хорошо, по умолчанию они не могут запустить его, если у них нет специальных разрешений Azure.поэтому по умолчанию вам не нужно ничего делать.у них не должно быть этого конкретного разрешения:
Microsoft.ContainerService/managedClusters/listClusterAdminCredential/action
, которое они получили бы, если бы они были автором ресурса AKS или группы ресурсов.Им нужно это разрешение для получения учетных данных пользователя:
Microsoft.ContainerService/managedClusters/listClusterUserCredential/action