ACR Buildはaz acr build -t ${image} -r ${registry} .でACRにコンテナーイメージのビルドをしてもらう機能。
ACR PullとかACR Pushはビルトインロール (そのままAcrPullとAcrPush)があるけどACR Build用のビルトインロールはない。
なので、カスタムロールを作った。
いろいろ試した結果、行きついたのがこれ。
{"id": "/subscriptions/...", "properties": {"roleName": "AcrBuilder", "description": "", "assignableScopes": ["/subscriptions/..." ], "permissions": [{"actions": ["Microsoft.ContainerRegistry/registries/runs/listLogSasUrl/action", "Microsoft.ContainerRegistry/registries/scheduleRun/action", "Microsoft.ContainerRegistry/registries/listBuildSourceUploadUrl/action", "Microsoft.ContainerRegistry/registries/read" ], "notActions": [], "dataActions": [], "notDataActions": []}]}}