microsoft.Network/publicIPAddresses/join/action | Dołącza publiczny adres IP. Nie można otrzymywać alertów. |
| Microsoft.Network/publicIPAddresses/read | Pobiera definicję publicznego adresu IP. |
| Microsoft.Network/publicIPAddresses/write | Tworzy publiczny adres IP lub aktualizuje istniejący publiczny adres IP. |
| Microsoft.Network/routeTables/read | Pobiera definicję tabeli tras |
| Microsoft.Network/virtualNetworks/subnets/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/subnets/read | Pobiera definicję podsieci sieci wirtualnej |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | Dołącza regułę zabezpieczeń do grup zabezpieczeń aplikacji. Nie można otrzymywać alertów. |
| Microsoft.Network/rozłożenie obciążenia/frontendowe konfiguracje IP/dołącz/akcja | Dołącza do konfiguracji adresu IP frontonu modułu równoważenia obciążenia. Nie można otrzymywać alertów. |
| Microsoft.Network/loadBalancers/inboundNATRules/join/action | Łączy regułę nat ruchu przychodzącego modułu równoważenia obciążenia. Nie można otrzymywać alertów. |
| Microsoft.Network/networkSecurityGroups/join/action | Dołącza do sieciowej grupy zabezpieczeń. Nie można otrzymywać alertów. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Manage the lifecycle of specific-purpose custom resource definitions (CRD), controllers, and Azure RBAC objects that extend the Kubernetes API to declares the desired state of machines in a cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0358943c-7e01-48ba-8889-02cc51d78637",
"name": "0358943c-7e01-48ba-8889-02cc51d78637",
"permissions": [
{
"actions": [
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/capacityReservationGroups/deploy/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action",
"Microsoft.Network/loadBalancers/inboundNATRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Machine API Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator sieci usługi Azure Red Hat OpenShift
Instalowanie i uaktualnianie składników sieciowych w klastrze OpenShift.
| Akcje | opis |
|---|---|
| Microsoft.Network/networkInterfaces/read | Pobiera definicję interfejsu sieciowego. |
| Microsoft.Network/networkInterfaces/write | Tworzy interfejs sieciowy lub aktualizuje istniejący interfejs sieciowy. |
| Microsoft.Network/virtualNetworks/read | Pobieranie definicji sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/join/action | Dołącza do sieci wirtualnej. Nie można otrzymywać alertów. |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | Łączy pulę adresów zaplecza modułu równoważenia obciążenia. Nie można otrzymywać alertów. |
| Microsoft.Network/loadBalancers/backendAddressPools/read | Pobiera definicję puli adresów zaplecza modułu równoważenia obciążenia |
| Microsoft.Compute/virtualMachines/read | Pobieranie właściwości maszyny wirtualnej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Install and upgrade the networking components on an OpenShift cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/be7a6435-15ae-4171-8f30-4a343eff9e8f",
"name": "be7a6435-15ae-4171-8f30-4a343eff9e8f",
"permissions": [
{
"actions": [
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Compute/virtualMachines/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Network Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator usługi Azure Red Hat OpenShift
Zachowaj kondycję maszyny, konfigurację sieci, monitorowanie i inne funkcje specyficzne dla ciągłej funkcjonalności klastra OpenShift jako usługi zarządzanej.
| Akcje | opis |
|---|---|
| Microsoft.Network/virtualNetworks/subnets/read | Pobiera definicję podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej |
| Microsoft.Network/natGateways/join/action | Dołącza do bramy translatora adresów sieciowych |
| Microsoft.Network/routeTables/join/action | Łączy tabelę tras. Nie można otrzymywać alertów. |
| Microsoft.Network/networkSecurityGroups/join/action | Dołącza do sieciowej grupy zabezpieczeń. Nie można otrzymywać alertów. |
| Microsoft.Network/serviceEndpointPolicies/join/action | Dołącza do zasad punktu końcowego usługi. Nie można otrzymywać alertów. |
| Microsoft.Network/networkIntentPolicies/join/action | Dołącza do zasad intencji sieci. Nie można otrzymywać alertów. |
| Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action | Uprawnienie do akcji dla skojarzyć zasoby z pulą ipam |
| Microsoft.Storage/storageAccounts/listKeys/action | Zwraca klucze dostępu dla określonego konta przechowywania. |
| Microsoft.Storage/storageAccounts/read | Zwraca listę kont magazynu lub pobiera właściwości dla określonego konta magazynu. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Maintain machine health, network configuration, monitoring, and other features that are specific to an OpenShift cluster's continued functionality as a managed service.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4436bae4-7702-4c84-919b-c4069ff25ee2",
"name": "4436bae4-7702-4c84-919b-c4069ff25ee2",
"permissions": [
{
"actions": [
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/serviceEndpointPolicies/join/action",
"Microsoft.Network/networkIntentPolicies/join/action",
"Microsoft.Network/networkManagers/ipamPools/associateResourcesToPool/action",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Service Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytnik funkcji CheckAccess tożsamości zarządzanej połączonego klastra
Wbudowana rola, która umożliwia tożsamości zarządzanej połączonego klastra wywoływanie interfejsu API checkAccess
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor usługi Container Apps ConnectedEnvironments
Pełne zarządzanie usługami Container Apps ConnectedEnvironments, w tym tworzenie, usuwanie i aktualizacje.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.App/połączoneŚrodowiska/* | |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/*/write | |
| Microsoft.App/connectedEnvironments/*/delete | |
| Microsoft.App/connectedEnvironments/*/action | |
| Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action | Wyświetlanie listy wpisów tajnych składnika dapr |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ConnectedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"name": "6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/connectedEnvironments/*",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/*/write",
"Microsoft.App/connectedEnvironments/*/delete",
"Microsoft.App/connectedEnvironments/*/action",
"Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kontener Apps ConnectedEnvironments Odczytujący
Odczyt dostępu do usługi Container Apps ConnectedEnvironments.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.App/connectedEnvironments/read | Uzyskiwanie połączonego środowiska |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Read access to Container Apps ConnectedEnvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"name": "d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współtwórca aplikacji kontenerowych
Pełne zarządzanie usługą Container Apps, w tym tworzenie, usuwanie i aktualizacje.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/write | |
| Microsoft.App/containerApps/*/usuń | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | Uzyskiwanie środowiska zarządzanego |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | Umożliwia tworzenie aplikacji kontenera w środowisku zarządzanym |
| Microsoft.App/managedEnvironments/checknameavailability/action | Sprawdzanie dostępności nazwy reource dla środowiska zarządzanego |
| Microsoft.App/connectedEnvironments/read | Uzyskiwanie połączonego środowiska |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Umożliwia tworzenie zadania aplikacji kontenera lub aplikacji kontenera w połączonym środowisku |
| Microsoft.App/connectedEnvironments/sprawdzDostepnoscNazwy/action | Sprawdzanie dostępności nazwy ponownej dla połączonego środowiska |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/358470bc-b998-42bd-ab17-a7e34c199c0f",
"name": "358470bc-b998-42bd-ab17-a7e34c199c0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/write",
"Microsoft.App/containerApps/*/delete",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor zadań usługi Container Apps
Pełne zarządzanie zadaniami usługi Container Apps, w tym tworzeniem, usuwaniem i aktualizacjami.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| microsoft.app/zadania/czytaj | Pobieranie zadania aplikacji kontenera |
| Microsoft.App/zadania/*/odczyt | |
| Microsoft.App/zadania/*/akcja | |
| Microsoft.App/zadania/zapis | Tworzenie lub aktualizowanie zadania usługi Container Apps |
| Microsoft.App/zadania/usuwanie | Usuwanie zadania usługi Container Apps |
| Microsoft.app/managedenvironments/read | Uzyskiwanie środowiska zarządzanego |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | Umożliwia tworzenie aplikacji kontenera w środowisku zarządzanym |
| Microsoft.App/środowiskazarządzane/sprawdźdostępnośćnazwy/działanie | Sprawdzanie dostępności nazwy reource dla środowiska zarządzanego |
| Microsoft.app/connectedEnvironments/read | Uzyskiwanie połączonego środowiska |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Umożliwia tworzenie zadania aplikacji kontenera lub aplikacji kontenera w połączonym środowisku |
| Microsoft.App/connectedEnvironments/sprawdzDostepnoscNazwy/action | Sprawdzanie dostępności nazwy ponownej dla połączonego środowiska |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps jobs, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"name": "4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.App/jobs/write",
"Microsoft.App/jobs/delete",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator zadań dla Container Apps
Odczytywanie, uruchamianie i zatrzymywanie zadań w usłudze Container Apps.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| microsoft.app/zadania/czytaj | Pobieranie zadania aplikacji kontenera |
| Microsoft.App/zadania/*/odczyt | |
| Microsoft.App/zadania/*/akcja | |
| Microsoft.app/managedenvironments/read | Uzyskiwanie środowiska zarządzanego |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | Umożliwia tworzenie aplikacji kontenera w środowisku zarządzanym |
| Microsoft.App/środowiskazarządzane/sprawdźdostępnośćnazwy/działanie | Sprawdzanie dostępności nazwy reource dla środowiska zarządzanego |
| Microsoft.app/connectedEnvironments/read | Uzyskiwanie połączonego środowiska |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Umożliwia tworzenie zadania aplikacji kontenera lub aplikacji kontenera w połączonym środowisku |
| Microsoft.App/connectedEnvironments/sprawdzDostepnoscNazwy/action | Sprawdzanie dostępności nazwy ponownej dla połączonego środowiska |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.App/jobs/logstream/action | Wyświetlanie strumienia dziennika zadania aplikacji kontenera |
| Microsoft.App/zadania/wykonaj/działanie | Nawiązywanie połączenia z konsolą zadania aplikacji kontenera |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Read, start, and stop Container Apps jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"name": "b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/jobs/logstream/action",
"Microsoft.App/jobs/exec/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytnik zadań usługi Container Apps
Odczyt dostępu do zadań ContainerApps
| Akcje | opis |
|---|---|
| microsoft.app/zadania/czytaj | Pobieranie zadania aplikacji kontenera |
| Microsoft.App/zadania/*/odczyt | |
| Microsoft.App/managedenvironments/read | Uzyskiwanie środowiska zarządzanego |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps jobs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/edd66693-d32a-450b-997d-0158c03976b0",
"name": "edd66693-d32a-450b-997d-0158c03976b0",
"permissions": [
{
"actions": [
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/managedenvironments/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor usługi Container Apps ManagedEnvironments
Pełne zarządzanie zarządzanymi środowiskami usługi Container Apps, w tym tworzeniem, usuwaniem i aktualizacjami.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/*/write | |
| Microsoft.App/managedEnvironments/*/delete | |
| Microsoft.App/managedEnvironments/*/action | |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ManagedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/57cc5028-e6a7-4284-868d-0611c5923f8d",
"name": "57cc5028-e6a7-4284-868d-0611c5923f8d",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/*/write",
"Microsoft.App/managedEnvironments/*/delete",
"Microsoft.App/managedEnvironments/*/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik usługi Container Apps ManagedEnvironments
Dostęp do odczytu do usługi ContainerApps managedenvironments.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.App/managedEnvironments/*/read | |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps managedenvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"name": "1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operator Aplikacji Kontenerowych
Odczyt, strumień dzienników i plik exec w usłudze Container Apps.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | Uzyskiwanie środowiska zarządzanego |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | Umożliwia tworzenie aplikacji kontenera w środowisku zarządzanym |
| Microsoft.App/managedEnvironments/checknameavailability/action | Sprawdzanie dostępności nazwy reource dla środowiska zarządzanego |
| Microsoft.App/connectedEnvironments/read | Uzyskiwanie połączonego środowiska |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Umożliwia tworzenie zadania aplikacji kontenera lub aplikacji kontenera w połączonym środowisku |
| Microsoft.App/connectedEnvironments/sprawdzDostepnoscNazwy/action | Sprawdzanie dostępności nazwy ponownej dla połączonego środowiska |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.App/containerApps/logstream/action | Wyświetlanie strumienia dziennika aplikacji kontenera |
| Microsoft.App/containerApps/exec/action | Nawiązywanie połączenia z konsolą aplikacji kontenera |
| Microsoft.App/containerApps/debug/action | Nawiązywanie połączenia z konsolą debugowania aplikacji kontenera |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Read, logstream and exec into Container Apps.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"name": "f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/containerApps/logstream/action",
"Microsoft.App/containerApps/exec/action",
"Microsoft.App/containerApps/debug/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor puli sesji usługi Container Apps
Pełne zarządzanie pulami sesji usługi Container Apps, w tym tworzeniem, usuwaniem i aktualizacjami.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.App/sessionPools/*/read | |
| Microsoft.App/sessionPools/*/write | |
| Microsoft.App/sessionPools/*/delete | |
| Microsoft.App/sessionPools/*/action | |
| microsoft.App/managedEnvironments/read | Uzyskiwanie środowiska zarządzanego |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | Umożliwia tworzenie aplikacji kontenera w środowisku zarządzanym |
| Microsoft.App/managedEnvironments/checknameavailability/action | Sprawdzanie dostępności nazwy reource dla środowiska zarządzanego |
| microsoft. App/connectedEnvironments/read | Uzyskiwanie połączonego środowiska |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Umożliwia tworzenie zadania aplikacji kontenera lub aplikacji kontenera w połączonym środowisku |
| Microsoft.App/connectedEnvironments/sprawdzDostepnoscNazwy/action | Sprawdzanie dostępności nazwy ponownej dla połączonego środowiska |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| NotActions (NieDziałania) | |
| Microsoft.App/sessionPools/fetchMcpServerCredentials/action | Pobieranie poświadczeń serwera MCP puli sesji |
| Microsoft.App/sessionPools/rotateMcpServerCredentials/action | Obracanie poświadczeń serwera MCP puli sesji |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps SessionPools, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"name": "f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read",
"Microsoft.App/sessionPools/*/write",
"Microsoft.App/sessionPools/*/delete",
"Microsoft.App/sessionPools/*/action",
"microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [
"Microsoft.App/sessionPools/fetchMcpServerCredentials/action",
"Microsoft.App/sessionPools/rotateMcpServerCredentials/action"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytnik SessionPools dla aplikacji kontenerowych
Prawo odczytu do puli sesji ContainerApps.
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.App/sessionPools/*/read | |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps sessionpools.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/af61e8fc-2633-4b95-bed3-421ad6826515",
"name": "af61e8fc-2633-4b95-bed3-421ad6826515",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator reguły pamięci podręcznej usługi Container Registry
Tworzenie, odczytywanie, aktualizowanie i usuwanie reguł pamięci podręcznej w usłudze Container Registry. Ta rola nie udziela uprawnień do zarządzania zestawami poświadczeń.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | Pobiera właściwości określonej reguły pamięci podręcznej lub wyświetla listę wszystkich reguł pamięci podręcznej dla określonego rejestru kontenerów |
| Microsoft.ContainerRegistry/registries/cacheRules/write | Tworzy lub aktualizuje regułę pamięci podręcznej dla rejestru kontenerów z określonymi parametrami |
| Microsoft.ContainerRegistry/registries/cacheRules/delete | Usuwa regułę pamięci podręcznej z rejestru kontenerów |
| Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read | Pobiera stan operacji asynchronicznych reguły pamięci podręcznej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Cache Rules in Container Registry. This role doesn't grant permissions to manage Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/df87f177-bb12-4db1-9793-a413691eff94",
"name": "df87f177-bb12-4db1-9793-a413691eff94",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read",
"Microsoft.ContainerRegistry/registries/cacheRules/write",
"Microsoft.ContainerRegistry/registries/cacheRules/delete",
"Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytnik reguł pamięci podręcznej rejestru kontenerów
Przeczytaj konfigurację reguł pamięci podręcznej w usłudze Container Registry. To uprawnienie nie udziela uprawnień do odczytu zestawów poświadczeń.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | Pobiera właściwości określonej reguły pamięci podręcznej lub wyświetla listę wszystkich reguł pamięci podręcznej dla określonego rejestru kontenerów |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Cache Rules in Container Registry. This permission doesn't grant permission to read Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c357b964-0002-4b64-a50d-7a28f02edc52",
"name": "c357b964-0002-4b64-a50d-7a28f02edc52",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik konfiguracji usługi Container Registry i czytelnik konfiguracji dostępu do danych
Zapewnia uprawnienia do wyświetlania listy rejestrów kontenerów i właściwości konfiguracji rejestru. Zapewnia uprawnienia do wyświetlania listy konfiguracji dostępu do danych, takich jak poświadczenia użytkownika administratora, mapy zakresu i tokeny, które mogą służyć do odczytywania, zapisywania lub usuwania repozytoriów i obrazów. Nie zapewnia bezpośrednich uprawnień do odczytu, listy ani zapisu zawartości rejestru, w tym repozytoriów i obrazów. Nie zapewnia uprawnień do modyfikowania zawartości płaszczyzny danych, takich jak import, pamięć podręczna artefaktów lub synchronizacja i potoki transferu. Nie zapewnia uprawnień do zarządzania zadaniami.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/operationStatuses/read | Pobiera stan operacji asynchronicznych rejestru |
| Microsoft.ContainerRegistry/registries/read | Pobiera właściwości określonego rejestru kontenerów lub wyświetla listę wszystkich rejestrów kontenerów w ramach określonej grupy zasobów lub subskrypcji. |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | Pobiera właściwości połączenia prywatnego punktu końcowego lub wyświetla listę wszystkich połączeń prywatnych punktów końcowych dla określonego rejestru kontenerów |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Uzyskiwanie stanu operacji asynchronicznego połączenia prywatnego punktu końcowego |
| Microsoft.ContainerRegistry/registries/listCredentials/action | Wyświetla listę poświadczeń logowania dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/tokens/read | Pobiera właściwości określonego tokenu lub wyświetla listę wszystkich tokenów dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | Pobiera stan operacji asynchronicznych tokenu. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | Pobiera właściwości określonej mapy zakresu lub wyświetla listę wszystkich map zakresu dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | Pobiera stan operacji asynchronicznych mapy zakresu. |
| Microsoft.ContainerRegistry/registries/webhooks/read | Pobiera właściwości określonego elementu webhook lub wyświetla listę wszystkich elementów webhook dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | Pobiera konfigurację identyfikatora URI usługi i nagłówków niestandardowych dla elementu webhook. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | Wyświetla listę ostatnich zdarzeń dla określonego elementu webhook. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | Pobiera stan operacji asynchronicznych elementu webhook |
| Microsoft.ContainerRegistry/registries/replications/read | Pobiera właściwości określonej replikacji lub wyświetla listę wszystkich replikacji dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | Pobiera stan operacji asynchronicznych replikacji |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | Pobiera właściwości określonego połączonego rejestru lub wyświetla listę wszystkich połączonych rejestrów dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | Pobiera ustawienie diagnostyczne zasobu |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | Tworzy lub aktualizuje ustawienie diagnostyczne zasobu |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Pobiera dostępne dzienniki dla usługi Microsoft ContainerRegistry |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Pobiera dostępne metryki dla usługi Microsoft ContainerRegistry |
| Microsoft.Insights/AlertRules/Write | Tworzenie lub aktualizowanie alertu dotyczącego metryki klasycznej |
| Microsoft.Insights/AlertRules/Delete | Usuwanie alertu dotyczącego metryki klasycznej |
| Microsoft.Insights/AlertRules/Read | Odczytywanie alertu dotyczącego metryki klasycznej |
| Microsoft.Insights/AlertRules/Activated/Action | Aktywowano alert dotyczący metryk klasycznych |
| Microsoft.Insights/AlertRules/Resolved/Action | Rozwiązano alert dotyczący metryk klasycznych |
| Microsoft.Insights/AlertRules/Throttled/Action | Ograniczona reguła alertu metryki klasycznej |
| Microsoft.Insights/AlertRules/Incidents/Read | Odczytywanie zdarzenia alertu dotyczącego metryki klasycznej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor usługi Container Registry i administrator konfiguracji dostępu do danych
Zapewnia uprawnienia do tworzenia, wyświetlania listy i aktualizowania rejestrów kontenerów oraz właściwości konfiguracji rejestru. Zapewnia uprawnienia do konfigurowania dostępu do danych, takich jak poświadczenia użytkownika administratora, mapy zakresu i tokeny, których można użyć do odczytu, zapisu lub usuwania repozytoriów i obrazów. Nie zapewnia bezpośrednich uprawnień do odczytu, listy ani zapisu zawartości rejestru, w tym repozytoriów i obrazów. Nie zapewnia uprawnień do modyfikowania zawartości płaszczyzny danych, takich jak import, pamięć podręczna artefaktów lub synchronizacja i potoki transferu. Nie zapewnia uprawnień do zarządzania zadaniami.
| Akcje | opis |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerRegistry/registries/operationStatuses/read | Pobiera stan operacji asynchronicznych rejestru |
| Microsoft.ContainerRegistry/registries/read | Pobiera właściwości określonego rejestru kontenerów lub wyświetla listę wszystkich rejestrów kontenerów w ramach określonej grupy zasobów lub subskrypcji. |
| Microsoft.ContainerRegistry/registries/write | Tworzy lub aktualizuje rejestr kontenerów z określonymi parametrami. |
| Microsoft.ContainerRegistry/registries/delete | Usuwa rejestr kontenerów. |
| Microsoft.ContainerRegistry/registries/listCredentials/action | Wyświetla listę poświadczeń logowania dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/regenerateCredential/action | Ponownie generuje jedno z poświadczeń logowania dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/generateCredentials/action | Generowanie kluczy dla tokenu określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/replications/read | Pobiera właściwości określonej replikacji lub wyświetla listę wszystkich replikacji dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/replications/write | Tworzy lub aktualizuje replikację dla rejestru kontenerów przy użyciu określonych parametrów. |
| Microsoft.ContainerRegistry/registries/replications/delete | Usuwa replikację z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | Pobiera stan operacji asynchronicznych replikacji |
| Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action | Automatycznie zatwierdza połączenie prywatnego punktu końcowego |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | Pobiera właściwości połączenia prywatnego punktu końcowego lub wyświetla listę wszystkich połączeń prywatnych punktów końcowych dla określonego rejestru kontenerów |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/write | Zatwierdza/odrzuca połączenie prywatnego punktu końcowego |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete | Usuwa połączenie prywatnego punktu końcowego |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | Uzyskiwanie stanu operacji asynchronicznego połączenia prywatnego punktu końcowego |
| Microsoft.ContainerRegistry/registries/tokens/read | Pobiera właściwości określonego tokenu lub wyświetla listę wszystkich tokenów dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/tokens/write | Tworzy lub aktualizuje token dla rejestru kontenerów z określonymi parametrami. |
| Microsoft.ContainerRegistry/registries/tokens/delete | Usuwa token z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | Pobiera stan operacji asynchronicznych tokenu. |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | Pobiera właściwości określonej mapy zakresu lub wyświetla listę wszystkich map zakresu dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/scopeMaps/write | Tworzy lub aktualizuje mapę zakresu dla rejestru kontenerów z określonymi parametrami. |
| Microsoft.ContainerRegistry/registries/scopeMaps/delete | Usuwa mapę zakresu z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | Pobiera stan operacji asynchronicznych mapy zakresu. |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | Pobiera ustawienie diagnostyczne zasobu |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | Tworzy lub aktualizuje ustawienie diagnostyczne zasobu |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Pobiera dostępne dzienniki dla usługi Microsoft ContainerRegistry |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Pobiera dostępne metryki dla usługi Microsoft ContainerRegistry |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | Pobiera właściwości określonego połączonego rejestru lub wyświetla listę wszystkich połączonych rejestrów dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/write | Tworzy lub aktualizuje połączony rejestr dla rejestru kontenerów z określonymi parametrami. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/delete | Usuwa połączony rejestr z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/connectedRegistries/dezaktywuj/akcja | Dezaktywuje połączony rejestr dla rejestru kontenerów |
| Microsoft.ContainerRegistry/registries/webhooks/read | Pobiera właściwości określonego elementu webhook lub wyświetla listę wszystkich elementów webhook dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/webhooks/write | Tworzy lub aktualizuje element webhook dla rejestru kontenerów z określonymi parametrami. |
| Microsoft.ContainerRegistry/registries/webhooks/delete | Usuwa element webhook z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | Pobiera konfigurację identyfikatora URI usługi i nagłówków niestandardowych dla elementu webhook. |
| Microsoft.ContainerRegistry/registries/webhooks/ping/action | Wyzwala zdarzenie ping do wysłania do elementu webhook. |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | Wyświetla listę ostatnich zdarzeń dla określonego elementu webhook. |
| Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read | Pobiera stan operacji asynchronicznych elementu webhook |
| Microsoft.Insights/AlertRules/Write | Tworzenie lub aktualizowanie alertu dotyczącego metryki klasycznej |
| Microsoft.Insights/AlertRules/Delete | Usuwanie alertu dotyczącego metryki klasycznej |
| Microsoft.Insights/AlertRules/Read | Odczytywanie alertu dotyczącego metryki klasycznej |
| Microsoft.Insights/AlertRules/Activated/Action | Aktywowano alert dotyczący metryk klasycznych |
| Microsoft.Insights/AlertRules/Resolved/Action | Rozwiązano alert dotyczący metryk klasycznych |
| Microsoft.Insights/AlertRules/Throttled/Action | Ograniczona reguła alertu metryki klasycznej |
| Microsoft.Insights/AlertRules/Incidents/Read | Odczytywanie zdarzenia alertu dotyczącego metryki klasycznej |
| Microsoft.ContainerRegistry/locations/operationResults/read | Pobiera wynik operacji asynchronicznych |
| Microsoft.Network/sieciWirtualne/podsieci/dołączPoprzezPunktUsługi/akcja | Dołącza do podsieci zasób, taki jak konto magazynu lub baza danych SQL. Nie można otrzymywać alertów. |
| Microsoft.Network/virtualNetworks/subnets/read | Pobiera definicję podsieci sieci wirtualnej |
| Microsoft.Network/virtualNetworks/subnets/write | Tworzy podsieć sieci wirtualnej lub aktualizuje istniejącą podsieć sieci wirtualnej |
| Microsoft.Network/virtualNetworks/read | Pobieranie definicji sieci wirtualnej |
| Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write | Tworzy nowy serwer proxy usługi łącza prywatnego lub aktualizuje istniejący serwer proxy usługi łącza prywatnego. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrator zestawu poświadczeń rejestru kontenerów
Tworzenie, odczytywanie, aktualizowanie i usuwanie zestawów poświadczeń w rejestrze kontenerów. Ta rola nie ma wpływu na wymagane uprawnienia do przechowywania zawartości w usłudze Azure Key Vault. Ta rola nie udziela również uprawnień do zarządzania regułami pamięci podręcznej.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | Pobiera właściwości określonego zestawu poświadczeń lub wyświetla listę wszystkich zestawów poświadczeń dla określonego rejestru kontenerów |
| Microsoft.ContainerRegistry/registries/credentialSets/write | Tworzy lub aktualizuje zestaw poświadczeń dla rejestru kontenerów z określonymi parametrami |
| Microsoft.ContainerRegistry/registries/credentialSets/delete | Usuwa zestaw poświadczeń z rejestru kontenerów |
| Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read | Pobiera stan operacji asynchronicznych zestawu poświadczeń |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Credential Sets in Container Registry. This role doesn't affect the needed permissions for storing content inside Azure Key Vault. This role also doesn't grant permissions to manage Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f094fb07-0703-4400-ad6a-e16dd8000e14",
"name": "f094fb07-0703-4400-ad6a-e16dd8000e14",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read",
"Microsoft.ContainerRegistry/registries/credentialSets/write",
"Microsoft.ContainerRegistry/registries/credentialSets/delete",
"Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik zestawu poświadczeń rejestru kontenerów
Przeczytaj konfigurację zestawów poświadczeń w usłudze Container Registry. To uprawnienie nie pozwala na wyświetlanie zawartości w Azure Key Vault, a jedynie w Container Registry. To uprawnienie nie udziela uprawnień do odczytywania reguł pamięci podręcznej.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | Pobiera właściwości określonego zestawu poświadczeń lub wyświetla listę wszystkich zestawów poświadczeń dla określonego rejestru kontenerów |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Credential Sets in Container Registry. This permission doesn't allow permission to see content inside Azure Key vault only the content inside Container Registry. This permission doesn't grant permission to read Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29093635-9924-4f2c-913b-650a12949526",
"name": "29093635-9924-4f2c-913b-650a12949526",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Importer danych i czytnik danych usługi Container Registry
Umożliwia importowanie obrazów do rejestru za pomocą operacji importowania rejestru. Zapewnia możliwość wyświetlania listy repozytoriów, wyświetlania obrazów i tagów, pobierania manifestów i ściągania obrazów. Nie zapewnia uprawnień do importowania obrazów za pomocą konfigurowania potoków transferu rejestru, takich jak potoki importu i eksportu. Nie zapewnia uprawnień do importowania za pomocą konfigurowania pamięci podręcznej artefaktów lub reguł synchronizacji.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/importImage/action | Zaimportuj obraz do rejestru kontenerów z określonymi parametrami. |
| Microsoft.ContainerRegistry/registries/read | Pobiera właściwości określonego rejestru kontenerów lub wyświetla listę wszystkich rejestrów kontenerów w ramach określonej grupy zasobów lub subskrypcji. |
| Microsoft.ContainerRegistry/registries/pull/read | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerRegistry/rejestry/repozytoria/zawartość/odczyt | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/repozytoria/metadata/read | Pobiera metadane określonego repozytorium dla rejestru kontenerów |
| Microsoft.ContainerRegistry/registries/catalog/read | Wyświetlanie listy repozytoriów w rejestrze kontenerów. |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Lister katalogu repozytorium rejestru kontenerów
Umożliwia wyświetlenie listy wszystkich repozytoriów w usłudze Azure Container Registry.
| Akcje | opis |
|---|---|
| żaden | |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerRegistry/registries/catalog/read | Wyświetlanie listy repozytoriów w rejestrze kontenerów. |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor repozytorium usługi Container Registry
Umożliwia dostęp do odczytu, zapisu i usuwania repozytoriów usługi Azure Container Registry, ale z wyłączeniem listy katalogów.
| Akcje | opis |
|---|---|
| żaden | |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerRegistry/registries/repozytoria/metadata/read | Pobiera metadane określonego repozytorium dla rejestru kontenerów |
| Microsoft.ContainerRegistry/rejestry/repozytoria/zawartość/odczyt | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
| Microsoft.ContainerRegistry/rejestry/repozytoria/metadane/zapis | Aktualizuje metadane repozytorium dla rejestru kontenerów |
| Microsoft.ContainerRegistry/rejestry/repozytoria/zawartość/zapis | Wypychanie lub zapisywanie obrazów do rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/repozytoria/metadata/delete | Usuwanie metadanych repozytorium dla rejestru kontenerów |
| Microsoft.ContainerRegistry/registries/repozytoria/content/delete | Usuń artefakt w rejestrze kontenerów. |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Czytelnik repozytorium usługi Container Registry
Umożliwia dostęp do odczytu do repozytoriów usługi Azure Container Registry, ale z wyłączeniem listy katalogów.
| Akcje | opis |
|---|---|
| żaden | |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerRegistry/registries/repozytoria/metadata/read | Pobiera metadane określonego repozytorium dla rejestru kontenerów |
| Microsoft.ContainerRegistry/rejestry/repozytoria/zawartość/odczyt | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Składnik zapisywania repozytorium usługi Container Registry
Umożliwia dostęp do odczytu i zapisu w repozytoriach usługi Azure Container Registry, ale z wyłączeniem listy katalogów.
| Akcje | opis |
|---|---|
| żaden | |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| Microsoft.ContainerRegistry/registries/repozytoria/metadata/read | Pobiera metadane określonego repozytorium dla rejestru kontenerów |
| Microsoft.ContainerRegistry/rejestry/repozytoria/zawartość/odczyt | Ściąganie lub pobieranie obrazów z rejestru kontenerów. |
| Microsoft.ContainerRegistry/rejestry/repozytoria/metadane/zapis | Aktualizuje metadane repozytorium dla rejestru kontenerów |
| Microsoft.ContainerRegistry/rejestry/repozytoria/zawartość/zapis | Wypychanie lub zapisywanie obrazów do rejestru kontenerów. |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor zadań usługi Container Registry
Zapewnia uprawnienia do konfigurowania, odczytywania, wyświetlania listy, wyzwalacza lub anulowania zadań rejestru kontenerów, przebiegów zadań, dzienników zadań, szybkich przebiegów, szybkich kompilacji i pul agentów zadań. Uprawnienia przyznane do zarządzania zadaniami mogą służyć do wykonywania pełnych uprawnień płaszczyzny danych rejestru, w tym odczytywania/zapisywania/usuwania obrazów kontenerów w rejestrach. Uprawnienia przyznane do zarządzania zadaniami mogą być również używane do uruchamiania dyrektyw kompilacji utworzonych przez klienta i uruchamiania skryptów w celu tworzenia artefaktów oprogramowania.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/agentpools/read | Pobierz pulę agentów dla rejestru kontenerów lub wyświetl listę wszystkich puli agentów. |
| Microsoft.ContainerRegistry/registries/agentpools/write | Utwórz lub zaktualizuj pulę agentów dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/agentpools/delete | Usuwanie puli agentów dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action | Wyświetl listę wszystkich stanów kolejki puli agentów dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read | Pobiera stan wyniku operacji asynchronicznych puli agentów |
| Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read | Pobiera stan operacji asynchronicznych puli agentów |
| Microsoft.ContainerRegistry/registries/tasks/read | Pobiera zadanie dla rejestru kontenerów lub wyświetla listę wszystkich zadań. |
| Microsoft.ContainerRegistry/registries/tasks/write | Tworzy lub aktualizuje zadanie dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/tasks/delete | Usuwa zadanie dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/tasks/listDetails/action | Wyświetl wszystkie szczegóły zadania dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/scheduleRun/action | Zaplanuj przebieg względem rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action | Pobierz lokalizację adresu URL przekazywania źródłowego dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/runs/read | Pobiera właściwości przebiegu względem rejestru kontenerów lub przebiegów listy. |
| Microsoft.ContainerRegistry/registries/runs/write | Aktualizuje przebieg. |
| Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action | Pobiera adres URL sygnatury dostępu współdzielonego dziennika dla przebiegu. |
| Microsoft.ContainerRegistry/registries/runs/cancel/action | Anuluj istniejący przebieg. |
| Microsoft.ContainerRegistry/registries/taskruns/read | Pobierz uruchomienie zadania dla rejestru kontenerów lub wyświetl listę wszystkich uruchomień zadań. |
| Microsoft.ContainerRegistry/registries/taskruns/write | Utwórz lub zaktualizuj uruchomienie zadania dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/taskruns/delete | Usuń uruchomienie zadania dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/taskruns/listDetails/action | Wyświetl wszystkie szczegóły uruchomienia zadania dla rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read | Pobiera stan operacji asynchronicznego uruchamiania zadania |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.ContainerRegistry/registries/read | Pobiera właściwości określonego rejestru kontenerów lub wyświetla listę wszystkich rejestrów kontenerów w ramach określonej grupy zasobów lub subskrypcji. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor potoku transferu usługi Container Registry
Umożliwia transferowanie, importowanie i eksportowanie artefaktów za pomocą konfigurowania potoków transferu rejestru obejmujących pośredniczące konta magazynu i magazyny kluczy. Nie zapewnia uprawnień do wypychania ani ściągania obrazów. Nie zapewnia uprawnień do tworzenia kont magazynu lub magazynów kluczy, zarządzania nimi ani zarządzania nimi. Nie zapewnia uprawnień do wykonywania przypisań ról.
| Akcje | opis |
|---|---|
| Microsoft.ContainerRegistry/registries/exportPipelines/read | Pobiera właściwości określonego potoku eksportu lub wyświetla listę wszystkich potoków eksportu dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/exportPipelines/write | Tworzy lub aktualizuje potok eksportu dla rejestru kontenerów przy użyciu określonych parametrów. |
| Microsoft.ContainerRegistry/registries/exportPipelines/delete | Usuwa potok eksportu z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/importPipelines/read | Pobiera właściwości określonego potoku importu lub wyświetla listę wszystkich potoków importu dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/importPipelines/write | Tworzy lub aktualizuje potok importu dla rejestru kontenerów z określonymi parametrami. |
| Microsoft.ContainerRegistry/registries/importPipelines/delete | Usuwa potok importu z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/read | Pobiera właściwości określonego uruchomienia potoku lub wyświetla listę wszystkich przebiegów potoku dla określonego rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/write | Tworzy lub aktualizuje uruchomienie potoku dla rejestru kontenerów z określonymi parametrami. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/delete | Usuwa uruchomienie potoku z rejestru kontenerów. |
| Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read | Pobiera stan operacji asynchronicznych przebiegu potoku. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Defender Kubernetes API Access
Przyznaje Microsoft Defender dla Chmury dostęp do usług Azure Kubernetes Services
| Akcje | opis |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/zapisywanie | Tworzenie lub aktualizowanie powiązań ról zaufanego dostępu dla klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/odczyt | Uzyskiwanie powiązań ról zaufanego dostępu dla klastra zarządzanego |
| Microsoft.ContainerService/zarządzaneKlastry/powiązaniaRólZaufanegoDostępu/usuń | Usuwanie powiązań ról zaufanego dostępu dla klastra zarządzanego |
| Microsoft.ContainerService/managedClusters/odczyt | Pobieranie klastra zarządzanego |
| Microsoft.Features/features/read | Pobiera funkcje subskrypcji. |
| Microsoft.Features/providers/features/read | Pobiera funkcję subskrypcji w danym dostawcy zasobów. |
| Microsoft.Features/providers/features/register/action | Rejestruje funkcję subskrypcji w danym dostawcy zasobów. |
| Microsoft.Security/pricings/securityoperators/read | Pobiera operatory zabezpieczeń dla zakresu |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Defender Kubernetes API Access",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Klaster Kubernetes — dołączanie do usługi Azure Arc
Definicja roli autoryzowania dowolnego użytkownika/usługi w celu utworzenia zasobu connectedClusters
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/write | Tworzy lub aktualizuje wdrożenie. |
| Microsoft.Resources/subskrypcje/operationresults/read | Pobierz wyniki operacji subskrypcji. |
| Microsoft.Resources/subskrypcje/odczyt | Pobiera listę subskrypcji. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.Kubernetes/connectedClusters/Zapisz | Zapisy connectedClusters |
| Microsoft.Kubernetes/połączoneKlastry/odczyt | Odczyt connectedClusters |
| Microsoft.KubernetesConfiguration/extensions/write | Tworzy lub aktualizuje zasób rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/read | Pobiera zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/delete | Usuwa zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Pobiera stan operacji asynchronicznych. |
| Microsoft.Support/* | Tworzenie i aktualizowanie biletu pomocy technicznej |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor rozszerzenia Kubernetes
Może tworzyć, aktualizować, pobierać, wyświetlać i usuwać rozszerzenia Kubernetes oraz pobierać operacje asynchroniczne rozszerzeń
| Akcje | opis |
|---|---|
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| Microsoft.KubernetesConfiguration/extensions/write | Tworzy lub aktualizuje zasób rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/read | Pobiera zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/delete | Usuwa zasób wystąpienia rozszerzenia. |
| Microsoft.KubernetesConfiguration/extensions/operations/read | Pobiera stan operacji asynchronicznych. |
| Microsoft.KubernetesConfiguration/register/action | Rejestruje subskrypcję dostawcy zasobów Microsoft.KubernetesConfiguration. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.KubernetesConfiguration/register/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor klastra usługi Service Fabric
Zarządzanie zasobami klastra usługi Service Fabric. Obejmuje klastry, typy aplikacji, wersje typów aplikacji, aplikacje i usługi. Potrzebne będą dodatkowe uprawnienia do wdrażania podstawowych zasobów klastra, takich jak zestawy skalowania maszyn wirtualnych, konta magazynu, sieci itp.
| Akcje | opis |
|---|---|
| Microsoft.ServiceFabric/clusters/* | |
| Microsoft.ServiceFabric/operations/read | Odczytywanie wszystkich dostępnych operacji |
| Microsoft.ServiceFabric/locations/clusterVersions/read | Odczytywanie dowolnej wersji klastra |
| Microsoft.ServiceFabric/locations/environments/clusterVersions/read | Odczytywanie dowolnej wersji klastra dla określonego środowiska |
| Microsoft.ServiceFabric/locations/operationresults/read | Odczytywanie wszystkich wyników operacji |
| Microsoft.ServiceFabric/locations/operations/read | Odczytywanie dowolnych operacji według lokalizacji |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Współautor klastra zarządzanego usługi Service Fabric
Wdrażanie zasobów klastra zarządzanego usługi Service Fabric i zarządzanie nimi. Obejmuje klastry zarządzane, typy węzłów, typy aplikacji, wersje typów aplikacji, aplikacje i usługi.
| Akcje | opis |
|---|---|
| Microsoft.ServiceFabric/managedclusters/* | |
| Microsoft.ServiceFabric/operations/read | Odczytywanie wszystkich dostępnych operacji |
| Microsoft.ServiceFabric/locations/clusterVersions/read | Odczytywanie dowolnej wersji klastra |
| Microsoft.ServiceFabric/locations/environments/clusterVersions/read | Odczytywanie dowolnej wersji klastra dla określonego środowiska |
| Microsoft.ServiceFabric/locations/operationresults/read | Odczytywanie wszystkich wyników operacji |
| Microsoft.ServiceFabric/locations/operations/read | Odczytywanie dowolnych operacji według lokalizacji |
| Microsoft.Authorization/*/read | Odczytywanie ról i przypisań ról |
| Microsoft.Insights/alertRules/* | Tworzenie alertu dotyczącego metryki klasycznej i zarządzanie nią |
| Microsoft.Resources/deployments/* | Tworzenie wdrożenia i zarządzanie nim |
| Microsoft.Resources/subscriptions/resourceGroups/read | Pobiera lub wyświetla listę grup zasobów. |
| NotActions (NieDziałania) | |
| żaden | |
| Akcje danych | |
| żaden | |
| NotDataActions (Akcje NotData) | |
| żaden |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.ServiceFabric/operations/read",
"Microsoft.ServiceFabric/locations/clusterVersions/read",
"Microsoft.ServiceFabric/locations/environments/clusterVersions/read",
"Microsoft.ServiceFabric/locations/operationresults/read",
"Microsoft.ServiceFabric/locations/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}