Definiciones de roles de proyectos

En las tablas de esta sección se describen los diferentes roles predefinidos y sus permisos. Las tablas contienen las siguientes columnas:

  • Nombre: el nombre de un rol que se muestra en la interfaz de usuario.
  • Nombre del recurso de Kubernetes: nombre del recurso personalizado de Kubernetes correspondiente.
  • Nivel: especifica si este rol se limita a la organización o a un proyecto.
  • Type: el tipo de este rol. Por ejemplo, algunos valores posibles son Role, ProjectRole, ClusterRole o ProjectClusterRole.
  • Tipo de vinculación: el tipo de vinculación que debes aplicar a este rol.
  • Permisos del servidor de la API de gestión o del clúster de Kubernetes: los permisos que tiene este rol para el servidor de la API de gestión o el clúster de Kubernetes. Por ejemplo, algunos valores posibles son lectura, escritura, lectura y escritura, o no aplicable (N/A).
  • Deriva a: especifica si este rol deriva a otros roles o no.

Perfil de AO, roles de identidad y acceso predefinidos

Perfil de AO
Nombre Nombre del recurso de Kubernetes Administrador inicial Nivel Tipo
Administrador de gestión de identidades y accesos de proyectos project-iam-admin Verdadero Proyecto Role
Desarrollador de OCR con IA ai-ocr-developer Falso Proyecto Role
Visor de AI Platform ai-platform-viewer Falso Proyecto Role
Desarrollador de IA de voz ai-speech-developer Falso Proyecto Role
Desarrollador de traducción con IA ai-translation-developer Falso Proyecto Role
Administrador de gestión de artefactos artifact-management-admin Falso Proyecto Role
Editor de gestión de artefactos artifact-management-editor Falso Proyecto Role
Administrador del Servicio de Autoridades de Certificación certificate-authority-service-admin Falso Proyecto Role
Administrador del servicio de certificados certificate-service-admin Falso Proyecto Role
Editor de paneles de control dashboard-editor Falso Proyecto Role
Lector del panel de control dashboard-viewer Falso Proyecto Role
Administrador de instancias de Harbor harbor-instance-admin Falso Proyecto Role
Visor de instancias de Harbor harbor-instance-viewer Falso Proyecto Role
Creador de proyectos de Harbor harbor-project-creator Falso Proyecto Role
Administrador de políticas de red de K8s k8s-networkpolicy-admin Falso Proyecto ProjectRole
Administrador de balanceadores de carga load-balancer-admin Falso Proyecto ProjectRole
LoggingRule Creator loggingrule-creator Falso Proyecto Role
Editor de LoggingRule loggingrule-editor Falso Proyecto Role
Visualizador de LoggingRule loggingrule-viewer Falso Proyecto Role
Creador de LoggingTarget loggingtarget-creator Falso Proyecto Role
Editor de LoggingTarget loggingtarget-editor Falso Proyecto Role
Lector de LoggingTarget loggingtarget-viewer Falso Proyecto Role
Editor de MonitoringRule monitoringrule-editor Falso Proyecto Role
MonitoringRule Viewer monitoringrule-viewer Falso Proyecto Role
Editor de MonitoringTarget monitoringtarget-editor Falso Proyecto Role
Lector de MonitoringTarget monitoringtarget-viewer Falso Proyecto Role
Administrador de espacios de nombres namespace-admin Falso Proyecto ProjectRole
Visor de NAT nat-viewer Falso Proyecto ProjectRole
Editor de ObservabilityPipeline observabilitypipeline-editor Falso Proyecto Role
Lector de ObservabilityPipeline observabilitypipeline-viewer Falso Proyecto Role
Administrador de cubos de proyectos project-bucket-admin Falso Proyecto Role
Administrador de objetos de segmentos de proyectos project-bucket-object-admin Falso Proyecto Role
Lector de objetos de segmentos de proyectos project-bucket-object-viewer Falso Proyecto Role
Editor de Alertmanager de Project Cortex project-cortex-alertmanager-editor Falso Proyecto Role
Lector de Alertmanager de Project Cortex project-cortex-alertmanager-viewer Falso Proyecto Role
Visor de Prometheus de Project Cortex project-cortex-prometheus-viewer Falso Proyecto Role
Lector de Grafana de proyectos project-grafana-viewer Falso Proyecto Role
Administrador de NetworkPolicy de proyecto project-networkpolicy-admin Falso Proyecto Role
Lector de proyectos project-viewer Falso Proyecto Role
Administrador de VirtualMachine de proyectos project-vm-admin Falso Proyecto Role
Administrador de imágenes de máquinas virtuales de proyectos project-vm-image-admin Falso Proyecto Role
Administrador de secretos secret-admin Falso Proyecto Role
Lector de secretos secret-viewer Falso Proyecto Role
Administrador de configuración de servicios service-configuration-admin Falso Proyecto Role
Lector de configuración de servicios service-configuration-viewer Falso Proyecto Role
Administrador de cuadernos de Workbench workbench-notebooks-admin Falso Proyecto Role
Administrador de replicación de volumen app-volume-replication-admin Falso Clúster Role
Visor de cuadernos de Workbench workbench-notebooks-viewer Falso Proyecto Role
Lector de cargas de trabajo workload-viewer Falso Proyecto Role

Perfil de AO, identidad predefinida y roles de acceso

Perfil de AO
Nombre Tipo de vinculación Permisos del servidor de la API Management Permisos de clúster de Kubernetes Derivar a
Administrador de gestión de identidades y accesos de proyectos RoleBinding
  • RoleBinding, ClusterRoleBinding, Role, ClusterRole, ProjectRole, ProjectClusterRole, ProjectRoleBinding y ProjectClusterRoleBinding: crear, leer, actualizar, eliminar y vincular
  • ProjectServiceAccount: crear, leer, actualizar y eliminar
  • Mostrar el espacio de nombres de un proyecto
 N/A Todos los demás roles de AO
Desarrollador de OCR con IA RoleBinding Recursos de reconocimiento óptico de caracteres: lectura y escritura N/A N/A
Desarrollador de IA de voz RoleBinding Recursos de voz: lectura y escritura N/A N/A
Desarrollador de traducción con IA RoleBinding Recursos de traducción: lectura y escritura N/A N/A
Administrador de gestión de artefactos RoleBinding HarborProjects: administrador, crear, leer, escribir, eliminar y ver N/A N/A
Editor de gestión de artefactos RoleBinding HarborProjects: leer, escribir y ver N/A N/A
Administrador del Servicio de Autoridades de Certificación RoleBinding Autoridades de certificación y solicitudes de certificados: obtener, enumerar, monitorizar, actualizar, crear, eliminar y parchear N/A N/A
Administrador del servicio de certificados RoleBinding Certificados y emisores de certificados: obtener, mostrar, monitorizar, actualizar, crear, eliminar y aplicar parches N/A N/A
Editor de paneles de control RoleBinding Dashboard recursos personalizados: obtener, leer, crear, actualizar, eliminar y parchear N/A N/A
Lector del panel de control RoleBinding Dashboard: obtener y leer N/A N/A
Administrador de instancias de Harbor RoleBinding Instancias de Harbor: crear, leer, actualizar, eliminar y aplicar parches N/A N/A
Visor de instancias de Harbor RoleBinding Instancias de Harbor: lectura N/A N/A
Creador de proyectos de Harbor RoleBinding Proyectos de instancias de Harbor: crear, obtener y ver N/A N/A
Administrador de NetworkPolicy de K8s ProjectRoleBinding N/A Recursos de NetworkPolicy: crear, leer, obtener, actualizar, eliminar y parchear N/A
Administrador de balanceadores de carga RoleBinding N/A
  • Backend: obtener, ver, enumerar, crear, parchear, actualizar y eliminar
  • HealthCheck: obtener, ver, enumerar, crear, parchear, actualizar y eliminar
  • BackendService: obtener, ver, enumerar, crear, parchear, actualizar y eliminar
  • ForwardingRuleExternal: obtener, ver, enumerar, crear, parchear, actualizar y eliminar
  • ForwardingRuleInternal: obtener, ver, enumerar, crear, parchear, actualizar y eliminar
 N/A
LoggingRule Creator RoleBinding LoggingRule recursos personalizados: crear, leer, actualizar, eliminar y aplicar parches N/A N/A
Editor de LoggingRule RoleBinding LoggingRule recursos personalizados: crear, leer, actualizar, eliminar y aplicar parches N/A N/A
Visualizador de LoggingRule RoleBinding LoggingRule recursos personalizados: consulta N/A N/A
Creador de LoggingTarget RoleBinding LoggingTarget recursos personalizados: crear, leer, actualizar, eliminar y aplicar parches N/A N/A
Editor de LoggingTarget RoleBinding LoggingTarget recursos personalizados: crear, leer, actualizar, eliminar y aplicar parches N/A N/A
Lector de LoggingTarget RoleBinding LoggingTarget recursos personalizados: consulta N/A N/A
Editor de MonitoringRule RoleBinding MonitoringRule recursos personalizados: crear, leer, actualizar, eliminar y aplicar parches N/A N/A
MonitoringRule Viewer RoleBinding MonitoringRule recursos personalizados: consulta N/A N/A
Editor de MonitoringTarget RoleBinding MonitoringTarget recursos personalizados: crear, leer, actualizar, eliminar y aplicar parches N/A N/A
Lector de MonitoringTarget RoleBinding MonitoringTarget recursos personalizados: consulta N/A N/A
Administrador de espacios de nombres ProjectRoleBinding N/A Todos los recursos: acceso de lectura y escritura en el espacio de nombres del proyecto N/A
Visor de NAT ProjectRoleBinding N/A Despliegues: obtener y leer N/A
Editor de ObservabilityPipeline RoleBinding Recursos de ObservabilityPipeline: obtener, leer, crear, actualizar, eliminar y parchear N/A N/A
Lector de ObservabilityPipeline RoleBinding Recursos de ObservabilityPipeline: obtener y leer N/A N/A
Administrador de cubos de proyectos RoleBinding Contenedor: leer y escribir en el espacio de nombres del proyecto N/A N/A
Administrador de objetos de segmentos de proyectos RoleBinding
  • Intervalo: lectura
  • Objetos: lectura y escritura
 N/A N/A
Lector de objetos de segmentos de proyectos RoleBinding Segmentos y objetos: lectura N/A N/A
Editor de Alertmanager de Project Cortex RoleBinding Sistema Cortex y Cortex Alertmanager: lectura y escritura N/A N/A
Lector de Alertmanager de Project Cortex RoleBinding Sistema Cortex y Cortex Alertmanager: lee N/A N/A
Visor de Prometheus de Project Cortex RoleBinding Sistema Cortex y Cortex Prometheus: lee N/A N/A
Lector de Grafana de proyectos RoleBinding Sistema Grafana y Grafana: lectura y escritura N/A N/A
Administrador de NetworkPolicy de proyecto RoleBinding Políticas de red del proyecto: lectura y escritura en el espacio de nombres del proyecto N/A N/A
Lector de proyectos RoleBinding Todos los recursos del espacio de nombres del proyecto: lectura N/A N/A
Administrador de VirtualMachine de proyectos RoleBinding
  • Máquinas virtuales, discos, solicitudes de acceso, acceso externo, solicitudes de copia de seguridad, copias de seguridad, solicitudes de restauración, solicitudes de eliminación de copias de seguridad, restauraciones y solicitudes de restablecimiento de contraseñas: leer, crear, actualizar y eliminar
  • Reinicio de la máquina virtual:
  • Imágenes de máquinas virtuales, planes de copias de seguridad y plantillas de planes de copias de seguridad: lectura
 N/A N/A
Administrador de imágenes de máquinas virtuales de proyectos RoleBinding
  • Imágenes de máquinas virtuales: leer
  • Importaciones de imágenes de VM: lectura y escritura
 N/A N/A
Administrador de secretos RoleBinding Secretos de Kubernetes: leer, crear, actualizar, eliminar y aplicar parches N/A N/A
Lector de secretos RoleBinding Secretos de Kubernetes: lectura N/A N/A
Administrador de configuración de servicios RoleBinding ServiceConfigurations: lectura y escritura N/A N/A
Lector de configuración de servicios RoleBinding ServiceConfigurations: leído N/A N/A
Administrador de replicación de volumen ClusterRoleBinding Volume failovers, volume relationship replicas: Crear, obtener, enumerar, ver y eliminar N/A N/A
Administrador de cuadernos de Workbench RoleBinding N/A
  • Recursos personalizados (CR) de cuadernos en el espacio de nombres del proyecto: crear, leer, actualizar y eliminar
  • ClusterInfo objetos: lectura
 N/A
Visor de cuadernos de Workbench RoleBinding N/A
  • Recursos personalizados (CR) de Notebook en el espacio de nombres del proyecto: lectura
 N/A
Lector de cargas de trabajo ProjectRoleBinding N/A
  • Recursos personalizados de pods en el espacio de nombres del proyecto: lectura
  • Recursos personalizados de implementación en el espacio de nombres del proyecto: lectura
 N/A

Roles de identidad y acceso predefinidos comunes

Roles habituales
Nombre Nombre del recurso de Kubernetes Administrador inicial Nivel Tipo
Visor de AI Platform ai-platform-viewer Falso Proyecto Role
Visor de sufijos DNS dnssuffix-viewer Falso Organización Role
Administrador de registros de flujo flowlog-admin Falso Organización ClusterRole
Visualizador de registros de flujo flowlog-viewer Falso Proyecto ClusterRole
Visor de descubrimiento de proyectos projectdiscovery-viewer Falso Proyecto ClusterRole
Visor de imágenes públicas public-image-viewer Falso Organización Role
Monitor de secretos de Artifact Registry del sistema anthos-creds sar-anthos-creds-secret-monitor Falso Organización Role
Monitor de secretos de gpc-system de Artifact Registry del sistema sar-gpc-system-secret-monitor Falso Organización Role
Monitor de secretos de Artifact Registry del sistema de Harbor sar-harbor-system-secret-monitor Falso Organización Role
Visor de tipos de máquinas virtuales virtualmachinetype-viewer Falso Organización OrganizationRole
Lector de tipos de VM vmtype-viewer Falso Organización Role

Roles de identidad y acceso predefinidos comunes

Roles habituales
Nombre Tipo de vinculación Permisos de clúster de administrador Permisos de clúster de Kubernetes Derivar a
Visor de AI Platform RoleBinding Servicios preentrenados: Read N/A N/A
Visor de sufijos DNS ClusterRoleBinding Maps de configuración de sufijos DNS: lectura N/A N/A
Administrador de registros de flujo ClusterRoleBinding Recursos de registro de flujo: obtener y leer Recursos de registro de flujo: obtener y leer N/A
Visualizador de registros de flujo ClusterRoleBinding Recursos de registros de flujo: crear, obtener, leer, parchear, actualizar y eliminar Recursos de registros de flujo: crear, obtener, leer, parchear, actualizar y eliminar N/A
Visor de descubrimiento de proyectos ClusterRoleBinding Proyectos: lectura N/A N/A
Visor de imágenes públicas RoleBinding Imágenes de máquinas virtuales: leer N/A N/A
Monitor de secretos de Artifact Registry del sistema anthos-creds RoleBinding anthos-creds secretos: obtener y leer anthos-creds secretos: obtener y leer N/A
Monitor de secretos de gpc-system de Artifact Registry del sistema RoleBinding gpc-system secretos: obtener y leer gpc-system secretos: obtener y leer N/A
Monitor de secretos de Artifact Registry del sistema de Harbor RoleBinding harbor-system secretos: obtener y leer harbor-system secretos: obtener y leer N/A
Visor de tipos de máquinas virtuales OrganizationRoleBinding N/A Tipos de máquinas virtuales: lectura N/A
Lector de tipos de VM ClusterRoleBinding Tipos de máquinas virtuales: lectura N/A N/A