次のロール定義を使用して、
agent_role
という名前のカスタムロールを作成します。
{
"properties":{
"roleName":"agent_role",
"description":"",
"assignableScopes":[
"/subscriptions/<subscription ID>/resourceGroups/<cluster_resource_group>",
"/subscriptions/<subscription ID>/resourceGroups/<storage_resource_group>",
"/subscriptions/<subscription ID>/resourceGroups/<vnet_resource_group>"
],
"permissions":[
{
"actions":[
"Microsoft.Resources/subscriptions/resourcegroups/read",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Compute/virtualMachineScaleSets/delete",
"Microsoft.Compute/virtualMachineScaleSets/write",
"Microsoft.Compute/virtualMachineScaleSets/read",
"Microsoft.Network/loadBalancers/delete",
"Microsoft.Network/loadBalancers/write",
"Microsoft.Network/loadBalancers/read",
"Microsoft.Network/networkSecurityGroups/delete",
"Microsoft.Network/networkSecurityGroups/write",
"Microsoft.Network/networkSecurityGroups/read",
"Microsoft.Network/virtualNetworks/delete",
"Microsoft.Network/virtualNetworks/write",
"Microsoft.Network/virtualNetworks/read",
"Microsoft.Network/publicIPAddresses/delete",
"Microsoft.Network/publicIPAddresses/write",
"Microsoft.Network/publicIPAddresses/read",
"Microsoft.Network/publicIPAddresses/join/action",
"Microsoft.Network/virtualNetworks/subnets/join/action",
"Microsoft.Network/networkSecurityGroups/join/action",
"Microsoft.Network/loadBalancers/backendAddressPools/join/action",
"Microsoft.Compute/virtualMachineScaleSets/publicIPAddresses/read",
"Microsoft.Compute/virtualMachineScaleSets/networkInterfaces/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read",
"Microsoft.Compute/virtualMachines/instanceView/read",
"Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read",
"Microsoft.Compute/virtualMachineScaleSets/instanceView/read",
"Microsoft.Authorization/roleAssignments/read",
"Microsoft.Authorization/roleDefinitions/read",
"Microsoft.Compute/virtualMachines/read",
"Microsoft.ManagedIdentity/userAssignedIdentities/assign/action"
],
"notActions":[
],
"dataActions":[
],
"notDataActions":[
]
}
]
}
}
Microsoft.Resources/subscriptions/resourcegroups/read
| 必須。クラスタリソースグループが存在するかどうかを確認します。
|
Microsoft.Resources/subscriptions/resourcegroups/write
Microsoft.Resources/subscriptions/resourcegroups/delete
| クラスタリソースグループが 詳細設定 で指定されていない場合に必要です。
詳細設定 でクラスタリソースグループを指定していない場合、Secure Agentは、<cluster-instance-id>-rgという名前でサブスクリプションに新しいリソースグループを作成します。
|
Microsoft.Storage/storageAccounts/read
Microsoft.Storage/storageAccounts/write
Microsoft.Storage/storageAccounts/listKeys/action
| 必須。ストレージアカウントキーを一覧表示し、ストレージ操作を実行します。これらのアクションは、ステージングストレージアカウントがクラスタリソースグループ内にあることを前提としています。
|
Microsoft.Compute/virtualMachineScaleSets/delete
Microsoft.Compute/virtualMachineScaleSets/write
Microsoft.Compute/virtualMachineScaleSets/read
| 必須。マスタノードとワーカーノードの仮想マシンスケールセット(VMSS)を検出して管理します。
|
Microsoft.Network/loadBalancers/delete
Microsoft.Network/loadBalancers/write
Microsoft.Network/loadBalancers/read
| 必須。APIサーバーエンドポイントに使用されるロードバランサを検出して管理します。
|
Microsoft.Network/networkSecurityGroups/delete
Microsoft.Network/networkSecurityGroups/write
Microsoft.Network/networkSecurityGroups/read
| 必須。マスタノードとワーカーノード用に作成されたネットワークセキュリティグループを検出して管理します。ネットワークセキュリティグループ(NSG)がサブネットに接続されている場合、これらの権限は、サブネットで指定されたルールを上書きします。
|
Microsoft.Network/virtualNetworks/read
| 必須。クラスタのVNetを検出します。
|
Microsoft.Network/virtualNetworks/delete
Microsoft.Network/virtualNetworks/write
| クラスタアセットでVNetが指定されていない場合に必要です。
|
Microsoft.Network/publicIPAddresses/delete
Microsoft.Network/publicIPAddresses/write
Microsoft.Network/publicIPAddresses/read
Microsoft.Network/publicIPAddresses/join/action
| 必須。クラスタエンドポイントに関連付けられているパブリックIPアドレスを検出して管理します。ロードバランサがこのパブリックIPアドレスを使用できるようにするには、参加アクションが必要です。
|
Microsoft.Network/virtualNetworks/subnets/join/action
|
必須。マスタノードとワーカーノードが特定のサブネットに参加できるようにします。この権限は、あらゆる形式のVNet設定に必要です。
既存のVNetを使用する場合、この権限の範囲には、VNetを保持するリソースグループが含まれている必要があります。
|
Microsoft.Network/virtualNetworks/subnets/read
| 既存のVNetを使用する場合に必要です。この権限の範囲には、VNetを保持するリソースグループが含まれている必要があります。
|
Microsoft.Network/networkSecurityGroups/join/action
| 必須。マスタノードとワーカーノードが事前に作成されたネットワークセキュリティグループ(NSG)を接続できるようにします。
|
Microsoft.Network/loadBalancers/backendAddressPools/join/action
| 必須。マスタノードとワーカーノードをクラスタエンドポイントに追加できるようにします。マスタノードは、クラスタのプロビジョニング中にクラスタエンドポイントに追加されます。
|
Microsoft.Compute/virtualMachineScaleSets/publicIPAddresses/read
Microsoft.Compute/virtualMachineScaleSets/networkInterfaces/read
|
必須。Secure Agentがマスタノードとワーカーノードに割り当てられたIPアドレスを取得するために使用します。Secure Agentは、これらの権限を使用して、SSHを使用してマスタノードに接続し、特定のクラスタのkubeconfigファイルをダウンロードします。
|
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/read
Microsoft.Compute/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/virtualMachines/instanceView/read
Microsoft.Compute/virtualMachineScaleSets/instanceView/read
| 必須。マスタノードとワーカーノードのステータスを確認します。
|
Microsoft.Compute/virtualMachineScaleSets/manualupgrade/action
| 初期化スクリプトを使用する場合に必要です。
また、スクリプト拡張を適用するためにはマスタノードとワーカーノードを手動で更新する必要があります。
|
Microsoft.Authorization/roleAssignments/read
Microsoft.Authorization/roleDefinitions/read
| |
Microsoft.Compute/virtualMachines/read
Microsoft.ManagedIdentity/userAssignedIdentities/assign/action
| マネージドID認証を使用してソースまたはターゲットに接続する場合に必要です。Secure Agentはこれらの権限を使用して、エージェントのマネージドIDを検出し、そのIDを仮想マシンスケールセットに割り当てます。
|
