In den Tabellen in diesem Abschnitt werden verschiedene vordefinierte Rollen und ihre Berechtigungen beschrieben. Die Tabellen enthalten die folgenden Spalten:
- Name:Der Name einer Rolle, die in der Benutzeroberfläche angezeigt wird.
- Name der Kubernetes-Ressource:Der Name der entsprechenden benutzerdefinierten Kubernetes-Ressource.
- Ebene:Gibt an, ob diese Rolle auf die Organisation oder ein Projekt beschränkt ist.
- Typ:Der Typ dieser Rolle. Mögliche Werte sind beispielsweise
Role,ProjectRole,ClusterRoleoderProjectClusterRole. - Bindungstyp:Der Bindungstyp, den Sie auf diese Rolle anwenden müssen.
- Berechtigungen für den Management API-Server oder den Kubernetes-Cluster:Die Berechtigungen, die diese Rolle für den Management API-Server oder den Kubernetes-Cluster hat. Einige mögliche Werte sind „Lesen“, „Schreiben“, „Lesen und Schreiben“ oder „Nicht zutreffend“ (N/A).
- Wird eskaliert an:Gibt an, ob diese Rolle an andere Rollen eskaliert wird.
AO-Persona, vordefinierte Identitäts- und Zugriffsrollen
| AO-Persona | ||||
|---|---|---|---|---|
| Name | Kubernetes-Ressourcenname | Erster Administrator | Level | Typ |
| Projekt-IAM-Administrator | project-iam-admin |
Wahr | Projekt | Role |
| AI OCR Developer | ai-ocr-developer |
Falsch | Projekt | Role |
| AI Platform-Betrachter | ai-platform-viewer |
Falsch | Projekt | Role |
| AI Speech-Entwickler | ai-speech-developer |
Falsch | Projekt | Role |
| AI Translation-Entwickler | ai-translation-developer |
Falsch | Projekt | Role |
| Administrator für die Artefaktverwaltung | artifact-management-admin |
Falsch | Projekt | Role |
| Artifact Management Editor | artifact-management-editor |
Falsch | Projekt | Role |
| Certificate Authority Service-Administrator | certificate-authority-service-admin |
Falsch | Projekt | Role |
| Zertifikatsdienstadministrator | certificate-service-admin |
Falsch | Projekt | Role |
| Dashboard-Editor | dashboard-editor |
Falsch | Projekt | Role |
| Dashboard-Betrachter | dashboard-viewer |
Falsch | Projekt | Role |
| Harbor-Instanzadministrator | harbor-instance-admin |
Falsch | Projekt | Role |
| Harbor Instance Viewer | harbor-instance-viewer |
Falsch | Projekt | Role |
| Harbor-Projektersteller | harbor-project-creator |
Falsch | Projekt | Role |
| K8s Network Policy Admin | k8s-networkpolicy-admin |
Falsch | Projekt | ProjectRole |
| Lastenausgleichsmodul-Administrator | load-balancer-admin |
Falsch | Projekt | ProjectRole |
| LoggingRule Creator | loggingrule-creator |
Falsch | Projekt | Role |
| LoggingRule Editor | loggingrule-editor |
Falsch | Projekt | Role |
| LoggingRule Viewer | loggingrule-viewer |
Falsch | Projekt | Role |
| LoggingTarget Creator | loggingtarget-creator |
Falsch | Projekt | Role |
| LoggingTarget-Bearbeiter | loggingtarget-editor |
Falsch | Projekt | Role |
| LoggingTarget Viewer | loggingtarget-viewer |
Falsch | Projekt | Role |
| MonitoringRule Editor | monitoringrule-editor |
Falsch | Projekt | Role |
| MonitoringRule Viewer | monitoringrule-viewer |
Falsch | Projekt | Role |
| MonitoringTarget Editor | monitoringtarget-editor |
Falsch | Projekt | Role |
| MonitoringTarget Viewer | monitoringtarget-viewer |
Falsch | Projekt | Role |
| Namespace-Administrator | namespace-admin |
Falsch | Projekt | ProjectRole |
| NAT Viewer | nat-viewer |
Falsch | Projekt | ProjectRole |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
Falsch | Projekt | Role |
| ObservabilityPipeline-Betrachter | observabilitypipeline-viewer |
Falsch | Projekt | Role |
| Project Bucket Admin | project-bucket-admin |
Falsch | Projekt | Role |
| Project Bucket Object Admin | project-bucket-object-admin |
Falsch | Projekt | Role |
| Project Bucket Object Viewer | project-bucket-object-viewer |
Falsch | Projekt | Role |
| Project Cortex Alertmanager Editor | project-cortex-alertmanager-editor |
Falsch | Projekt | Role |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
Falsch | Projekt | Role |
| Project Cortex Prometheus Viewer | project-cortex-prometheus-viewer |
Falsch | Projekt | Role |
| Projekt-Grafana-Betrachter | project-grafana-viewer |
Falsch | Projekt | Role |
| Projektadministrator für NetworkPolicy | project-networkpolicy-admin |
Falsch | Projekt | Role |
| Projektbetrachter | project-viewer |
Falsch | Projekt | Role |
| Projekt-VirtualMachine-Administrator | project-vm-admin |
Falsch | Projekt | Role |
| Administrator für VirtualMachine-Images für Projekte | project-vm-image-admin |
Falsch | Projekt | Role |
| Secret-Administrator | secret-admin |
Falsch | Projekt | Role |
| Secret-Betrachter | secret-viewer |
Falsch | Projekt | Role |
| Administrator für Dienstkonfiguration | service-configuration-admin |
Falsch | Projekt | Role |
| Betrachter von Dienstkonfigurationen | service-configuration-viewer |
Falsch | Projekt | Role |
| Workbench Notebooks-Administrator | workbench-notebooks-admin |
Falsch | Projekt | Role |
| Administrator für die Volume-Replikation | app-volume-replication-admin |
Falsch | Cluster | Role |
| Workbench-Notebooks-Betrachter | workbench-notebooks-viewer |
Falsch | Projekt | Role |
| Workload Viewer | workload-viewer |
Falsch | Projekt | Role |
AO-Persona, vordefinierte Identitäts- und Zugriffsrollen
| AO-Persona | ||||
|---|---|---|---|---|
| Name | Bindungstyp | Serverberechtigungen für die Management API | Berechtigungen für Kubernetes-Cluster | Wird eskaliert an |
| Projekt-IAM-Administrator | RoleBinding |
|
– | Alle anderen AO-Rollen |
| AI OCR Developer | RoleBinding |
OCR-Ressourcen:Lesen und Schreiben | – | – |
| AI Speech-Entwickler | RoleBinding |
Sprachressourcen:Lesen und Schreiben | – | – |
| AI Translation-Entwickler | RoleBinding |
Übersetzungsressourcen:Lesen und Schreiben | – | – |
| Administrator für die Artefaktverwaltung | RoleBinding |
HarborProjects:Administrator, Erstellen, Lesen, Schreiben, Löschen und Ansehen |
– | – |
| Artifact Management Editor | RoleBinding |
HarborProjects:Lesen, Schreiben und Ansehen |
– | – |
| Certificate Authority Service-Administrator | RoleBinding |
Zertifizierungsstellen und Zertifikatsanfragen:Abrufen, Auflisten, Beobachten, Aktualisieren, Erstellen, Löschen und Patchen | – | – |
| Zertifikatsdienstadministrator | RoleBinding |
Zertifikate und Zertifikataussteller:Get, list, watch, update, create, delete und patch | – | – |
| Dashboard-Editor | RoleBinding |
Benutzerdefinierte Dashboard-Ressourcen:Abrufen, Lesen, Erstellen, Aktualisieren, Löschen und Patchen |
– | – |
| Dashboard-Betrachter | RoleBinding |
Dashboard:Abrufen und lesen |
– | – |
| Harbor-Instanzadministrator | RoleBinding |
Harbor-Instanzen:Erstellen, lesen, aktualisieren, löschen und patchen | – | – |
| Harbor Instance Viewer | RoleBinding |
Harbor-Instanzen:Lesen | – | – |
| Harbor-Projektersteller | RoleBinding |
Harbor-Instanzprojekte:Erstellen, abrufen und beobachten | – | – |
| K8s NetworkPolicy-Administrator | ProjectRoleBinding |
– | NetworkPolicy-Ressourcen: Erstellen, lesen, abrufen, aktualisieren, löschen und patchen |
– |
| Lastenausgleichsmodul-Administrator | RoleBinding |
– |
|
– |
| LoggingRule Creator | RoleBinding |
Benutzerdefinierte RessourcenLoggingRule:erstellen, lesen, aktualisieren, löschen und patchen |
– | – |
| LoggingRule Editor | RoleBinding |
Benutzerdefinierte RessourcenLoggingRule:erstellen, lesen, aktualisieren, löschen und patchen |
– | – |
| LoggingRule Viewer | RoleBinding |
Benutzerdefinierte LoggingRule-Ressourcen:Lesen |
– | – |
| LoggingTarget Creator | RoleBinding |
Benutzerdefinierte RessourcenLoggingTarget:erstellen, lesen, aktualisieren, löschen und patchen |
– | – |
| LoggingTarget-Bearbeiter | RoleBinding |
Benutzerdefinierte RessourcenLoggingTarget:erstellen, lesen, aktualisieren, löschen und patchen |
– | – |
| LoggingTarget Viewer | RoleBinding |
Benutzerdefinierte LoggingTarget-Ressourcen:Lesen |
– | – |
| MonitoringRule Editor | RoleBinding |
Benutzerdefinierte RessourcenMonitoringRule:erstellen, lesen, aktualisieren, löschen und patchen |
– | – |
| MonitoringRule Viewer | RoleBinding |
Benutzerdefinierte MonitoringRule-Ressourcen:Lesen |
– | – |
| MonitoringTarget Editor | RoleBinding |
Benutzerdefinierte RessourcenMonitoringTarget:erstellen, lesen, aktualisieren, löschen und patchen |
– | – |
| MonitoringTarget Viewer | RoleBinding |
Benutzerdefinierte MonitoringTarget-Ressourcen:Lesen |
– | – |
| Namespace-Administrator | ProjectRoleBinding |
– | Alle Ressourcen:Lese- und Schreibzugriff im Projekt-Namespace | – |
| NAT Viewer | ProjectRoleBinding |
– | Deployments: Abrufen und lesen | – |
| ObservabilityPipeline Editor | RoleBinding |
ObservabilityPipeline-Ressourcen:Abrufen, Lesen, Erstellen, Aktualisieren, Löschen und Patchen |
– | – |
| ObservabilityPipeline-Betrachter | RoleBinding |
ObservabilityPipeline-Ressourcen:Abrufen und lesen |
– | – |
| Project Bucket Admin | RoleBinding |
Bucket:Lese- und Schreibzugriff im Projekt-Namespace | – | – |
| Project Bucket Object Admin | RoleBinding |
|
– | – |
| Project Bucket Object Viewer | RoleBinding |
Bucket und Objekte:Lesen | – | – |
| Project Cortex Alertmanager Editor | RoleBinding |
Cortex-System und Cortex Alertmanager:Lesen und Schreiben | – | – |
| Project Cortex Alertmanager Viewer | RoleBinding |
Cortex-System und Cortex Alertmanager: | – | – |
| Project Cortex Prometheus Viewer | RoleBinding |
Cortex-System und Cortex Prometheus:Lesen | – | – |
| Projekt-Grafana-Betrachter | RoleBinding |
Grafana-System und Grafana:Lesen und Schreiben | – | – |
| Projektadministrator für NetworkPolicy | RoleBinding |
Projektnetzwerkrichtlinien:Lesen und Schreiben im Projekt-Namespace | – | – |
| Projektbetrachter | RoleBinding |
Alle Ressourcen im Projekt-Namespace:Lesen | – | – |
| Projekt-VirtualMachine-Administrator | RoleBinding |
|
– | – |
| Administrator für VirtualMachine-Images für Projekte | RoleBinding |
|
– | – |
| Secret-Administrator | RoleBinding |
Kubernetes-Secrets:Lesen, erstellen, aktualisieren, löschen und patchen | – | – |
| Secret-Betrachter | RoleBinding |
Kubernetes-Secrets:Lesen | – | – |
| Administrator für Dienstkonfiguration | RoleBinding |
ServiceConfigurations:Lesen und Schreiben
|
– | – |
| Betrachter von Dienstkonfigurationen | RoleBinding |
ServiceConfigurations:Gelesen
|
– | – |
| Administrator für die Volume-Replikation | ClusterRoleBinding |
Volume failovers, volume relationship replicas:create, get, list, watch, delete
|
– | – |
| Workbench Notebooks-Administrator | RoleBinding |
– |
|
– |
| Workbench-Notebooks-Betrachter | RoleBinding |
– |
|
– |
| Workload Viewer | ProjectRoleBinding |
– |
|
– |
Häufig verwendete vordefinierte Identitäts- und Zugriffsrollen
| Häufige Rollen | ||||
|---|---|---|---|---|
| Name | Kubernetes-Ressourcenname | Erster Administrator | Level | Typ |
| AI Platform-Betrachter | ai-platform-viewer |
Falsch | Projekt | Role |
| DNS Suffix Viewer | dnssuffix-viewer |
Falsch | Organisation | Role |
| Flow Log-Administrator | flowlog-admin |
Falsch | Organisation | ClusterRole |
| Flow-Log-Viewer | flowlog-viewer |
Falsch | Projekt | ClusterRole |
| Betrachter für Projekterkennung | projectdiscovery-viewer |
Falsch | Projekt | ClusterRole |
| Öffentliche Bildanzeige | public-image-viewer |
Falsch | Organisation | Role |
| System-Artifact Registry-Secret „anthos-creds“ überwachen | sar-anthos-creds-secret-monitor |
Falsch | Organisation | Role |
| System Artifact Registry gpc-system secret Monitor | sar-gpc-system-secret-monitor |
Falsch | Organisation | Role |
| System-Secret „harbor-system“ für Artifact Registry-Monitor | sar-harbor-system-secret-monitor |
Falsch | Organisation | Role |
| Virtual Machine Type Viewer | virtualmachinetype-viewer |
Falsch | Organisation | OrganizationRole |
| VM-Typ-Betrachter | vmtype-viewer |
Falsch | Organisation | Role |
Häufig verwendete vordefinierte Identitäts- und Zugriffsrollen
| Häufige Rollen | ||||
|---|---|---|---|---|
| Name | Bindungstyp | Berechtigungen für Administratorcluster | Berechtigungen für Kubernetes-Cluster | Wird eskaliert an |
| AI Platform-Betrachter | RoleBinding |
Vortrainierte Dienste:Lesen | – | – |
| DNS Suffix Viewer | ClusterRoleBinding |
DNS-Suffix-Konfigurationszuordnungen:Lesen | – | – |
| Flow Log-Administrator | ClusterRoleBinding |
Ressourcen für Ablaufprotokolle:Abrufen und Lesen | Ressourcen für Ablaufprotokolle:Abrufen und Lesen | – |
| Flow-Log-Viewer | ClusterRoleBinding |
Flow-Log-Ressourcen:Erstellen, abrufen, lesen, patchen, aktualisieren und löschen | Flow-Log-Ressourcen:Erstellen, abrufen, lesen, patchen, aktualisieren und löschen | – |
| Betrachter für Projekterkennung | ClusterRoleBinding |
Projekte:Lesen | – | – |
| Öffentliche Bildanzeige | RoleBinding |
VM-Images:Lesen | – | – |
| System-Artifact Registry-Secret „anthos-creds“ überwachen | RoleBinding |
anthos-creds Secrets:Abrufen und lesen |
anthos-creds Secrets:Abrufen und lesen |
– |
| System Artifact Registry gpc-system secret Monitor | RoleBinding |
gpc-system Secrets:Abrufen und lesen |
gpc-system Secrets:Abrufen und lesen |
– |
| System-Secret „harbor-system“ für Artifact Registry-Monitor | RoleBinding |
harbor-system Secrets:Abrufen und lesen |
harbor-system Secrets:Abrufen und lesen |
– |
| Virtual Machine Type Viewer | OrganizationRoleBinding |
– | VM-Typen:Lesen | – |
| VM-Typ-Betrachter | ClusterRoleBinding |
VM-Typen:Lesen | – | – |