この記事では、Containers カテゴリの Azure 組み込みロール一覧を示します。
AcrDelete
コンテナー レジストリからリポジトリ、タグ、またはマニフェストを削除します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/artifacts/delete | コンテナー レジストリの成果物を削除します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr delete",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"name": "c2f4ef07-c644-48eb-af81-4b1b4947fb11",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/artifacts/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrDelete",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrImageSigner
コンテンツの信頼が有効になっているコンテナー レジストリに信頼済みのイメージをプッシュしたり、信頼済みのイメージをプルしたりします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/sign/write | コンテナー レジストリのコンテンツの信頼メタデータをプッシュ/プルします。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/trustedCollections/write | コンテナー レジストリ コンテンツの信頼されたコレクションのプッシュまたは公開を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/sign/write アクションに似ています |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr image signer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6cef56e8-d556-48e5-a04f-b8e64114680f",
"name": "6cef56e8-d556-48e5-a04f-b8e64114680f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/sign/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/trustedCollections/write"
],
"notDataActions": []
}
],
"roleName": "AcrImageSigner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
アックルプル
コンテナー レジストリから成果物をプルします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr pull",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f951dda-4ed3-4680-a7ca-43fe172d538d",
"name": "7f951dda-4ed3-4680-a7ca-43fe172d538d",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPull",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
アクプッシュ
コンテナー レジストリに成果物をプッシュしたり、成果物をプルしたりします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/push/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr push",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8311e382-0749-4cb8-b61a-304f252e45ec",
"name": "8311e382-0749-4cb8-b61a-304f252e45ec",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/pull/read",
"Microsoft.ContainerRegistry/registries/push/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "AcrPush",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
AcrQuarantineReader
コンテナー レジストリから検疫済みのイメージをプルします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | コンテナー レジストリから検疫済みのイメージをプルまたは取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/cdda3590-29a3-44f6-95f2-9f980659eb04",
"name": "cdda3590-29a3-44f6-95f2-9f980659eb04",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineReader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
アクルクアランティーンライター
検疫済みのイメージをコンテナー レジストリにプッシュしたり、検疫済みイメージをプルしたりします。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/quarantine/read | コンテナー レジストリから検疫済みのイメージをプルまたは取得します |
| Microsoft.ContainerRegistry/registries/quarantine/write | 検疫済みイメージの検疫状態を書き込むか変更します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read | コンテナー レジストリからの検疫済み成果物のプルまたは取得を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/read に似ています |
| Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write | 検疫済み成果物の検疫状態の書き込みまたは更新を許可します。 これは、データ アクションであることを除き、Microsoft.ContainerRegistry/registries/quarantine/write アクションに似ています |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "acr quarantine data writer",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"name": "c8d4ff99-41c3-41a8-9f60-21dfdad59608",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/quarantine/read",
"Microsoft.ContainerRegistry/registries/quarantine/write"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/read",
"Microsoft.ContainerRegistry/registries/quarantinedArtifacts/write"
],
"notDataActions": []
}
],
"roleName": "AcrQuarantineWriter",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc 対応 Kubernetes クラスター ユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action | clusterUser 資格情報を一覧表示します (プレビュー) |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | clusterUser 資格情報を一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| データアクションなし | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credentials action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"name": "00493d72-78f6-4148-b6c5-d3ce8e4799dd",
"permissions": [
{
"actions": [
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredentials/action",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Support/*",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Arc Enabled Kubernetes Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes 管理者
リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write | localsubjectaccessreviews を書き込みます |
| Microsoft.Kubernetes/接続されたクラスタ/自動スケーリング/水平ポッドオートスケーラー/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"name": "dffb1e0c-446f-4dde-a09f-99eb5cc68b96",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.Kubernetes/connectedClusters/rbac.authorization.k8s.io/roles/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes クラスター管理者
クラスター内のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Kubernetes/connectedClusters/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8393591c-06b9-48a2-a542-1bd6b377f6a2",
"name": "8393591c-06b9-48a2-a542-1bd6b377f6a2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes ビューアー
クラスターおよび名前空間内のすべてのリソース (シークレットを除く) を表示できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/read | デプロイを読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/read | レプリカセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/read | ジョブを読み取ります |
| Microsoft.Kubernetes/connectedClusters/configmaps/read | configmaps を読み取ります |
| Microsoft.Kubernetes/connectedClusters/endpoints/read | エンドポイントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read | レプリカセットを読み取ります |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.Kubernetes/connectedClusters/pods/read | ポッドを読み取ります |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.Kubernetes/connectedClusters/services/read | サービスを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you view all resources in cluster/namespace, except secrets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63f0a09d-1495-4db4-a681-037d84835eb4",
"name": "63f0a09d-1495-4db4-a681-037d84835eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/read",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/read",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/read",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/read",
"Microsoft.Kubernetes/connectedClusters/configmaps/read",
"Microsoft.Kubernetes/connectedClusters/endpoints/read",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/read",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/read",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/read",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/read",
"Microsoft.Kubernetes/connectedClusters/pods/read",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/read",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/read",
"Microsoft.Kubernetes/connectedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Viewer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Arc Kubernetes ライター
(クラスター) ロール、(クラスター) ロール バインドを除く、クラスターおよび名前空間内のすべてを更新できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.Kubernetes/connectedClusters/apps/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/apps/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/apps/statefulsets/* | |
| Microsoft.Kubernetes/接続されたクラスタ/自動スケーリング/水平ポッドオートスケーラー/* | |
| Microsoft.Kubernetes/connectedClusters/batch/cronjobs/* | |
| Microsoft.Kubernetes/connectedClusters/batch/jobs/* | |
| Microsoft.Kubernetes/connectedClusters/configmaps/* | |
| Microsoft.Kubernetes/connectedClusters/endpoints/* | |
| Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/events/read | イベントを読み取ります |
| Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/deployments/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/extensions/replicasets/* | |
| Microsoft.Kubernetes/connectedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.Kubernetes/connectedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/* | |
| Microsoft.Kubernetes/connectedClusters/pods/* | |
| Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/replicationcontrollers/* | |
| Microsoft.Kubernetes/connectedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.Kubernetes/connectedClusters/secrets/* | |
| Microsoft.Kubernetes/connectedClusters/serviceaccounts/* | |
| Microsoft.Kubernetes/connectedClusters/services/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you update everything in cluster/namespace, except (cluster)roles and (cluster)role bindings.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b999177-9696-4545-85c7-50de3797e5a1",
"name": "5b999177-9696-4545-85c7-50de3797e5a1",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [
"Microsoft.Kubernetes/connectedClusters/apps/controllerrevisions/read",
"Microsoft.Kubernetes/connectedClusters/apps/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/apps/deployments/*",
"Microsoft.Kubernetes/connectedClusters/apps/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/apps/statefulsets/*",
"Microsoft.Kubernetes/connectedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.Kubernetes/connectedClusters/batch/cronjobs/*",
"Microsoft.Kubernetes/connectedClusters/batch/jobs/*",
"Microsoft.Kubernetes/connectedClusters/configmaps/*",
"Microsoft.Kubernetes/connectedClusters/endpoints/*",
"Microsoft.Kubernetes/connectedClusters/events.k8s.io/events/read",
"Microsoft.Kubernetes/connectedClusters/events/read",
"Microsoft.Kubernetes/connectedClusters/extensions/daemonsets/*",
"Microsoft.Kubernetes/connectedClusters/extensions/deployments/*",
"Microsoft.Kubernetes/connectedClusters/extensions/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/extensions/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/extensions/replicasets/*",
"Microsoft.Kubernetes/connectedClusters/limitranges/read",
"Microsoft.Kubernetes/connectedClusters/namespaces/read",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/ingresses/*",
"Microsoft.Kubernetes/connectedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.Kubernetes/connectedClusters/persistentvolumeclaims/*",
"Microsoft.Kubernetes/connectedClusters/pods/*",
"Microsoft.Kubernetes/connectedClusters/policy/poddisruptionbudgets/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/replicationcontrollers/*",
"Microsoft.Kubernetes/connectedClusters/resourcequotas/read",
"Microsoft.Kubernetes/connectedClusters/secrets/*",
"Microsoft.Kubernetes/connectedClusters/serviceaccounts/*",
"Microsoft.Kubernetes/connectedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Arc Kubernetes Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure コンテナー ストレージ共同作成者
Azure コンテナー ストレージをインストールし、そのストレージ リソースを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | 説明 |
|---|---|
| Microsoft.KubernetesConfiguration/拡張/書き込み | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/削除 | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Management/managementGroups/read | 認証済みユーザーの管理グループを一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" | |
| アクション | |
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" | |
| 状態 | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | 以下のロールでロールの割り当てを追加または削除します: Azure コンテナー ストレージ オペレーター |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and manage its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"name": "95dd08a6-00bd-4661-84bf-f6726f83a4d0",
"permissions": [
{
"actions": [
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure コンテナー ストレージ オペレーター
仮想マシンの管理や仮想ネットワークの管理など、Azure コンテナー ストレージの操作をマネージド ID が実行できるようにします。
| アクション | 説明 |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/ロケーション/非同期操作/読み取り | 非同期操作の状態をポーリングします。 |
| Microsoft.Network/routeTables/join/action | ルート テーブルを結合します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/write | 仮想ネットワークを作成するか、既存の仮想ネットワークを更新します |
| Microsoft.Network/virtualNetworks/削除 | 仮想ネットワークを削除します |
| Microsoft.Network/virtualNetworks/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| Microsoft.Compute/virtualMachines/write | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します |
| Microsoft.Compute/virtualMachineScaleSets/read | 仮想マシン スケール セットのプロパティを取得します |
| Microsoft.Compute/virtualMachineScaleSets/write | 新しい仮想マシン スケール セットを作成するか、既存のものを更新します |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | VM スケール セット内の仮想マシンのプロパティを更新します |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | VM スケール セット内の仮想マシンのプロパティを取得します |
| Microsoft.Resources/subscriptions/providers/read | リソース プロバイダーを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Role required by a Managed Identity for Azure Container Storage operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"name": "08d4c71a-cc63-4ce4-a9c8-5dd251b4d619",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Resources/subscriptions/providers/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Network/virtualNetworks/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Container Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure コンテナー ストレージ所有者
Azure コンテナー ストレージをインストールし、そのストレージ リソースへのアクセスを許可し、Azure Elastic Storage Area Network (SAN) を構成できます。 ロールの割り当てを制限する ABAC 条件が含まれています。
| アクション | 説明 |
|---|---|
| Microsoft.ElasticSan/elasticSans/* | |
| Microsoft.ElasticSan/locations/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/* | |
| Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/* | |
| Microsoft.ElasticSan/ロケーション/非同期操作/読み取り | 非同期操作の状態をポーリングします。 |
| Microsoft.KubernetesConfiguration/extensions/write | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/削除 | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Management/managementGroups/read | 認証済みユーザーの管理グループを一覧表示します。 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" | |
| アクション | |
| Microsoft.Authorization/roleAssignments/write | 指定されたスコープのロールの割り当てを作成します。 |
| Microsoft.Authorization/roleAssignments/delete | 指定したスコープにおけるロールの割り当てを削除します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" | |
| 状態 | |
| ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) | 以下のロールでロールの割り当てを追加または削除します: Azure コンテナー ストレージ オペレーター |
{
"assignableScopes": [
"/"
],
"description": "Lets you install Azure Container Storage and grants access to its storage resources",
"id": "/providers/Microsoft.Authorization/roleDefinitions/95de85bd-744d-4664-9dde-11430bc34793",
"name": "95de85bd-744d-4664-9dde-11430bc34793",
"permissions": [
{
"actions": [
"Microsoft.ElasticSan/elasticSans/*",
"Microsoft.ElasticSan/locations/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/*",
"Microsoft.ElasticSan/elasticSans/volumeGroups/volumes/*",
"Microsoft.ElasticSan/locations/asyncoperations/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
},
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{08d4c71acc634ce4a9c85dd251b4d619}))"
}
],
"roleName": "Azure Container Storage Owner",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager 共同作成者ロール
Azure Kubernetes Fleet Manager によって提供される Azure リソース (フリート、フリート メンバー、フリート更新戦略、フリート更新実行など) への読み取りおよび書き込みアクセス権限が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/fleets/* | |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Azure resources provided by Azure Kubernetes Fleet Manager, including fleets, fleet members, fleet update strategies, fleet update runs, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/63bb64ad-9799-4770-b5c3-24ed299a07bf",
"name": "63bb64ad-9799-4770-b5c3-24ed299a07bf",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/fleets/*",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC 管理者
フリート マネージド ハブ クラスターの名前空間内の Kubernetes リソースに対する読み取り/書き込みアクセス権限が付与されます。ResourceQuota オブジェクトと名前空間オブジェクト自体を除き、名前空間内のほとんどのオブジェクトに対する書き込みアクセス許可が付与されます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/* | |
| Microsoft.ContainerService/fleets/apps/deployments/* | |
| Microsoft.ContainerService/fleets/apps/statefulsets/* | |
| Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write | localsubjectaccessreviews を書き込みます |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/fleets/batch/cronjobs/* | |
| Microsoft.ContainerService/fleets/batch/jobs/* | |
| Microsoft.ContainerService/fleets/configmaps/* | |
| Microsoft.ContainerService/fleets/endpoints/* | |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/* | |
| Microsoft.ContainerService/fleets/extensions/deployments/* | |
| Microsoft.ContainerService/fleets/extensions/ingresses/* | |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/* | |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/* | |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/* | |
| Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/replicationcontrollers/* | |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/secrets/* | |
| Microsoft.ContainerService/fleets/serviceaccounts/* | |
| Microsoft.ContainerService/fleets/services/* | |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | フリートの internalmembercluster リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/* | |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | フリートの resourceoverridesnapshot リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | フリートの work リソースを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to Kubernetes resources within a namespace in the fleet-managed hub cluster - provides write permissions on most objects within a a namespace, with the exception of ResourceQuota object and the namespace object itself. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/434fb43a-c01c-447e-9f67-c3ad923cfaba",
"name": "434fb43a-c01c-447e-9f67-c3ad923cfaba",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/*",
"Microsoft.ContainerService/fleets/apps/deployments/*",
"Microsoft.ContainerService/fleets/apps/statefulsets/*",
"Microsoft.ContainerService/fleets/authorization.k8s.io/localsubjectaccessreviews/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/fleets/batch/cronjobs/*",
"Microsoft.ContainerService/fleets/batch/jobs/*",
"Microsoft.ContainerService/fleets/configmaps/*",
"Microsoft.ContainerService/fleets/endpoints/*",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/*",
"Microsoft.ContainerService/fleets/extensions/deployments/*",
"Microsoft.ContainerService/fleets/extensions/ingresses/*",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/*",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/*",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/rolebindings/*",
"Microsoft.ContainerService/fleets/rbac.authorization.k8s.io/roles/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/replicationcontrollers/*",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/*",
"Microsoft.ContainerService/fleets/serviceaccounts/*",
"Microsoft.ContainerService/fleets/services/*",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/*",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC クラスター管理者
フリートマネージド ハブ クラスター内のすべての Kubernetes リソースへの読み取り/書き込みアクセス権限が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to all Kubernetes resources in the fleet-managed hub cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"name": "18ab4d3d-a1bf-4477-8ad9-8359bc988f69",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC リーダー
フリートマネージド ハブ クラスター内の名前空間内のほとんどの Kubernetes リソースへの読み取り専用アクセス権限が付与されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/fleets/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/fleets/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/fleets/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/fleets/services/read | サービスを読み取ります |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | フリートの internalmembercluster リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | フリートの resourceoverride リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | フリートの resourceoverridesnapshot リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | フリートの work リソースを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read-only access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/30b27cfc-9c84-438e-b0ce-70e35255df80",
"name": "30b27cfc-9c84-438e-b0ce-70e35255df80",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Fleet Manager RBAC ライター
フリートマネージド ハブ クラスターの名前空間にある、ほとんどの Kubernetes リソースへの読み取りおよび書き込みアクセス権限が付与されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、名前空間内の任意の ServiceAccount として Secrets にアクセスできるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/fleets/read | フリートを取得する |
| Microsoft.ContainerService/fleets/listCredentials/action | フリート資格情報を一覧表示する |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/fleets/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/daemonsets/write | デーモンセットを書き込みます |
| Microsoft.ContainerService/fleets/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/apps/deployments/write | デプロイを書き込みます |
| Microsoft.ContainerService/fleets/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/fleets/apps/statefulsets/write | ステートフルセットを書き込みます |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write | horizontalpodautoscalers を書き込みます |
| Microsoft.ContainerService/fleets/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/fleets/batch/cronjobs/write | cronjobs を書き込みます |
| Microsoft.ContainerService/fleets/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/fleets/batch/jobs/write | ジョブを書き込みます |
| Microsoft.ContainerService/fleets/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/fleets/configmaps/write | configmaps を書き込みます |
| Microsoft.ContainerService/fleets/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/fleets/endpoints/write | エンドポイントを書き込みます |
| Microsoft.ContainerService/fleets/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/events/read | イベントを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/fleets/extensions/daemonsets/write | デーモンセットを書き込みます |
| Microsoft.ContainerService/fleets/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/fleets/extensions/deployments/write | デプロイを書き込みます |
| Microsoft.ContainerService/fleets/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/extensions/ingresses/write | イングレスを書き込みます |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/extensions/networkpolicies/write | networkpolicies を書き込みます |
| Microsoft.ContainerService/fleets/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/fleets/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write | イングレスを書き込みます |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write | networkpolicies を書き込みます |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/fleets/persistentvolumeclaims/write | persistentvolumeclaims を書き込みます |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write | poddisruptionbudgets を書き込みます |
| Microsoft.ContainerService/fleets/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/fleets/replicationcontrollers/write | replicationcontrollers を書き込みます |
| Microsoft.ContainerService/fleets/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/fleets/secrets/read | シークレットを読み取ります |
| Microsoft.ContainerService/fleets/secrets/write | シークレットを書き込みます |
| Microsoft.ContainerService/fleets/serviceaccounts/read | serviceaccounts を読み取ります |
| Microsoft.ContainerService/fleets/serviceaccounts/write | serviceaccounts を書き込みます |
| Microsoft.ContainerService/fleets/services/read | サービスを読み取ります |
| Microsoft.ContainerService/fleets/services/write | サービスを書き込みます |
| Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read | フリートの internalmembercluster リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read | フリートの resourceoverride リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write | フリートの resourceoverride リソースを書き込む |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read | フリートの resourceoverridesnapshot リソースを読み取ります |
| Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read | フリートの work リソースを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants read/write access to most Kubernetes resources within a namespace in the fleet-managed hub cluster. This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5af6afb3-c06c-4fa4-8848-71a8aee05683",
"name": "5af6afb3-c06c-4fa4-8848-71a8aee05683",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/fleets/read",
"Microsoft.ContainerService/fleets/listCredentials/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/fleets/apps/controllerrevisions/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/read",
"Microsoft.ContainerService/fleets/apps/daemonsets/write",
"Microsoft.ContainerService/fleets/apps/deployments/read",
"Microsoft.ContainerService/fleets/apps/deployments/write",
"Microsoft.ContainerService/fleets/apps/statefulsets/read",
"Microsoft.ContainerService/fleets/apps/statefulsets/write",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/fleets/autoscaling/horizontalpodautoscalers/write",
"Microsoft.ContainerService/fleets/batch/cronjobs/read",
"Microsoft.ContainerService/fleets/batch/cronjobs/write",
"Microsoft.ContainerService/fleets/batch/jobs/read",
"Microsoft.ContainerService/fleets/batch/jobs/write",
"Microsoft.ContainerService/fleets/configmaps/read",
"Microsoft.ContainerService/fleets/configmaps/write",
"Microsoft.ContainerService/fleets/endpoints/read",
"Microsoft.ContainerService/fleets/endpoints/write",
"Microsoft.ContainerService/fleets/events.k8s.io/events/read",
"Microsoft.ContainerService/fleets/events/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/read",
"Microsoft.ContainerService/fleets/extensions/daemonsets/write",
"Microsoft.ContainerService/fleets/extensions/deployments/read",
"Microsoft.ContainerService/fleets/extensions/deployments/write",
"Microsoft.ContainerService/fleets/extensions/ingresses/read",
"Microsoft.ContainerService/fleets/extensions/ingresses/write",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/read",
"Microsoft.ContainerService/fleets/extensions/networkpolicies/write",
"Microsoft.ContainerService/fleets/limitranges/read",
"Microsoft.ContainerService/fleets/namespaces/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/ingresses/write",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/fleets/networking.k8s.io/networkpolicies/write",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/read",
"Microsoft.ContainerService/fleets/persistentvolumeclaims/write",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/fleets/policy/poddisruptionbudgets/write",
"Microsoft.ContainerService/fleets/replicationcontrollers/read",
"Microsoft.ContainerService/fleets/replicationcontrollers/write",
"Microsoft.ContainerService/fleets/resourcequotas/read",
"Microsoft.ContainerService/fleets/secrets/read",
"Microsoft.ContainerService/fleets/secrets/write",
"Microsoft.ContainerService/fleets/serviceaccounts/read",
"Microsoft.ContainerService/fleets/serviceaccounts/write",
"Microsoft.ContainerService/fleets/services/read",
"Microsoft.ContainerService/fleets/services/write",
"Microsoft.ContainerService/fleets/cluster.kubernetes-fleet.io/internalmemberclusters/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverrides/write",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/resourceoverridesnapshots/read",
"Microsoft.ContainerService/fleets/placement.kubernetes-fleet.io/works/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Fleet Manager RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc クラスター管理者ロール
クラスター管理者の資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します |
| Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action | ダイレクト モードでのみ使用されるプロビジョニング済みクラスター インスタンスの管理者資格情報を一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters を読み取ります |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"name": "b29efa5f-7782-4dc3-9537-4d5bc70a5e9f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listAdminKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc クラスター ユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します |
| Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action | 直接モードでのみ使用されるプロビジョニング済みクラスター インスタンスの AAD ユーザー資格情報を一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters を読み取ります |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/233ca253-b031-42ff-9fba-87ef12d6b55f",
"name": "233ca253-b031-42ff-9fba-87ef12d6b55f",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/listUserKubeconfig/action",
"Microsoft.Kubernetes/connectedClusters/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service Arc 共同作成者ロール
Azure Kubernetes Service ハイブリッド クラスターへの読み取りおよび書き込みアクセス権限が付与されます
| アクション | 説明 |
|---|---|
| Microsoft.HybridContainerService/Locations/operationStatuses/read | operationStatuses を読み取ります |
| Microsoft.HybridContainerService/Operations/read | 操作を読み取ります |
| Microsoft.HybridContainerService/kubernetesVersions/read | 基になるカスタムの場所からサポートされている Kubernetes バージョンを一覧表示します |
| Microsoft.HybridContainerService/kubernetesVersions/write | Kubernetes バージョンのリソースの種類を配置します |
| Microsoft.HybridContainerService/kubernetesVersions/delete | Kubernetes バージョンのリソースの種類を削除します |
| Microsoft.HybridContainerService/provisionedClusterInstances/read | 接続されたクラスターに関連付けられているハイブリッド AKS プロビジョニング済みクラスター インスタンスを取得します |
| Microsoft.HybridContainerService/provisionedClusterInstances/write | ハイブリッド AKS プロビジョニング済みクラスター インスタンスを作成します |
| Microsoft.HybridContainerService/provisionedClusterInstances/delete | ハイブリッド AKS プロビジョニング済みクラスター インスタンスを削除します |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read | ハイブリッド AKS プロビジョニング済みクラスター インスタンス内のエージェント プールを取得します |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write | ハイブリッド AKS プロビジョニング済みクラスター インスタンスのエージェント プールを更新します |
| Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete | ハイブリッド AKS プロビジョニング済みクラスター インスタンス内のエージェント プールを削除します |
| Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read | upgradeProfiles を読み取ります |
| Microsoft.HybridContainerService/skus/read | 基になるカスタムの場所からサポートされている VM SKU を一覧表示します |
| Microsoft.HybridContainerService/skus/write | VM SKU リソースの種類を配置します |
| Microsoft.HybridContainerService/skus/delete | Vm SKU リソースの種類を削除します |
| Microsoft.HybridContainerService/virtualNetworks/read | サブスクリプション別にハイブリッド AKS 仮想ネットワークを一覧表示します |
| Microsoft.HybridContainerService/仮想ネットワーク/書き込み | ハイブリッド AKS 仮想ネットワークにパッチを適用します |
| Microsoft.HybridContainerService/virtualNetworks/delete | ハイブリッド AKS 仮想ネットワークを削除します |
| Microsoft.ExtendedLocation/customLocations/deploy/action | カスタムの場所リソースへのアクセス許可をデプロイします |
| Microsoft.ExtendedLocation/customLocations/read | カスタムの場所リソースを取得します |
| Microsoft.Kubernetes/connectedClusters/Read | connectedClusters を読み取ります |
| Microsoft.Kubernetes/connectedClusters/Write | connectedClusters を書き込みます |
| Microsoft.Kubernetes/connectedClusters/Delete | connectedClusters を削除します |
| Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action | clusterUser 資格情報を一覧表示します |
| Microsoft.AzureStackHCI/clusters/read | クラスターを取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Services hybrid clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5d3f1697-4507-4d08-bb4a-477695db5f82",
"name": "5d3f1697-4507-4d08-bb4a-477695db5f82",
"permissions": [
{
"actions": [
"Microsoft.HybridContainerService/Locations/operationStatuses/read",
"Microsoft.HybridContainerService/Operations/read",
"Microsoft.HybridContainerService/kubernetesVersions/read",
"Microsoft.HybridContainerService/kubernetesVersions/write",
"Microsoft.HybridContainerService/kubernetesVersions/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/read",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/write",
"Microsoft.HybridContainerService/provisionedClusterInstances/agentPools/delete",
"Microsoft.HybridContainerService/provisionedClusterInstances/upgradeProfiles/read",
"Microsoft.HybridContainerService/skus/read",
"Microsoft.HybridContainerService/skus/write",
"Microsoft.HybridContainerService/skus/delete",
"Microsoft.HybridContainerService/virtualNetworks/read",
"Microsoft.HybridContainerService/virtualNetworks/write",
"Microsoft.HybridContainerService/virtualNetworks/delete",
"Microsoft.ExtendedLocation/customLocations/deploy/action",
"Microsoft.ExtendedLocation/customLocations/read",
"Microsoft.Kubernetes/connectedClusters/Read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/Delete",
"Microsoft.Kubernetes/connectedClusters/listClusterUserCredential/action",
"Microsoft.AzureStackHCI/clusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Arc Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスター管理者ロール
クラスター管理者の資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action | 管理対象クラスターの clusterAdmin 資格情報を一覧表示します |
| Microsoft.ContainerService/managedClusters/アクセスプロファイル/リストクレデンシャル/アクション | 資格情報の一覧の取得を使用し、ロール名を指定してマネージド クラスターのアクセス プロファイルを取得します |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します |
| Microsoft.ContainerService/managedClusters/runcommand/action | マネージド Kubernetes サーバーに対してユーザーが発行したコマンドを実行します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster admin credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"name": "0ab0b1a8-8aac-4efd-b8c2-3ee1fb270be8",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action",
"Microsoft.ContainerService/managedClusters/accessProfiles/listCredential/action",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.ContainerService/managedClusters/runcommand/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Admin Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスターの監視ユーザー
クラスター監視ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action | 管理対象クラスターの clusterMonitoringUser 資格情報を一覧表示します |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster monitoring user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1afdec4b-e479-420e-99e7-f82237c7c5e6",
"name": "1afdec4b-e479-420e-99e7-f82237c7c5e6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterMonitoringUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster Monitoring User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service クラスター ユーザー ロール
クラスター ユーザーの資格情報アクションを一覧表示します。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "List cluster user credential action.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"name": "4abbcc35-e782-43d8-92c5-2d3f1bd2253f",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action",
"Microsoft.ContainerService/managedClusters/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Cluster User Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service 共同作成者ロール
Azure Kubernetes Service クラスターへの読み取りおよび書き込みアクセス権限が付与されます
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ContainerService/locations/* | ContainerService リソースから使用できる場所を読み取ります |
| Microsoft.ContainerService/managedClusters/* | マネージド クラスターを作成して管理します |
| Microsoft.ContainerService/managedclustersnapshots/* | マネージド クラスター スナップショットを作成して管理します |
| Microsoft.ContainerService/snapshots/* | スナップショットを作成して管理します |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants access to read and write Azure Kubernetes Service clusters",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"name": "ed7f3fbd-7b88-4dd4-9017-9adb7ce333f8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ContainerService/locations/*",
"Microsoft.ContainerService/managedClusters/*",
"Microsoft.ContainerService/managedclustersnapshots/*",
"Microsoft.ContainerService/snapshots/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service Contributor Role",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 管理者
リソース クォータと名前空間の更新または削除を除き、クラスターおよび名前空間のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| Microsoft.ContainerService/管理クラスタ/リソース割り当て/書き込み | resourcequotas を書き込みます |
| Microsoft.ContainerService/managedClusters/resourcequotas/delete | resourcequotas を削除します |
| Microsoft.ContainerService/managedClusters/namespaces/write | namespaces を書き込みます |
| Microsoft.ContainerService/managedClusters/namespaces/delete | 名前空間を削除します |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources under cluster/namespace, except update or delete resource quotas and namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3498e952-d568-435e-9b2c-8d77e338d7f7",
"name": "3498e952-d568-435e-9b2c-8d77e338d7f7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": [
"Microsoft.ContainerService/managedClusters/resourcequotas/write",
"Microsoft.ContainerService/managedClusters/resourcequotas/delete",
"Microsoft.ContainerService/managedClusters/namespaces/write",
"Microsoft.ContainerService/managedClusters/namespaces/delete"
]
}
],
"roleName": "Azure Kubernetes Service RBAC Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC クラスター管理者
クラスター内のすべてのリソースを管理できます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerService/managedClusters/listClusterUserCredential/action | 管理対象クラスターの clusterUser 資格情報を一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/managedClusters/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage all resources in the cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"name": "b1ff04bb-8a4e-4dc4-8eb5-8693973ce19b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerService/managedClusters/listClusterUserCredential/action"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Cluster Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC 閲覧者
名前空間内のほとんどのオブジェクトを表示するための読み取り専用アクセスが許可されます。 ロールまたはロールのバインドを表示することはできません。 このロールでは、Secrets の表示は許可されません。これは、Secrets の内容を読み取ると、名前空間の ServiceAccount 資格情報にアクセスでき、それにより名前空間の任意の ServiceAccount として API にアクセスできるようになるためです (特権エスカレーションの形式)。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/read | ステートフルセットを読み取ります |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read | horizontalpodautoscalers を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/read | cronjobs を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/jobs/read | ジョブを読み取ります |
| Microsoft.ContainerService/managedClusters/configmaps/read | configmaps を読み取ります |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/managedClusters/endpoints/read | エンドポイントを読み取ります |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/read | デーモンセットを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/deployments/read | デプロイを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/read | レプリカセットを読み取ります |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/managedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read | イングレスを読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read | networkpolicies を読み取ります |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read | persistentvolumeclaims を読み取ります |
| Microsoft.ContainerService/managedClusters/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read | poddisruptionbudgets を読み取ります |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/read | replicationcontrollers を読み取ります |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/managedClusters/serviceaccounts/read(マイクロソフト・コンテナサービス/管理されたクラスタ/サービスアカウント/読込) | serviceaccounts を読み取ります |
| Microsoft.ContainerService/managedClusters/services/read | サービスを読み取ります |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows read-only access to see most objects in a namespace. It does not allow viewing roles or role bindings. This role does not allow viewing Secrets, since reading the contents of Secrets enables access to ServiceAccount credentials in the namespace, which would allow API access as any ServiceAccount in the namespace (a form of privilege escalation). Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"name": "7f6c6a51-bcf8-42ba-9220-52d62157d7db",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/read",
"Microsoft.ContainerService/managedClusters/apps/deployments/read",
"Microsoft.ContainerService/managedClusters/apps/replicasets/read",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/read",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/read",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/read",
"Microsoft.ContainerService/managedClusters/configmaps/read",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/endpoints/read",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/read",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/read",
"Microsoft.ContainerService/managedClusters/extensions/deployments/read",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/read",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/read",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/read",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/read",
"Microsoft.ContainerService/managedClusters/pods/read",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/read",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/read",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/serviceaccounts/read",
"Microsoft.ContainerService/managedClusters/services/read"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Kubernetes Service RBAC ライター
名前空間内のほとんどのオブジェクトに対する読み取り/書き込みアクセス権限が付与されます。 このロールでは、ロールまたはロールのバインドを表示または変更することはできません。 ただし、このロールを使用すると、Secrets にアクセスし、名前空間内の任意の ServiceAccount としてポッドを実行できるので、名前空間内の任意の ServiceAccount の API アクセス レベルを取得するために使用できます。 クラスター スコープでこのロールを適用すると、すべての名前空間へのアクセス権が付与されます。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read | controllerrevisions を読み取ります |
| Microsoft.ContainerService/managedClusters/apps/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/apps/deployments/* | |
| Microsoft.ContainerService/managedClusters/apps/replicasets/* | |
| Microsoft.ContainerService/managedClusters/apps/statefulsets/* | |
| Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/* | |
| Microsoft.ContainerService/managedClusters/batch/cronjobs/* | |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read | リースを読み取ります |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write | リースを書き込みます |
| Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete | リースを削除します |
| Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read | endpointslices を読み取ります |
| Microsoft.ContainerService/managedClusters/batch/jobs/* | |
| Microsoft.ContainerService/managedClusters/configmaps/* | |
| Microsoft.ContainerService/managedClusters/endpoints/* | |
| Microsoft.ContainerService/managedClusters/events.k8s.io/events/read | イベントを読み取ります |
| Microsoft.ContainerService/managedClusters/events/* | |
| Microsoft.ContainerService/managedClusters/extensions/daemonsets/* | |
| Microsoft.ContainerService/managedClusters/extensions/deployments/* | |
| Microsoft.ContainerService/managedClusters/extensions/ingresses/* | |
| Microsoft.ContainerService/managedClusters/extensions/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/extensions/replicasets/* | |
| Microsoft.ContainerService/managedClusters/limitranges/read | limitranges を読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read | ポッドを読み取ります |
| Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read | ノードを読み取ります |
| Microsoft.ContainerService/managedClusters/namespaces/read | 名前空間を読み取ります |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/* | |
| Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/* | |
| Microsoft.ContainerService/managedClusters/persistentvolumeclaims/* | |
| Microsoft.ContainerService/managedClusters/pods/* | |
| Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/* | |
| Microsoft.ContainerService/managedClusters/replicationcontrollers/* | |
| Microsoft.ContainerService/managedClusters/resourcequotas/read | resourcequotas を読み取ります |
| Microsoft.ContainerService/managedClusters/secrets/* | |
| Microsoft.ContainerService/managedClusters/serviceaccounts/* | |
| Microsoft.ContainerService/managedClusters/services/* | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows read/write access to most objects in a namespace.This role does not allow viewing or modifying roles or role bindings. However, this role allows accessing Secrets and running Pods as any ServiceAccount in the namespace, so it can be used to gain the API access levels of any ServiceAccount in the namespace. Applying this role at cluster scope will give access across all namespaces.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"name": "a7ffa36f-339b-4b5c-8bdf-e2c188b2c0eb",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerService/managedClusters/apps/controllerrevisions/read",
"Microsoft.ContainerService/managedClusters/apps/daemonsets/*",
"Microsoft.ContainerService/managedClusters/apps/deployments/*",
"Microsoft.ContainerService/managedClusters/apps/replicasets/*",
"Microsoft.ContainerService/managedClusters/apps/statefulsets/*",
"Microsoft.ContainerService/managedClusters/autoscaling/horizontalpodautoscalers/*",
"Microsoft.ContainerService/managedClusters/batch/cronjobs/*",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/read",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/write",
"Microsoft.ContainerService/managedClusters/coordination.k8s.io/leases/delete",
"Microsoft.ContainerService/managedClusters/discovery.k8s.io/endpointslices/read",
"Microsoft.ContainerService/managedClusters/batch/jobs/*",
"Microsoft.ContainerService/managedClusters/configmaps/*",
"Microsoft.ContainerService/managedClusters/endpoints/*",
"Microsoft.ContainerService/managedClusters/events.k8s.io/events/read",
"Microsoft.ContainerService/managedClusters/events/*",
"Microsoft.ContainerService/managedClusters/extensions/daemonsets/*",
"Microsoft.ContainerService/managedClusters/extensions/deployments/*",
"Microsoft.ContainerService/managedClusters/extensions/ingresses/*",
"Microsoft.ContainerService/managedClusters/extensions/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/extensions/replicasets/*",
"Microsoft.ContainerService/managedClusters/limitranges/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/pods/read",
"Microsoft.ContainerService/managedClusters/metrics.k8s.io/nodes/read",
"Microsoft.ContainerService/managedClusters/namespaces/read",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/ingresses/*",
"Microsoft.ContainerService/managedClusters/networking.k8s.io/networkpolicies/*",
"Microsoft.ContainerService/managedClusters/persistentvolumeclaims/*",
"Microsoft.ContainerService/managedClusters/pods/*",
"Microsoft.ContainerService/managedClusters/policy/poddisruptionbudgets/*",
"Microsoft.ContainerService/managedClusters/replicationcontrollers/*",
"Microsoft.ContainerService/managedClusters/resourcequotas/read",
"Microsoft.ContainerService/managedClusters/secrets/*",
"Microsoft.ContainerService/managedClusters/serviceaccounts/*",
"Microsoft.ContainerService/managedClusters/services/*"
],
"notDataActions": []
}
],
"roleName": "Azure Kubernetes Service RBAC Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift Cloud Controller Manager
OpenShift の上に展開されたクラウド コントローラー マネージャーを管理および更新できます。
| アクション | 説明 |
|---|---|
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | ロード バランサーのバックエンド アドレス プールを接続します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します |
| Microsoft.Network/loadBalancers/write | ロード バランサーを作成するか、既存のロード バランサーを更新します |
| Microsoft.Network/networkInterfaces/read (英語) | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得します |
| Microsoft.Network/ネットワークセキュリティグループ/書き込み (write) | ネットワーク セキュリティ グループを作成するか、既存のネットワーク セキュリティ グループを更新します |
| Microsoft.Network/publicIPAddresses/join/action | パブリック IP アドレスに参加します。 警告不可能です。 |
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/publicIPAddresses/write | パブリック IP アドレスを作成するか、既存のパブリック IP アドレスを更新します。 |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/loadBalancers/inboundNatRules/join/action | ロード バランサーのインバウンド NAT 規則を接続します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/publicIPPrefixes/join/action | PublicIPPrefix を結合します。 警告不可能です。 |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | セキュリティ ルールをアプリケーション セキュリティ グループに結合します。 警告不可能です。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Manage and update the cloud controller manager deployed on top of OpenShift.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a1f96423-95ce-4224-ab27-4e3dc72facd4",
"name": "a1f96423-95ce-4224-ab27-4e3dc72facd4",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/loadBalancers/inboundNatRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/publicIPPrefixes/join/action",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cloud Controller Manager",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift クラスターイングレス オペレーター
OpenShift ルーターを管理および構成します。
| アクション | 説明 |
|---|---|
| Microsoft.Network/dnsZones/A/delete | 指定された名前の "A" タイプのレコード セットを DNS ゾーンから削除します。 |
| Microsoft.Network/dnsZones/A/write | DNS ゾーン内の "A" タイプのレコード セットを作成または更新します。 レコード セットの現在のレコードが指定されたレコードに置き換えられます。 |
| Microsoft.Network/privateDnsZones/A/delete | 指定された名前の "A" タイプのレコード セットをプライベート DNS ゾーンから削除します。 |
| Microsoft.Network/privateDnsZones/A/write | プライベート DNS ゾーン内の "A" タイプのレコード セットを作成または更新します。 レコード セットの現在のレコードが指定されたレコードに置き換えられます。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Manage and configure the OpenShift router.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0336e1d3-7a87-462b-b6db-342b63f7802c",
"name": "0336e1d3-7a87-462b-b6db-342b63f7802c",
"permissions": [
{
"actions": [
"Microsoft.Network/dnsZones/A/delete",
"Microsoft.Network/dnsZones/A/write",
"Microsoft.Network/privateDnsZones/A/delete",
"Microsoft.Network/privateDnsZones/A/write",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Cluster Ingress Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift Disk Storage オペレーター
クラスターでの Azure ディスクの使用を可能にする、Container Storage Interface (CSI) ドライバーをインストールします。 クラスター向けとして既定のストレージ クラスが存在するように、OpenShift クラスター全体のストレージの既定値を設定します。
| アクション | 説明 |
|---|---|
| Microsoft.Compute/virtualMachines/write | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write | VM スケール セット内の仮想マシンのプロパティを更新します |
| Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read | VM スケール セット内の仮想マシンのプロパティを取得します |
| Microsoft.Compute/virtualMachineScaleSets/read | 仮想マシン スケール セットのプロパティを取得します |
| Microsoft.Compute/snapshots/write | 新しいスナップショットを作成するか、既存のスナップショットを更新します |
| Microsoft.Compute/スナップショット/読み取り | スナップショットのプロパティを取得します |
| Microsoft.Compute/スナップショット/削除 | スナップショットを削除します |
| Microsoft.Compute/locations/operations/read | 非同期操作の状態を取得します |
| Microsoft.Compute/locations/DiskOperations/read | 非同期のディスク操作の状態を取得します |
| Microsoft.Compute/disks/write | 新しいディスクを作成するか、既存のディスクを更新します |
| Microsoft.Compute/disks/read | ディスクのプロパティを取得します |
| Microsoft.Compute/ディスク/削除 | ディスクを削除します |
| Microsoft.Compute/disks/beginGetAccess/action | BLOB へのアクセス用にディスクの SAS URI を取得します |
| Microsoft.Compute/diskEncryptionSets/read | ディスク暗号化セットのプロパティを取得します |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Disks. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/5b7237c5-45e1-49d6-bc18-a1f62f400748",
"name": "5b7237c5-45e1-49d6-bc18-a1f62f400748",
"permissions": [
{
"actions": [
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/write",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Compute/snapshots/write",
"Microsoft.Compute/snapshots/read",
"Microsoft.Compute/snapshots/delete",
"Microsoft.Compute/locations/operations/read",
"Microsoft.Compute/locations/DiskOperations/read",
"Microsoft.Compute/disks/write",
"Microsoft.Compute/disks/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/disks/beginGetAccess/action",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Disk Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift フェデレーション資格情報
マネージド ID、OpenID Connect (OIDC)、サービス アカウントの間に信頼関係を構築するために、ユーザー割り当てマネージド ID のフェデレーション資格情報を作成、更新、削除します。
| アクション | 説明 |
|---|---|
| Microsoft.ManagedIdentity/userAssignedIdentities/read | 既存のユーザー割り当て ID を取得します |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write | フェデレーション ID 資格情報を追加または更新する |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read | フェデレーション ID 資格情報を取得または一覧表示する |
| Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete | フェデレーション ID 資格情報を削除する |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Create, update and delete federated credentials on user assigned managed identities in order to build a trust relationship between the managed identity, OpenID Connect (OIDC), and the service account.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"name": "ef318e2a-8334-4a05-9e4a-295a196c6a6e",
"permissions": [
{
"actions": [
"Microsoft.ManagedIdentity/userAssignedIdentities/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/write",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/federatedIdentityCredentials/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Federated Credential",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift ファイル ストレージ オペレーター
クラスターでの Azure Files の使用を可能にする Container Storage Interface (CSI) ドライバーをインストールします。 クラスター向けとして既定のストレージ クラスが存在するように、OpenShift クラスター全体のストレージの既定値を設定します。
| アクション | 説明 |
|---|---|
| Microsoft.Storage/storageAccounts/delete | 既存のストレージ アカウントを削除します。 |
| Microsoft.Storage/storageAccounts/fileServices/read | ファイル サービスのプロパティを取得します |
| Microsoft.Storage/storageAccounts/fileServices/shares/delete | ファイル共有を削除します |
| Microsoft.Storage/storageAccounts/fileServices/shares/read | ファイル共有を一覧表示します |
| Microsoft.Storage/ストレージアカウント/ファイルサービス/共有/書き込み | ファイル共有を作成または更新します |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/ストレージアカウント/読み取り | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Storage/storageAccounts/write | 指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Network/routeTables/join/action | ルート テーブルを結合します。 警告不可能です。 |
| Microsoft.Network/natGateways/join/action | NAT Gateway を結合します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Install Container Storage Interface (CSI) drivers that enable your cluster to use Azure Files. Set OpenShift cluster-wide storage defaults to ensure a default storageclass exists for clusters.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0d7aedc0-15fd-4a67-a412-efad370c947e",
"name": "0d7aedc0-15fd-4a67-a412-efad370c947e",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/delete",
"Microsoft.Storage/storageAccounts/fileServices/shares/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/natGateways/join/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift File Storage Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift イメージレジストリオペレーター
OpenShift イメージ レジストリのシングルトン インスタンスを管理するための、オペレーター用のアクセス許可を有効にします。 ストレージの作成を含め、レジストリのすべての構成を管理します。
| アクション | 説明 |
|---|---|
| Microsoft.Storage/ストレージアカウント/ブロブサービス/読み取り | Blob service のプロパティまたは統計情報を返します |
| Microsoft.Storage のストレージアカウント/ブロブサービス/コンテナ/読み取り | コンテナーの一覧を返します |
| Microsoft.Storage/ストレージアカウント/ブロブサービス/コンテナ/書き込み | BLOB コンテナーのプット結果を返します |
| Microsoft.Storage/ストレージアカウント/Blobサービス/コンテナ/削除 | コンテナーを削除した結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Blob service のユーザーの委任キーを返します |
| Microsoft.Storage/ストレージアカウント/読み取り | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| Microsoft.Storage/storageAccounts/write | 指定されたパラメーターを使用してストレージ アカウントを作成するか、プロパティまたはタグを更新します。または、指定されたストレージ アカウントのカスタム ドメインを追加します。 |
| Microsoft.Storage/storageAccounts/delete | 既存のストレージ アカウントを削除します。 |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Resources/tags/write | 既存のタグを新しいタグのセットと置換またはマージするか、既存のタグを削除することによって、リソースのタグを更新します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete | BLOB を削除した結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write | BLOB の書き込みの結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read | BLOB または BLOB の一覧を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action | BLOB コンテンツを追加した結果を返します |
| Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action | パス間で BLOB を移動します |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Enables permissions for the operator to manage a singleton instance of the OpenShift image registry. It manages all configuration of the registry, including creating storage.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"name": "8b32b316-c2f5-4ddf-b05b-83dacd2d08b5",
"permissions": [
{
"actions": [
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/delete",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/delete",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Resources/tags/write"
],
"notActions": [],
"dataActions": [
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action",
"Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action"
],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Image Registry Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift マシン API オペレーター
特定用途のカスタム リソース定義 (CRD)、コントローラー、Azure RBAC オブジェクトのライフサイクルを管理します。これらは、Kubernetes API を拡張してクラスター内のマシンの目的の状態を宣言するものです。
| アクション | 説明 |
|---|---|
| Microsoft.Compute/可用性セット/削除 | 可用性セットを削除します |
| Microsoft.Compute/availabilitySets/read | 可用性セットのプロパティを取得します |
| Microsoft.Compute/availabilitySets/write | 新しい可用性セットを作成するか、既存の可用性セットを更新します |
| Microsoft.Compute/diskEncryptionSets/read | ディスク暗号化セットのプロパティを取得します |
| Microsoft.Compute/disks/delete | ディスクを削除します |
| Microsoft.Compute/galleries/images/versions/read | ギャラリー イメージ バージョンのプロパティを取得します |
| Microsoft.Compute/skus/read | サブスクリプションで使用可能な Microsoft.Compute SKU の一覧を取得します |
| Microsoft.Compute/virtualMachines/delete | 仮想マシンを削除します |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| Microsoft.Compute/virtualMachines/write | 新しい仮想マシンを作成するか、既存の仮想マシンを更新します |
| Microsoft.Compute/capacityReservationGroups/deploy/action | 容量予約グループを使用して新しい VM/VMSS をデプロイします |
| Microsoft.ManagedIdentity/userAssignedIdentities/assign/action | 既存のユーザー割り当て ID をリソースに割り当てるための RBAC アクションです |
| Microsoft.Network/applicationSecurityGroups/read | アプリケーション セキュリティ グループ ID を取得します。 |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | ロード バランサーのバックエンド アドレス プールを接続します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/read | ロード バランサー定義を取得します |
| Microsoft.Network/loadBalancers/write | ロード バランサーを作成するか、既存のロード バランサーを更新します |
| Microsoft.Network/networkInterfaces/削除 | ネットワーク インターフェイスを削除します |
| Microsoft.Network/networkInterfaces/join/action | 仮想マシンをネットワーク インターフェイスに接続します。 警告不可能です。 |
| Microsoft.Network/networkInterfaces/loadBalancers/read | ネットワーク インターフェイスが含まれているすべてのロード バランサーを取得します |
| Microsoft.Network/networkInterfaces/read (英語) | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/networkSecurityGroups/read | ネットワーク セキュリティ グループの定義を取得します |
| Microsoft.Network/ネットワークセキュリティグループ/書き込み (write) | ネットワーク セキュリティ グループを作成するか、既存のネットワーク セキュリティ グループを更新します |
| Microsoft.Network/publicIPAddresses/delete | パブリック IP アドレスを削除します。 |
| Microsoft.Network/publicIPAddresses/join/action | パブリック IP アドレスに参加します。 警告不可能です。 |
| Microsoft.Network/publicIPAddresses/read | パブリック IP アドレス定義を取得します。 |
| Microsoft.Network/publicIPAddresses/write | パブリック IP アドレスを作成するか、既存のパブリック IP アドレスを更新します。 |
| Microsoft.Network/routeTables/read | ルート テーブルの定義を取得します |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action | セキュリティ ルールをアプリケーション セキュリティ グループに結合します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action | ロード バランサーのフロントエンド IP 構成を結合します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/inboundNATRules/join/action | ロード バランサーのインバウンド NAT 規則を接続します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Manage the lifecycle of specific-purpose custom resource definitions (CRD), controllers, and Azure RBAC objects that extend the Kubernetes API to declares the desired state of machines in a cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0358943c-7e01-48ba-8889-02cc51d78637",
"name": "0358943c-7e01-48ba-8889-02cc51d78637",
"permissions": [
{
"actions": [
"Microsoft.Compute/availabilitySets/delete",
"Microsoft.Compute/availabilitySets/read",
"Microsoft.Compute/availabilitySets/write",
"Microsoft.Compute/diskEncryptionSets/read",
"Microsoft.Compute/disks/delete",
"Microsoft.Compute/galleries/images/versions/read",
"Microsoft.Compute/skus/read",
"Microsoft.Compute/virtualMachines/delete",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.Compute/virtualMachines/write",
"Microsoft.Compute/capacityReservationGroups/deploy/action",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action",
"Microsoft.Network/applicationSecurityGroups/read",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/networkInterfaces/delete",
"Microsoft.Network/networkInterfaces/join/action",
"Microsoft.Network/networkInterfaces/loadBalancers/read",
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/routeTables/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action",
"Microsoft.Network/loadBalancers/frontendIPConfigurations/join/action",
"Microsoft.Network/loadBalancers/inboundNATRules/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Machine API Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift ネットワーク オペレーター
OpenShift クラスターにネットワーク コンポーネントをインストールしてアップグレードできます。
| アクション | 説明 |
|---|---|
| Microsoft.Network/networkInterfaces/read (英語) | ネットワーク インターフェイスの定義を取得します。 |
| Microsoft.Network/networkInterfaces/write | ネットワーク インターフェイスを作成するか、既存のネットワーク インターフェイスを更新します。 |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します |
| Microsoft.Network/virtualNetworks/subnets/join/action | 仮想ネットワークに参加します。 警告不可能です。 |
| Microsoft.Network/loadBalancers/backendAddressPools/join/action | ロード バランサーのバックエンド アドレス プールを接続します。 警告不可能です。 |
| Microsoft.Network/ロードバランサー/バックエンドアドレスプール/読み取り | ロード バランサーのバックエンド アドレス プールの定義を取得します |
| Microsoft.Compute/仮想マシン/読む | 仮想マシンのプロパティを取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Install and upgrade the networking components on an OpenShift cluster.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/be7a6435-15ae-4171-8f30-4a343eff9e8f",
"name": "be7a6435-15ae-4171-8f30-4a343eff9e8f",
"permissions": [
{
"actions": [
"Microsoft.Network/networkInterfaces/read",
"Microsoft.Network/networkInterfaces/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/read",
"Microsoft.Compute/virtualMachines/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Network Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Azure Red Hat OpenShift サービス オペレーター
OpenShift クラスターのマネージド サービスとして継続する機能に固有な、マシンの正常性、ネットワーク構成、監視、その他の機能を維持します。
| アクション | 説明 |
|---|---|
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Network/natGateways/join/action | NAT Gateway を結合します |
| Microsoft.Network/routeTables/join/action | ルート テーブルを結合します。 警告不可能です。 |
| Microsoft.Network/networkSecurityGroups/join/action | ネットワーク セキュリティ グループに参加します。 警告不可能です。 |
| Microsoft.Storage/storageAccounts/listKeys/action | 指定されたストレージ アカウントのアクセス キーを返します。 |
| Microsoft.Storage/ストレージアカウント/読み取り | ストレージ アカウントの一覧を返すか、指定されたストレージ アカウントのプロパティを取得します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Maintain machine health, network configuration, monitoring, and other features that are specific to an OpenShift cluster's continued functionality as a managed service.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4436bae4-7702-4c84-919b-c4069ff25ee2",
"name": "4436bae4-7702-4c84-919b-c4069ff25ee2",
"permissions": [
{
"actions": [
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/natGateways/join/action",
"Microsoft.Network/routeTables/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Azure Red Hat OpenShift Service Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
接続済みクラスターマネージド ID の CheckAccess 閲覧者
接続済みクラスターのマネージド ID による checkAccess API 呼び出しを許可する組み込みロール
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Built-in role that allows a Connected Cluster managed identity to call the checkAccess API",
"id": "/providers/Microsoft.Authorization/roleDefinitions/65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"name": "65a14201-8f6c-4c28-bec4-12619c5a9aaa",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Connected Cluster Managed Identity CheckAccess Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ConnectedEnvironments 共同作成者
作成、削除、更新など、Container Apps ConnectedEnvironments の完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/connectedEnvironments/* | |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/*/write | |
| Microsoft.App/connectedEnvironments/*/delete | |
| Microsoft.App/connectedEnvironments/*/action | |
| Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action | Dapr コンポーネントのリストシークレット |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ConnectedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"name": "6f4fe6fc-f04f-4d97-8528-8bc18c848dca",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/connectedEnvironments/*",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/*/write",
"Microsoft.App/connectedEnvironments/*/delete",
"Microsoft.App/connectedEnvironments/*/action",
"Microsoft.App/connectedEnvironments/daprComponents/listSecrets/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ConnectedEnvironments 閲覧者
Container Apps ConnectedEnvironments への読み取りアクセス。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.App/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read access to Container Apps ConnectedEnvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"name": "d5adeb5b-107f-4aca-99ea-4e3f4fc008d5",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ConnectedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps 共同作成者
作成、削除、更新など、Container Apps の完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/write | |
| Microsoft.App/containerApps/*/削除 | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | マネージド環境を取得する |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedEnvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| Microsoft.App/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/358470bc-b998-42bd-ab17-a7e34c199c0f",
"name": "358470bc-b998-42bd-ab17-a7e34c199c0f",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/write",
"Microsoft.App/containerApps/*/delete",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ジョブ共同作成者
作成、削除、更新など、Container Apps ジョブの完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| microsoft.app/jobs/read | Container Apps ジョブを取得します |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.App/jobs/write | Container Apps ジョブを作成または更新します |
| Microsoft.App/jobs/delete | Container Apps ジョブを削除します |
| Microsoft.app/managedenvironments/read | マネージド環境を取得する |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedenvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| Microsoft.app/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps jobs, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"name": "4e3d2b60-56ae-4dc6-a233-09c8e5a82e68",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.App/jobs/write",
"Microsoft.App/jobs/delete",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナーアプリジョブオペレーター
Container Apps ジョブの読み取り、開始、停止。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| microsoft.app/jobs/read | Container Apps ジョブを取得します |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/jobs/*/action | |
| Microsoft.app/managedenvironments/read | マネージド環境を取得する |
| Microsoft.App/managedenvironments/*/read | |
| Microsoft.App/managedenvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedenvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| Microsoft.app/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.App/jobs/logstream/action | コンテナー アプリ ジョブのログ ストリームを表示します |
| Microsoft.App/jobs/exec/action | コンテナー アプリ ジョブのコンソールに接続します |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read, start, and stop Container Apps jobs.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"name": "b9a307c4-5aa3-4b52-ba60-2b17c136cd7b",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/jobs/*/action",
"Microsoft.app/managedenvironments/read",
"Microsoft.App/managedenvironments/*/read",
"Microsoft.App/managedenvironments/join/action",
"Microsoft.App/managedenvironments/checknameavailability/action",
"Microsoft.app/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/jobs/logstream/action",
"Microsoft.App/jobs/exec/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ジョブ閲覧者
ContainerApps ジョブへの読み取りアクセス
| アクション | 説明 |
|---|---|
| microsoft.app/jobs/read | Container Apps ジョブを取得します |
| Microsoft.App/jobs/*/read | |
| Microsoft.App/managedenvironments/read | マネージド環境を取得する |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps jobs",
"id": "/providers/Microsoft.Authorization/roleDefinitions/edd66693-d32a-450b-997d-0158c03976b0",
"name": "edd66693-d32a-450b-997d-0158c03976b0",
"permissions": [
{
"actions": [
"microsoft.app/jobs/read",
"Microsoft.App/jobs/*/read",
"Microsoft.App/managedenvironments/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps Jobs Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ManagedEnvironments 共同作成者
作成、削除、更新など、Container Apps ManagedEnvironments の完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/*/write | |
| Microsoft.App/managedEnvironments/*/delete | |
| Microsoft.App/managedEnvironments/*/action | |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps ManagedEnvironments, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/57cc5028-e6a7-4284-868d-0611c5923f8d",
"name": "57cc5028-e6a7-4284-868d-0611c5923f8d",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/*/write",
"Microsoft.App/managedEnvironments/*/delete",
"Microsoft.App/managedEnvironments/*/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps ManagedEnvironments 閲覧者
ContainerApps managedenvironments への読み取りアクセス。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/managedEnvironments/*/read | |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps managedenvironments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"name": "1b32c00b-7eff-4c22-93e6-93d11d72d2d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/managedEnvironments/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps ManagedEnvironments Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps オペレーター
ログストリームの読み取りと、Container Apps 内での実行。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/containerApps/*/read | |
| Microsoft.App/containerApps/*/action | |
| Microsoft.App/managedEnvironments/read | マネージド環境を取得する |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedEnvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| Microsoft.App/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.App/containerApps/logstream/action | コンテナー アプリのログ ストリームを表示します |
| Microsoft.App/containerApps/exec/action | コンテナー アプリのコンソールに接続します |
| Microsoft.App/containerApps/debug/action | コンテナー アプリのデバッグ コンソールに接続します |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read, logstream and exec into Container Apps.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"name": "f3bd1b5c-91fa-40e7-afe7-0c11d331232c",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/containerApps/*/read",
"Microsoft.App/containerApps/*/action",
"Microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"Microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action"
],
"notActions": [],
"dataActions": [
"Microsoft.App/containerApps/logstream/action",
"Microsoft.App/containerApps/exec/action",
"Microsoft.App/containerApps/debug/action"
],
"notDataActions": []
}
],
"roleName": "Container Apps Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps SessionPools 共同作成者
作成、削除、更新など、Container Apps SessionPools の完全な管理。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/sessionPools/*/read | |
| Microsoft.App/sessionPools/*/write | |
| Microsoft.App/sessionPools/*/delete | |
| Microsoft.App/sessionPools/*/action | |
| microsoft.App/managedEnvironments/read | マネージド環境を取得する |
| Microsoft.App/managedEnvironments/*/read | |
| Microsoft.App/managedEnvironments/join/action | マネージド環境でコンテナー アプリを作成できます |
| Microsoft.App/managedEnvironments/checknameavailability/action | マネージド環境のリソース名の可用性を確認します |
| microsoft.App/connectedEnvironments/read | Connected Environment を取得します |
| Microsoft.App/connectedEnvironments/*/read | |
| Microsoft.App/connectedEnvironments/join/action | Connected Environment にコンテナー アプリまたは Container Apps ジョブを作成することを許可します |
| Microsoft.App/connectedEnvironments/checknameavailability/action | Connected Environment のリソース名の使用可否を確認します |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Full management of Container Apps SessionPools, including creation, deletion, and updates.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"name": "f7669afb-68b2-44b4-9c5f-6d2a47fddda0",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read",
"Microsoft.App/sessionPools/*/write",
"Microsoft.App/sessionPools/*/delete",
"Microsoft.App/sessionPools/*/action",
"microsoft.App/managedEnvironments/read",
"Microsoft.App/managedEnvironments/*/read",
"Microsoft.App/managedEnvironments/join/action",
"Microsoft.App/managedEnvironments/checknameavailability/action",
"microsoft.App/connectedEnvironments/read",
"Microsoft.App/connectedEnvironments/*/read",
"Microsoft.App/connectedEnvironments/join/action",
"Microsoft.App/connectedEnvironments/checknameavailability/action",
"Microsoft.Resources/deployments/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Apps SessionPools 閲覧者
ContainerApps セッションプールへの読み取りアクセス。
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.App/sessionPools/*/read | |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read access to ContainerApps sessionpools.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/af61e8fc-2633-4b95-bed3-421ad6826515",
"name": "af61e8fc-2633-4b95-bed3-421ad6826515",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.App/sessionPools/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Apps SessionPools Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナレジストリキャッシュルール管理者
コンテナー レジストリでキャッシュ 規則を作成、読み取り、更新、および削除します。 このロールでは、資格情報セットを管理するためのアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | 指定したキャッシュ ルールのプロパティを取得するか、指定したコンテナー レジストリのすべてのキャッシュ ルールを一覧表示します |
| Microsoft.ContainerRegistry/registries/cacheRules/write | 指定されたパラメーターでコンテナー レジストリのキャッシュ ルールを作成または更新します |
| Microsoft.ContainerRegistry/registries/cacheRules/delete | コンテナー レジストリからキャッシュ ルールを削除します |
| Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read | キャッシュ ルールの非同期操作の状態を取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Cache Rules in Container Registry. This role doesn't grant permissions to manage Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/df87f177-bb12-4db1-9793-a413691eff94",
"name": "df87f177-bb12-4db1-9793-a413691eff94",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read",
"Microsoft.ContainerRegistry/registries/cacheRules/write",
"Microsoft.ContainerRegistry/registries/cacheRules/delete",
"Microsoft.ContainerRegistry/registries/cacheRules/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナ・レジストリ・キャッシュ・ルール・リーダー
コンテナー レジストリのキャッシュ 規則の構成を読み取ります。 このアクセス許可では、資格情報セットを読み取るアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/cacheRules/read | 指定したキャッシュ ルールのプロパティを取得するか、指定したコンテナー レジストリのすべてのキャッシュ ルールを一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Cache Rules in Container Registry. This permission doesn't grant permission to read Credential Sets.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/c357b964-0002-4b64-a50d-7a28f02edc52",
"name": "c357b964-0002-4b64-a50d-7a28f02edc52",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/cacheRules/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Cache Rule Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry 構成閲覧者およびデータ アクセス構成閲覧者
コンテナー レジストリとレジストリ構成プロパティを一覧表示するアクセス許可が付与されます。 管理者ユーザーの資格情報、スコープ マップ、トークンなど、データ アクセス構成を一覧表示するアクセス許可が付与されます。これは、リポジトリとイメージの読み取り、書き込み、削除に使用できます。 リポジトリやイメージを含むレジストリ コンテンツの読み取り、リスト化、または書き込みを行う直接のアクセス許可は付与されません。 インポート、アーティファクト キャッシュまたは同期、転送パイプラインなどのデータ プレーン コンテンツを変更するためのアクセス許可は付与されません。 タスクを管理するためのアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/operationStatuses/read | レジストリの非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | プライベート エンドポイント接続のプロパティ、または指定されたコンテナー レジストリのすべてのプライベート エンドポイント接続の一覧を取得します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | プライベート エンドポイント接続の非同期操作状態を取得します |
| Microsoft.ContainerRegistry/registries/listCredentials/action | 指定されたコンテナー レジストリのログイン資格情報を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tokens/read | 指定したトークンのプロパティを取得するか、指定したコンテナー レジストリのすべてのトークンを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | トークンの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | 指定したスコープ マップのプロパティを取得するか、指定したコンテナー レジストリのすべてのスコープ マップを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | スコープ マップの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/webhooks/read | 指定された webhook のプロパティを取得するか、指定されたコンテナー レジストリのすべての webhook を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | webhook のサービス URI とカスタム ヘッダーの構成を取得します。 |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | 指定された webhook の最近のイベントを一覧表示します。 |
| Microsoft.ContainerRegistry/レジストリ/webhooks/オペレーションステータス/読み取り | webhook の非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/replications/read | 指定されたレプリケーションのプロパティを取得するか、指定されたコンテナー レジストリのすべてのレプリケーションを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | レプリケーションの非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | 指定された接続先レジストリのプロパティを取得するか、指定されたコンテナー レジストリのすべての接続先レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | リソースの診断設定を取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | リソースの診断設定を作成または更新します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Microsoft ContainerRegistry の利用可能なログを取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Microsoft ContainerRegistry の使用可能なメトリックを取得します |
| Microsoft.Insights/アラートルール/書き込み | クラシック メトリック アラートを作成または更新します |
| Microsoft.Insights/AlertRules/Delete | クラシック メトリック アラートを削除します |
| Microsoft.Insights/AlertRules/Read | クラシック メトリック アラートを読み取ります |
| Microsoft.Insights/AlertRules/Activated/Action | クラシック メトリック アラートがアクティブ化されました |
| Microsoft.Insights/AlertRules/Resolved/Action | クラシック メトリック アラートが解決されました |
| Microsoft.Insights/AlertRules/Throttled/Action | クラシック メトリック アラート ルールが調整されました |
| Microsoft.Insights/AlertRules/Incidents/Read | クラシック メトリック アラートのインシデントを読み取ります |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to list container registries and registry configuration properties. Provides permissions to list data access configuration such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/69b07be0-09bf-439a-b9a6-e73de851bd59",
"name": "69b07be0-09bf-439a-b9a6-e73de851bd59",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Configuration Reader and Data Access Configuration Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry 共同作成者およびデータ アクセス構成管理者
コンテナー レジストリとレジストリ構成プロパティを作成、リスト化、更新するアクセス許可が付与されます。 管理者ユーザーの資格情報、スコープ マップ、トークンなどのデータ アクセスを構成するアクセス許可が付与されます。これは、リポジトリとイメージの読み取り、書き込み、または削除に使用できます。 リポジトリやイメージを含むレジストリ コンテンツの読み取り、リスト化、または書き込みを行う直接のアクセス許可は付与されません。 インポート、アーティファクト キャッシュまたは同期、転送パイプラインなどのデータ プレーン コンテンツを変更するためのアクセス許可は付与されません。 タスクを管理するためのアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerRegistry/registries/operationStatuses/read | レジストリの非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/write | 指定されたパラメーターでコンテナー レジストリを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/delete | コンテナー レジストリを削除します。 |
| Microsoft.ContainerRegistry/registries/listCredentials/action | 指定されたコンテナー レジストリのログイン資格情報を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/regenerateCredential/action | 指定されたコンテナー レジストリのログイン資格情報の 1 つを再生成します。 |
| Microsoft.ContainerRegistry/registries/generateCredentials/action | 指定されたコンテナー レジストリのトークンのキーを生成します。 |
| Microsoft.ContainerRegistry/registries/replications/read | 指定されたレプリケーションのプロパティを取得するか、指定されたコンテナー レジストリのすべてのレプリケーションを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/replications/write | 指定されたパラメーターでコンテナー レジストリのレプリケーションを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/replications/delete | コンテナー レジストリからレプリケーションを削除します。 |
| Microsoft.ContainerRegistry/registries/replications/operationStatuses/read | レプリケーションの非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/プライベートエンドポイント接続承認/action | プライベート エンドポイント接続を自動的に承認します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/read | プライベート エンドポイント接続のプロパティ、または指定されたコンテナー レジストリのすべてのプライベート エンドポイント接続の一覧を取得します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/write | プライベート エンドポイント接続を承認/拒否します |
| Microsoft.ContainerRegistry/レジストリ/プライベートエンドポイント接続/削除 | プライベート エンドポイント接続を削除します |
| Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read | プライベート エンドポイント接続の非同期操作状態を取得します |
| Microsoft.ContainerRegistry/registries/tokens/read | 指定したトークンのプロパティを取得するか、指定したコンテナー レジストリのすべてのトークンを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tokens/write | 指定されたパラメーターでコンテナー レジストリのトークンを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/tokens/delete | コンテナー レジストリからトークンを削除します。 |
| Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read | トークンの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/read | 指定したスコープ マップのプロパティを取得するか、指定したコンテナー レジストリのすべてのスコープ マップを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/write | 指定されたパラメーターでコンテナー レジストリのスコープ マップを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/delete | コンテナー レジストリからスコープ マップを削除します。 |
| Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read | スコープ マップの非同期操作の状態を取得します。 |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read | リソースの診断設定を取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write | リソースの診断設定を作成または更新します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read | Microsoft ContainerRegistry の利用可能なログを取得します |
| Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read | Microsoft ContainerRegistry の使用可能なメトリックを取得します |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.ContainerRegistry/registries/connectedRegistries/read | 指定された接続先レジストリのプロパティを取得するか、指定されたコンテナー レジストリのすべての接続先レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/write | 指定されたパラメーターでコンテナー レジストリの接続先レジストリを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/delete | コンテナー レジストリから接続先レジストリを削除します。 |
| Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action | コンテナー レジストリから接続されたレジストリを非アクティブ化します |
| Microsoft.ContainerRegistry/registries/webhooks/read | 指定された webhook のプロパティを取得するか、指定されたコンテナー レジストリのすべての webhook を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/webhooks/write | 指定されたパラメーターでコンテナー レジストリの webhook を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/webhooks/delete | コンテナー レジストリから webhook を削除します。 |
| Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action | webhook のサービス URI とカスタム ヘッダーの構成を取得します。 |
| Microsoft.ContainerRegistry/registries/webhooks/ping/action | webhook に送信される ping イベントをトリガーします。 |
| Microsoft.ContainerRegistry/registries/webhooks/listEvents/action | 指定された webhook の最近のイベントを一覧表示します。 |
| Microsoft.ContainerRegistry/レジストリ/webhooks/オペレーションステータス/読み取り | webhook の非同期操作の状態を取得します |
| Microsoft.Insights/アラートルール/書き込み | クラシック メトリック アラートを作成または更新します |
| Microsoft.Insights/AlertRules/Delete | クラシック メトリック アラートを削除します |
| Microsoft.Insights/AlertRules/Read | クラシック メトリック アラートを読み取ります |
| Microsoft.Insights/AlertRules/Activated/Action | クラシック メトリック アラートがアクティブ化されました |
| Microsoft.Insights/AlertRules/Resolved/Action | クラシック メトリック アラートが解決されました |
| Microsoft.Insights/AlertRules/Throttled/Action | クラシック メトリック アラート ルールが調整されました |
| Microsoft.Insights/AlertRules/Incidents/Read | クラシック メトリック アラートのインシデントを読み取ります |
| Microsoft.ContainerRegistry/locations/operationResults/read | 非同期操作の結果を取得します |
| Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action | ストレージ アカウントや SQL Database などのリソースをサブネットに結合します。 警告不可能です。 |
| Microsoft.Network/virtualNetworks/subnets/read | 仮想ネットワーク サブネットの定義を取得します |
| Microsoft.Network/仮想ネットワーク/サブネット/書き込み | 仮想ネットワーク サブネットを作成するか、既存の仮想ネットワーク サブネットを更新します |
| Microsoft.Network/virtualNetworks/read | 仮想ネットワークの定義を取得します |
| Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write | 新しいプライベート リンク サービス プロキシを作成するか、または既存のプライベート リンク サービス プロキシを更新します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to create, list, and update container registries and registry configuration properties. Provides permissions to configure data access such as admin user credentials, scope maps, and tokens, which can be used to read, write or delete repositories and images. Does not provide direct permissions to read, list, or write registry contents including repositories and images. Does not provide permissions to modify data plane content such as imports, Artifact Cache or Sync, and Transfer Pipelines. Does not provide permissions for managing Tasks.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3bc748fc-213d-45c1-8d91-9da5725539b9",
"name": "3bc748fc-213d-45c1-8d91-9da5725539b9",
"permissions": [
{
"actions": [
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/write",
"Microsoft.ContainerRegistry/registries/delete",
"Microsoft.ContainerRegistry/registries/listCredentials/action",
"Microsoft.ContainerRegistry/registries/regenerateCredential/action",
"Microsoft.ContainerRegistry/registries/generateCredentials/action",
"Microsoft.ContainerRegistry/registries/replications/read",
"Microsoft.ContainerRegistry/registries/replications/write",
"Microsoft.ContainerRegistry/registries/replications/delete",
"Microsoft.ContainerRegistry/registries/replications/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnectionsApproval/action",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/read",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/write",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/delete",
"Microsoft.ContainerRegistry/registries/privateEndpointConnections/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tokens/read",
"Microsoft.ContainerRegistry/registries/tokens/write",
"Microsoft.ContainerRegistry/registries/tokens/delete",
"Microsoft.ContainerRegistry/registries/tokens/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/read",
"Microsoft.ContainerRegistry/registries/scopeMaps/write",
"Microsoft.ContainerRegistry/registries/scopeMaps/delete",
"Microsoft.ContainerRegistry/registries/scopeMaps/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/diagnosticSettings/write",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/logDefinitions/read",
"Microsoft.ContainerRegistry/registries/providers/Microsoft.Insights/metricDefinitions/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Authorization/*/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/read",
"Microsoft.ContainerRegistry/registries/connectedRegistries/write",
"Microsoft.ContainerRegistry/registries/connectedRegistries/delete",
"Microsoft.ContainerRegistry/registries/connectedRegistries/deactivate/action",
"Microsoft.ContainerRegistry/registries/webhooks/read",
"Microsoft.ContainerRegistry/registries/webhooks/write",
"Microsoft.ContainerRegistry/registries/webhooks/delete",
"Microsoft.ContainerRegistry/registries/webhooks/getCallbackConfig/action",
"Microsoft.ContainerRegistry/registries/webhooks/ping/action",
"Microsoft.ContainerRegistry/registries/webhooks/listEvents/action",
"Microsoft.ContainerRegistry/registries/webhooks/operationStatuses/read",
"Microsoft.Insights/AlertRules/Write",
"Microsoft.Insights/AlertRules/Delete",
"Microsoft.Insights/AlertRules/Read",
"Microsoft.Insights/AlertRules/Activated/Action",
"Microsoft.Insights/AlertRules/Resolved/Action",
"Microsoft.Insights/AlertRules/Throttled/Action",
"Microsoft.Insights/AlertRules/Incidents/Read",
"Microsoft.ContainerRegistry/locations/operationResults/read",
"Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
"Microsoft.Network/virtualNetworks/subnets/read",
"Microsoft.Network/virtualNetworks/subnets/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/privateEndpoints/privateLinkServiceProxies/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Contributor and Data Access Configuration Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Credential Set 管理者
コンテナー レジストリで資格情報セットを作成、読み取り、更新、および削除します。 このロールは、Azure Key Vault 内にコンテンツを格納するために必要なアクセス許可には影響しません。 このロールでは、キャッシュ ルールを管理するためのアクセス許可も付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | 指定した資格情報セットのプロパティを取得するか、指定したコンテナー レジストリのすべての資格情報セットを一覧表示します |
| Microsoft.ContainerRegistry/registries/credentialSets/write | 指定されたパラメーターでコンテナー レジストリの資格情報 セットを作成または更新します |
| Microsoft.ContainerRegistry/registries/credentialSets/delete | コンテナー レジストリから資格情報 セットを削除します |
| Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read | 資格情報セットの非同期操作の状態を取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Create, Read, Update, and Delete Credential Sets in Container Registry. This role doesn't affect the needed permissions for storing content inside Azure Key Vault. This role also doesn't grant permissions to manage Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f094fb07-0703-4400-ad6a-e16dd8000e14",
"name": "f094fb07-0703-4400-ad6a-e16dd8000e14",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read",
"Microsoft.ContainerRegistry/registries/credentialSets/write",
"Microsoft.ContainerRegistry/registries/credentialSets/delete",
"Microsoft.ContainerRegistry/registries/credentialSets/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry Credential Set 閲覧者
コンテナー レジストリの資格情報セットの構成を読み取ります。 このアクセス許可では、Azure Key Vault のコンテンツを表示することはできず、Container Registry 内のコンテンツのみを表示できます。 このアクセス許可では、キャッシュ ルールを読み取るアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/credentialSets/read | 指定した資格情報セットのプロパティを取得するか、指定したコンテナー レジストリのすべての資格情報セットを一覧表示します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Read the configuration of Credential Sets in Container Registry. This permission doesn't allow permission to see content inside Azure Key vault only the content inside Container Registry. This permission doesn't grant permission to read Cache Rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/29093635-9924-4f2c-913b-650a12949526",
"name": "29093635-9924-4f2c-913b-650a12949526",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/credentialSets/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Credential Set Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry データ インポーターおよびデータ閲覧者
レジストリのインポート操作を通じてレジストリにイメージをインポートすることができます。 リポジトリのリスト化、イメージとタグの表示、マニフェストの取得、イメージのプルを行うことができます。 インポート パイプラインやエクスポート パイプラインなど、レジストリ転送パイプラインを構成してイメージをインポートするアクセス許可は付与されません。 アーティファクト キャッシュまたは同期ルールを構成してインポートするアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/importImage/action | 指定されたパラメーターを使用して、コンテナー レジストリにイメージをインポートします。 |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/pull/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/catalog/read | コンテナー レジストリ内のリポジトリを一覧表示します。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to import images into a registry through the registry import operation. Provides the ability to list repositories, view images and tags, get manifests, and pull images. Does not provide permissions for importing images through configuring registry transfer pipelines such as import and export pipelines. Does not provide permissions for importing through configuring Artifact Cache or Sync rules.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"name": "577a9874-89fd-4f24-9dbd-b5034d0ad23a",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/importImage/action",
"Microsoft.ContainerRegistry/registries/read",
"Microsoft.ContainerRegistry/registries/pull/read"
],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Data Importer and Data Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナ・レジストリ・リポジトリ・カタログ・リスター
Azure Container Registry 内のすべてのリポジトリを一覧表示できます。 このロールはプレビュー段階にあり、変更される可能性があります。
| アクション | 説明 |
|---|---|
| "なし" | |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/catalog/read | コンテナー レジストリ内のリポジトリを一覧表示します。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows for listing all repositories in an Azure Container Registry. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"name": "bfdb9389-c9a5-478a-bb2f-ba9ca092c3c7",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/catalog/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Catalog Lister",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナレジストリリポジトリの寄稿者
カタログの一覧表示を除き、Azure Container Registry リポジトリに対する読み取り、書き込み、削除アクセス権限が付与されます。 このロールはプレビュー段階にあり、変更される可能性があります。
| アクション | 説明 |
|---|---|
| "なし" | |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | コンテナー レジストリのリポジトリのメタデータを更新します |
| Microsoft.ContainerRegistry/registries/repositories/content/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/delete | コンテナー レジストリのリポジトリのメタデータを削除します |
| Microsoft.ContainerRegistry/registries/repositories/content/delete | コンテナー レジストリの成果物を削除します。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows for read, write, and delete access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"name": "2efddaa5-3f1f-4df3-97df-af3f13818f4c",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write",
"Microsoft.ContainerRegistry/registries/repositories/metadata/delete",
"Microsoft.ContainerRegistry/registries/repositories/content/delete"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナレジストリリポジトリリーダー
カタログの一覧表示を除き、Azure Container Registry リポジトリに対する読み取りアクセスが付与されます。 このロールはプレビュー段階にあり、変更される可能性があります。
| アクション | 説明 |
|---|---|
| "なし" | |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows for read access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b93aa761-3e63-49ed-ac28-beffa264f7ac",
"name": "b93aa761-3e63-49ed-ac28-beffa264f7ac",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry リポジトリ ライター
カタログの一覧表示を除き、Azure Container Registry リポジトリに対する読み取り、書き込みアクセス権限が付与されます。 このロールはプレビュー段階にあり、変更される可能性があります。
| アクション | 説明 |
|---|---|
| "なし" | |
| NotActions | |
| "なし" | |
| データアクション | |
| Microsoft.ContainerRegistry/registries/repositories/metadata/read | コンテナー レジストリの特定のリポジトリのメタデータを取得します |
| Microsoft.ContainerRegistry/registries/repositories/content/read | コンテナー レジストリからイメージをプルまたは取得します。 |
| Microsoft.ContainerRegistry/registries/repositories/metadata/write | コンテナー レジストリのリポジトリのメタデータを更新します |
| Microsoft.ContainerRegistry/registries/repositories/content/write | コンテナー レジストリにイメージをプッシュするか書き込みます。 |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Allows for read and write access to Azure Container Registry repositories, but excluding catalog listing. This role is in preview and subject to change.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/2a1e307c-b015-4ebd-883e-5b7698a07328",
"name": "2a1e307c-b015-4ebd-883e-5b7698a07328",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.ContainerRegistry/registries/repositories/metadata/read",
"Microsoft.ContainerRegistry/registries/repositories/content/read",
"Microsoft.ContainerRegistry/registries/repositories/metadata/write",
"Microsoft.ContainerRegistry/registries/repositories/content/write"
],
"notDataActions": []
}
],
"roleName": "Container Registry Repository Writer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
コンテナレジストリタスク貢献者
Container Registry タスク、タスク実行、タスク ログ、クイック実行、クイック ビルド、タスク エージェント プールを構成、読み取り、リスト、トリガー、またはキャンセルするアクセス許可が付与されます。 タスク管理に付与されるアクセス許可は、レジストリ内のコンテナー イメージの読み取り、書き込み、削除を含む、レジストリのデータ プレーン全体に対するアクセス許可として使用できます。 また、タスク管理に付与されるアクセス許可は、顧客が作成したビルド ディレクティブの実行や、ソフトウェア成果物をビルドするスクリプトの実行に使用できます。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/agentpools/read | コンテナー レジストリの agentpool を取得するか、すべての agentpool を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/agentpools/write | コンテナー レジストリの agentpool を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/agentpools/delete | コンテナー レジストリの agentpool を削除します。 |
| Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action | コンテナー レジストリの agentpool のすべてのキューの状態を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read | agentpool の非同期操作の結果の状態を取得します |
| Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read | agentpool の非同期操作の状態を取得します |
| Microsoft.ContainerRegistry/registries/tasks/read | コンテナー レジストリに対するタスクを取得するか、すべてのタスクを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/tasks/write | コンテナー レジストリに対するタスクを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/tasks/delete | コンテナー レジストリに対するタスクを削除します。 |
| Microsoft.ContainerRegistry/registries/tasks/listDetails/action | コンテナー レジストリに対するタスクの詳細を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/scheduleRun/action | コンテナー レジストリに対する実行をスケジュールします。 |
| Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action | コンテナー レジストリのソース アップロード URL の場所を取得します。 |
| Microsoft.ContainerRegistry/registries/runs/read | コンテナー レジストリに対する実行のプロパティを取得するか、実行を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/runs/write | 実行を更新します。 |
| Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action | 実行のログ SAS URL を取得します。 |
| Microsoft.ContainerRegistry/registries/runs/cancel/action | 既存の実行をキャンセルします。 |
| Microsoft.ContainerRegistry/registries/taskruns/read | コンテナー レジストリに対するタスク実行を取得するか、すべてのタスク実行を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/taskruns/write | コンテナー レジストリのタスク実行を作成または更新します。 |
| Microsoft.ContainerRegistry/レジストリ/タスクラン/削除 | コンテナー レジストリのタスク実行を削除します。 |
| Microsoft.ContainerRegistry/registries/taskruns/listDetails/action | コンテナー レジストリに対するタスク実行のすべての詳細を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read | taskrun の非同期操作状態を取得します |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.ContainerRegistry/registries/read | 指定されたコンテナー レジストリのプロパティを取得するか、指定されたリソース グループまたはサブスクリプションのすべてのコンテナー レジストリを一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides permissions to configure, read, list, trigger, or cancel Container Registry Tasks, Task Runs, Task Logs, Quick Runs, Quick Builds, and Task Agent Pools. Permissions granted for Tasks management can be used for full registry data plane permissions including reading/writing/deleting container images in registries. Permissions granted for Tasks management can also be used to run customer authored build directives and run scripts to build software artifacts.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb382eab-e894-4461-af04-94435c366c3f",
"name": "fb382eab-e894-4461-af04-94435c366c3f",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/agentpools/read",
"Microsoft.ContainerRegistry/registries/agentpools/write",
"Microsoft.ContainerRegistry/registries/agentpools/delete",
"Microsoft.ContainerRegistry/registries/agentpools/listQueueStatus/action",
"Microsoft.ContainerRegistry/registries/agentpools/operationResults/status/read",
"Microsoft.ContainerRegistry/registries/agentpools/operationStatuses/read",
"Microsoft.ContainerRegistry/registries/tasks/read",
"Microsoft.ContainerRegistry/registries/tasks/write",
"Microsoft.ContainerRegistry/registries/tasks/delete",
"Microsoft.ContainerRegistry/registries/tasks/listDetails/action",
"Microsoft.ContainerRegistry/registries/scheduleRun/action",
"Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action",
"Microsoft.ContainerRegistry/registries/runs/read",
"Microsoft.ContainerRegistry/registries/runs/write",
"Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action",
"Microsoft.ContainerRegistry/registries/runs/cancel/action",
"Microsoft.ContainerRegistry/registries/taskruns/read",
"Microsoft.ContainerRegistry/registries/taskruns/write",
"Microsoft.ContainerRegistry/registries/taskruns/delete",
"Microsoft.ContainerRegistry/registries/taskruns/listDetails/action",
"Microsoft.ContainerRegistry/registries/taskruns/operationStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.ContainerRegistry/registries/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Tasks Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Container Registry 転送パイプライン共同作成者
中間ストレージ アカウントとキー コンテナーを含むレジストリ転送パイプラインを構成することで、成果物を転送、インポート、エクスポートすることができます。 イメージをプッシュまたはプルするアクセス許可は付与されません。 ストレージ アカウントまたはキー コンテナーを作成、管理、一覧表示するアクセス許可は付与されません。 ロールの割り当てを実行するアクセス許可は付与されません。
| アクション | 説明 |
|---|---|
| Microsoft.ContainerRegistry/registries/exportPipelines/read | 指定したエクスポート パイプラインのプロパティを取得するか、指定したコンテナー レジストリのすべてのエクスポート パイプラインを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/exportPipelines/write | 指定されたパラメーターでコンテナー レジストリのエクスポート パイプラインを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/exportPipelines/delete | コンテナー レジストリからエクスポート パイプラインを削除します。 |
| Microsoft.ContainerRegistry/registries/importPipelines/read | 指定したインポート パイプラインのプロパティを取得するか、指定したコンテナー レジストリのすべてのインポート パイプラインを一覧表示します。 |
| Microsoft.ContainerRegistry/registries/importPipelines/write | 指定されたパラメーターでコンテナー レジストリのインポート パイプラインを作成または更新します。 |
| Microsoft.ContainerRegistry/registries/importPipelines/delete | コンテナー レジストリからインポート パイプラインを削除します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/read | 指定したパイプライン実行のプロパティを取得するか、指定したコンテナー レジストリのすべてのパイプライン実行を一覧表示します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/write | 指定されたパラメーターでコンテナー レジストリのパイプライン実行を作成または更新します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/delete | コンテナー レジストリからパイプライン実行を削除します。 |
| Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read | パイプライン実行の非同期操作の状態を取得します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Provides the ability to transfer, import, and export artifacts through configuring registry transfer pipelines that involve intermediary storage accounts and key vaults. Does not provide permissions to push or pull images. Does not provide permissions to create, manage, or list storage accounts or key vaults. Does not provide permissions to perform role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"name": "bf94e731-3a51-4a7c-8c54-a1ab9971dfc1",
"permissions": [
{
"actions": [
"Microsoft.ContainerRegistry/registries/exportPipelines/read",
"Microsoft.ContainerRegistry/registries/exportPipelines/write",
"Microsoft.ContainerRegistry/registries/exportPipelines/delete",
"Microsoft.ContainerRegistry/registries/importPipelines/read",
"Microsoft.ContainerRegistry/registries/importPipelines/write",
"Microsoft.ContainerRegistry/registries/importPipelines/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/read",
"Microsoft.ContainerRegistry/registries/pipelineRuns/write",
"Microsoft.ContainerRegistry/registries/pipelineRuns/delete",
"Microsoft.ContainerRegistry/registries/pipelineRuns/operationStatuses/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Container Registry Transfer Pipeline Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes エージェントレス オペレーター
Microsoft Defender for Cloud に Azure Kubernetes Services へのアクセス権を付与します
| アクション | 説明 |
|---|---|
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write | マネージド クラスターの信頼されたアクセス ロール バインドを作成または更新します |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read | マネージド クラスターの信頼されたアクセス ロール バインドを取得します |
| Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete | マネージド クラスターの信頼されたアクセス ロール バインドを削除します |
| Microsoft.ContainerService/managedClusters/read | マネージド クラスターを取得します |
| Microsoft.Features/features/read | サブスクリプションの機能を取得します。 |
| Microsoft.Features/providers/features/read | 指定されたリソース プロバイダーのサブスクリプションの機能を取得します。 |
| Microsoft.Features/プロバイダー/機能/登録/アクション | 指定されたリソース プロバイダーのサブスクリプションの機能を登録します。 |
| Microsoft.Security/pricings/securityoperators/read | スコープのセキュリティ演算子を取得します |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Grants Microsoft Defender for Cloud access to Azure Kubernetes Services",
"id": "/providers/Microsoft.Authorization/roleDefinitions/d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"name": "d5a2ae44-610b-4500-93be-660a0c5f5ca6",
"permissions": [
{
"actions": [
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/write",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/read",
"Microsoft.ContainerService/managedClusters/trustedAccessRoleBindings/delete",
"Microsoft.ContainerService/managedClusters/read",
"Microsoft.Features/features/read",
"Microsoft.Features/providers/features/read",
"Microsoft.Features/providers/features/register/action",
"Microsoft.Security/pricings/securityoperators/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Agentless Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes クラスター - Azure Arc のオンボード
connectedClusters リソースを作成するため、あらゆるユーザーまたはサービスを承認するロールの定義
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/write | デプロイを作成または更新します。 |
| Microsoft.Resources/subscriptions/operationresults/read | サブスクリプション操作の結果を取得します。 |
| Microsoft.Resources/subscriptions/read | サブスクリプションの一覧を取得します。 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.Kubernetes/connectedClusters/Write | connectedClusters を書き込みます |
| Microsoft.Kubernetes/connectedClusters/read | connectedClusters を読み取ります |
| Microsoft.KubernetesConfiguration/extensions/write | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/削除 | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| マイクロソフトサポート/* | サポート チケットの作成と更新 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Role definition to authorize any user/service to create connectedClusters resource",
"id": "/providers/Microsoft.Authorization/roleDefinitions/34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"name": "34e09817-6cbe-4d01-b1a2-e0eac5743d41",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/write",
"Microsoft.Resources/subscriptions/operationresults/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Kubernetes/connectedClusters/Write",
"Microsoft.Kubernetes/connectedClusters/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Cluster - Azure Arc Onboarding",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Kubernetes 拡張機能共同作成者
Kubernetes 拡張機能の作成、更新、取得、一覧表示、削除を行い、拡張機能の非同期操作を取得することができます
| アクション | 説明 |
|---|---|
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| Microsoft.KubernetesConfiguration/extensions/write | 拡張機能リソースを作成または更新します。 |
| Microsoft.KubernetesConfiguration/extensions/read | 拡張機能インスタンス リソースを取得します。 |
| Microsoft.KubernetesConfiguration/extensions/削除 | 拡張機能インスタンス リソースを削除します。 |
| Microsoft.KubernetesConfiguration/extensions/operations/read | 非同期操作の状態を取得します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Can create, update, get, list and delete Kubernetes Extensions, and get extension async operations",
"id": "/providers/Microsoft.Authorization/roleDefinitions/85cb6faf-e071-4c9b-8136-154b5a04f717",
"name": "85cb6faf-e071-4c9b-8136-154b5a04f717",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.KubernetesConfiguration/extensions/write",
"Microsoft.KubernetesConfiguration/extensions/read",
"Microsoft.KubernetesConfiguration/extensions/delete",
"Microsoft.KubernetesConfiguration/extensions/operations/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Kubernetes Extension Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Service Fabric クラスター共同作成者
Service Fabric クラスター リソースを管理します。 クラスター、アプリケーションの種類、アプリケーションの種類のバージョン、アプリケーション、サービスが含まれます。 仮想マシン スケール セット、ストレージ アカウント、ネットワークなど、クラスターの基盤となるリソースを展開および管理するには、追加のアクセス許可が必要です。
| アクション | 説明 |
|---|---|
| Microsoft.ServiceFabric/clusters/* | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Manage your Service Fabric Cluster resources. Includes clusters, application types, application type versions, applications, and services. You will need additional permissions to deploy and manage the cluster's underlying resources such as virtual machine scale sets, storage accounts, networks, etc.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b6efc156-f0da-4e90-a50a-8c000140b017",
"name": "b6efc156-f0da-4e90-a50a-8c000140b017",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/clusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Service Fabric マネージド クラスター共同作成者
Service Fabric マネージド クラスター リソースを展開および管理します。 マネージド クラスター、ノード タイプ、アプリケーション タイプ、アプリケーション タイプのバージョン、アプリケーション、サービスが含まれます。
| アクション | 説明 |
|---|---|
| Microsoft.ServiceFabric/managedclusters/* | |
| Microsoft.Authorization/*/read | ロールとロール割り当ての読み取り |
| Microsoft.Insights/alertRules/* | クラシック メトリック アラートの作成と管理 |
| Microsoft.Resources/deployments/* | デプロイの作成と管理 |
| Microsoft.Resources/subscriptions/resourceGroups/read | リソース グループを取得または一覧表示します。 |
| NotActions | |
| "なし" | |
| データアクション | |
| "なし" | |
| NotDataActions | |
| "なし" |
{
"assignableScopes": [
"/"
],
"description": "Deploy and manage your Service Fabric Managed Cluster resources. Includes managed clusters, node types, application types, application type versions, applications, and services.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/83f80186-3729-438c-ad2d-39e94d718838",
"name": "83f80186-3729-438c-ad2d-39e94d718838",
"permissions": [
{
"actions": [
"Microsoft.ServiceFabric/managedclusters/*",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Service Fabric Managed Cluster Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}