此页面由 Cloud Translation API 翻译。

项目的角色定义

本部分中的表格介绍了不同的预定义角色及其权限。这些表格包含以下列：

名称：界面 (UI) 中显示的角色名称。
Kubernetes 资源名称：相应 Kubernetes 自定义资源的名称。
级别：用于指定此角色的范围是组织还是项目。
类型：相应角色的类型。例如，一些可能的值包括 Role、ProjectRole、ClusterRole 或 ProjectClusterRole。
绑定类型：您必须应用于此角色的绑定类型。
管理 API 服务器或 Kubernetes 集群权限：相应角色对管理 API 服务器或 Kubernetes 集群拥有的权限。例如，一些可能的值包括读取、写入、读取和写入，或不适用 (N/A)。
升级为：用于指定此角色是否升级为其他角色。

AO 角色，预定义的身份和访问权限角色

AO persona
名称	Kubernetes 资源名称	初始管理员	级别	类型
Project IAM Admin	`project-iam-admin`	正确	项目	`Role`
AI OCR 开发者	`ai-ocr-developer`	错误	项目	`Role`
AI Platform Viewer	`ai-platform-viewer`	错误	项目	`Role`
AI 语音开发者	`ai-speech-developer`	错误	项目	`Role`
AI Translation Developer	`ai-translation-developer`	错误	项目	`Role`
Artifact Management Admin	`artifact-management-admin`	错误	项目	`Role`
Artifact Management Editor	`artifact-management-editor`	错误	项目	`Role`
Certificate Authority Service 管理员	`certificate-authority-service-admin`	错误	项目	`Role`
Certificate Service Admin	`certificate-service-admin`	错误	项目	`Role`
信息中心编辑器	`dashboard-editor`	错误	项目	`Role`
信息中心查看器	`dashboard-viewer`	错误	项目	`Role`
Harbor 实例管理员	`harbor-instance-admin`	错误	项目	`Role`
Harbor Instance Viewer	`harbor-instance-viewer`	错误	项目	`Role`
Harbor 项目创建者	`harbor-project-creator`	错误	项目	`Role`
K8s Network Policy Admin	`k8s-networkpolicy-admin`	错误	项目	`ProjectRole`
负载平衡器管理员	`load-balancer-admin`	错误	项目	`ProjectRole`
LoggingRule Creator	`loggingrule-creator`	错误	项目	`Role`
LoggingRule 编辑器	`loggingrule-editor`	错误	项目	`Role`
LoggingRule 查看者	`loggingrule-viewer`	错误	项目	`Role`
LoggingTarget 创建者	`loggingtarget-creator`	错误	项目	`Role`
LoggingTarget 编辑器	`loggingtarget-editor`	错误	项目	`Role`
LoggingTarget 查看器	`loggingtarget-viewer`	错误	项目	`Role`
MonitoringRule 编辑器	`monitoringrule-editor`	错误	项目	`Role`
MonitoringRule 查看器	`monitoringrule-viewer`	错误	项目	`Role`
MonitoringTarget 编辑器	`monitoringtarget-editor`	错误	项目	`Role`
MonitoringTarget 查看器	`monitoringtarget-viewer`	错误	项目	`Role`
Namespace Admin	`namespace-admin`	错误	项目	`ProjectRole`
NAT 查看器	`nat-viewer`	错误	项目	`ProjectRole`
ObservabilityPipeline Editor	`observabilitypipeline-editor`	错误	项目	`Role`
ObservabilityPipeline Viewer	`observabilitypipeline-viewer`	错误	项目	`Role`
项目级存储分区管理员	`project-bucket-admin`	错误	项目	`Role`
Project Bucket Object Admin	`project-bucket-object-admin`	错误	项目	`Role`
Project Bucket Object Viewer	`project-bucket-object-viewer`	错误	项目	`Role`
Project Cortex Alertmanager 编辑者	`project-cortex-alertmanager-editor`	错误	项目	`Role`
Project Cortex Alertmanager Viewer	`project-cortex-alertmanager-viewer`	错误	项目	`Role`
Project Cortex Prometheus 查看器	`project-cortex-prometheus-viewer`	错误	项目	`Role`
Project Grafana Viewer	`project-grafana-viewer`	错误	项目	`Role`
项目 NetworkPolicy 管理员	`project-networkpolicy-admin`	错误	项目	`Role`
Project Viewer	`project-viewer`	错误	项目	`Role`
项目虚拟机管理员	`project-vm-admin`	错误	项目	`Role`
Project VirtualMachine Image Admin	`project-vm-image-admin`	错误	项目	`Role`
Secret Admin	`secret-admin`	错误	项目	`Role`
Secret Viewer	`secret-viewer`	错误	项目	`Role`
Service Configuration Admin	`service-configuration-admin`	错误	项目	`Role`
Service Configuration Viewer	`service-configuration-viewer`	错误	项目	`Role`
Workbench Notebooks Admin	`workbench-notebooks-admin`	错误	项目	`Role`
卷复制管理员	`app-volume-replication-admin`	错误	集群	`Role`
Workbench Notebooks 查看器	`workbench-notebooks-viewer`	错误	项目	`Role`
工作负载查看器	`workload-viewer`	错误	项目	`Role`

AO 角色、预定义身份和访问权限角色

AO persona
名称	绑定类型	管理 API 服务器权限	Kubernetes 集群权限	升级为
Project IAM Admin	`RoleBinding`	`RoleBinding`、`ClusterRoleBinding`、`Role`、`ClusterRole`、`ProjectRole`、`ProjectClusterRole`、`ProjectRoleBinding` 和 `ProjectClusterRoleBinding`：创建、读取、更新、删除和绑定 `ProjectServiceAccount`：创建、读取、更新和删除列出项目命名空间	不适用	所有其他 AO 角色
AI OCR 开发者	`RoleBinding`	OCR 资源：读取和写入	不适用	不适用
AI 语音开发者	`RoleBinding`	语音资源：读取和写入	不适用	不适用
AI Translation Developer	`RoleBinding`	翻译资源：读写	不适用	不适用
Artifact Management Admin	`RoleBinding`	`HarborProjects`：管理员，创建、读取、写入、删除和查看	不适用	不适用
Artifact Management Editor	`RoleBinding`	`HarborProjects`：读取、写入和查看	不适用	不适用
Certificate Authority Service 管理员	`RoleBinding`	证书授权机构和证书请求：获取、列出、监控、更新、创建、删除和修补	不适用	不适用
Certificate Service Admin	`RoleBinding`	证书和证书签发者：获取、列出、观看、更新、创建、删除和修补	不适用	不适用
信息中心编辑器	`RoleBinding`	`Dashboard` 自定义资源：获取、读取、创建、更新、删除和修补	不适用	不适用
信息中心查看器	`RoleBinding`	`Dashboard`：获取和读取	不适用	不适用
Harbor 实例管理员	`RoleBinding`	Harbor 实例：创建、读取、更新、删除和修补	不适用	不适用
Harbor Instance Viewer	`RoleBinding`	Harbor 实例：读取	不适用	不适用
Harbor 项目创建者	`RoleBinding`	Harbor 实例项目：创建、获取和观看	不适用	不适用
K8s NetworkPolicy Admin	`ProjectRoleBinding`	不适用	`NetworkPolicy` 资源：创建、读取、获取、更新、删除和修补	不适用
负载平衡器管理员	`RoleBinding`	不适用	`Backend`：获取、观看、列出、创建、修补、更新和删除 `HealthCheck`：获取、观看、列出、创建、修补、更新和删除 `BackendService`：获取、观看、列出、创建、修补、更新和删除 `ForwardingRuleExternal`：获取、观看、列出、创建、修补、更新和删除 `ForwardingRuleInternal`：获取、观看、列出、创建、修补、更新和删除	不适用
LoggingRule Creator	`RoleBinding`	`LoggingRule` 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
LoggingRule 编辑器	`RoleBinding`	`LoggingRule` 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
LoggingRule 查看者	`RoleBinding`	`LoggingRule` 自定义资源：读取	不适用	不适用
LoggingTarget 创建者	`RoleBinding`	`LoggingTarget` 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
LoggingTarget 编辑器	`RoleBinding`	`LoggingTarget` 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
LoggingTarget 查看器	`RoleBinding`	`LoggingTarget` 自定义资源：读取	不适用	不适用
MonitoringRule 编辑器	`RoleBinding`	`MonitoringRule` 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
MonitoringRule 查看器	`RoleBinding`	`MonitoringRule` 自定义资源：读取	不适用	不适用
MonitoringTarget 编辑器	`RoleBinding`	`MonitoringTarget` 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
MonitoringTarget 查看器	`RoleBinding`	`MonitoringTarget` 自定义资源：读取	不适用	不适用
Namespace Admin	`ProjectRoleBinding`	不适用	所有资源：项目命名空间中的读写权限	不适用
NAT 查看器	`ProjectRoleBinding`	不适用	部署：获取和读取	不适用
ObservabilityPipeline Editor	`RoleBinding`	`ObservabilityPipeline` 资源：获取、读取、创建、更新、删除和修补	不适用	不适用
ObservabilityPipeline Viewer	`RoleBinding`	`ObservabilityPipeline` 资源：获取并阅读	不适用	不适用
项目级存储分区管理员	`RoleBinding`	存储分区：在项目命名空间中读取和写入	不适用	不适用
Project Bucket Object Admin	`RoleBinding`	存储分区：读取对象：读取和写入	不适用	不适用
Project Bucket Object Viewer	`RoleBinding`	存储分区和对象：读取	不适用	不适用
Project Cortex Alertmanager 编辑者	`RoleBinding`	Cortex 系统和 Cortex Alertmanager：读取和写入	不适用	不适用
Project Cortex Alertmanager Viewer	`RoleBinding`	Cortex 系统和 Cortex Alertmanager：阅读	不适用	不适用
Project Cortex Prometheus 查看器	`RoleBinding`	Cortex 系统和 Cortex Prometheus：阅读	不适用	不适用
Project Grafana Viewer	`RoleBinding`	Grafana 系统和 Grafana：读取和写入	不适用	不适用
项目 NetworkPolicy 管理员	`RoleBinding`	项目网络政策：在项目命名空间中读取和写入	不适用	不适用
Project Viewer	`RoleBinding`	项目命名空间中的所有资源：读取	不适用	不适用
项目虚拟机管理员	`RoleBinding`	虚拟机、磁盘、访问请求、外部访问、备份请求、备份、恢复请求、删除备份请求、恢复和密码重置请求：读取、创建、更新和删除虚拟机重启：放置虚拟机映像、备份方案和备份方案模板：读取	不适用	不适用
Project VirtualMachine Image Admin	`RoleBinding`	虚拟机映像：读取虚拟机映像导入：读取和写入存储分区：创建 “vm-images-bucket”存储桶：读取和写入	不适用	不适用
Secret Admin	`RoleBinding`	Kubernetes Secret：读取、创建、更新、删除和修补	不适用	不适用
Secret Viewer	`RoleBinding`	Kubernetes Secret：读取	不适用	不适用
Service Configuration Admin	`RoleBinding`	`ServiceConfigurations`：读取和写入	不适用	不适用
Service Configuration Viewer	`RoleBinding`	`ServiceConfigurations`：已读	不适用	不适用
卷复制管理员	`ClusterRoleBinding`	`Volume failovers, volume relationship replicas`：创建、获取、列出、观看、删除	不适用	不适用
Workbench Notebooks Admin	`RoleBinding`	不适用	项目命名空间中的笔记本自定义资源 (CR)：创建、读取、更新和删除 `ClusterInfo` 个对象：读取	不适用
Workbench Notebooks 查看器	`RoleBinding`	不适用	项目命名空间中的笔记本自定义资源 (CR)：读取	不适用
工作负载查看器	`ProjectRoleBinding`	不适用	项目命名空间中的 Pod 自定义资源：读取项目命名空间中的部署自定义资源：读取	不适用

常见的预定义身份和访问权限角色

常见角色
名称	Kubernetes 资源名称	初始管理员	级别	类型
AI Platform Viewer	`ai-platform-viewer`	错误	项目	`Role`
DNS 后缀查看器	`dnssuffix-viewer`	错误	组织	`Role`
流日志管理员	`flowlog-admin`	错误	组织	`ClusterRole`
流日志查看器	`flowlog-viewer`	错误	项目	`ClusterRole`
Project Discovery Viewer	`projectdiscovery-viewer`	错误	项目	`ClusterRole`
公共图片查看器	`public-image-viewer`	错误	组织	`Role`
系统 Artifact Registry anthos-creds Secret 监控器	`sar-anthos-creds-secret-monitor`	错误	组织	`Role`
系统 Artifact Registry gpc-system Secret 监控器	`sar-gpc-system-secret-monitor`	错误	组织	`Role`
系统制品注册表 harbor-system 密钥监控器	`sar-harbor-system-secret-monitor`	错误	组织	`Role`
虚拟机类型查看器	`virtualmachinetype-viewer`	错误	组织	`OrganizationRole`
VM Type Viewer	`vmtype-viewer`	错误	组织	`Role`

常见的预定义身份和访问权限角色

常见角色
名称	绑定类型	管理员集群权限	Kubernetes 集群权限	升级为
AI Platform Viewer	`RoleBinding`	预训练服务：读取	不适用	不适用
DNS 后缀查看器	`ClusterRoleBinding`	DNS 后缀配置映射：读取	不适用	不适用
流日志管理员	`ClusterRoleBinding`	流日志资源：获取和读取	流日志资源：获取和读取	不适用
流日志查看器	`ClusterRoleBinding`	流日志资源：创建、获取、读取、修补、更新和删除	流日志资源：创建、获取、读取、修补、更新和删除	不适用
Project Discovery Viewer	`ClusterRoleBinding`	项目：读取	不适用	不适用
公共图片查看器	`RoleBinding`	虚拟机映像：读取	不适用	不适用
系统 Artifact Registry anthos-creds Secret 监控器	`RoleBinding`	`anthos-creds` secrets：获取和读取	`anthos-creds` secrets：获取和读取	不适用
系统 Artifact Registry gpc-system Secret 监控器	`RoleBinding`	`gpc-system` secrets：获取和读取	`gpc-system` secrets：获取和读取	不适用
系统制品注册表 harbor-system 密钥监控器	`RoleBinding`	`harbor-system` secrets：获取和读取	`harbor-system` secrets：获取和读取	不适用
虚拟机类型查看器	`OrganizationRoleBinding`	不适用	虚拟机类型：读取	不适用
VM Type Viewer	`ClusterRoleBinding`	虚拟机类型：读取	不适用	不适用