项目的角色定义

本部分中的表格介绍了不同的预定义角色及其权限。这些表格包含以下列：

• 名称：界面 (UI) 中显示的角色名称。
• Kubernetes 资源名称：相应 Kubernetes 自定义资源的名称。
• 级别：用于指定此角色的范围是组织还是项目。
• Type: The type of this role. 例如，一些可能的值包括 Role、ProjectRole、ClusterRole 或 ProjectClusterRole。
• 绑定类型：您必须应用于此角色的绑定类型。
• 管理 API 服务器或 Kubernetes 集群权限：相应角色对管理 API 服务器或 Kubernetes 集群拥有的权限。例如，一些可能的值包括读取、写入、读取和写入，或不适用 (N/A)。
• 升级为：用于指定此角色是否升级为其他角色。

AO 角色，预定义的身份和访问权限角色

AO persona
名称	Kubernetes 资源名称	初始管理员	级别	类型
Project IAM Admin	project-iam-admin	正确	项目	Role
AI OCR 开发者	ai-ocr-developer	错误	项目	Role
AI Platform Viewer	ai-platform-viewer	错误	项目	Role
AI 语音开发者	ai-speech-developer	错误	项目	Role
AI Translation Developer	ai-translation-developer	错误	项目	Role
制品管理管理员	artifact-management-admin	错误	项目	Role
制品管理编辑器	artifact-management-editor	错误	项目	Role
Certificate Authority Service Admin	certificate-authority-service-admin	错误	项目	Role
Certificate Service Admin	certificate-service-admin	错误	项目	Role
信息中心编辑器	dashboard-editor	错误	项目	Role
信息中心查看器	dashboard-viewer	错误	项目	Role
Harbor 实例管理员	harbor-instance-admin	错误	项目	Role
Harbor Instance Viewer	harbor-instance-viewer	错误	项目	Role
Harbor 项目创建者	harbor-project-creator	错误	项目	Role
K8s Network Policy Admin	k8s-networkpolicy-admin	错误	项目	ProjectRole
负载平衡器管理员	load-balancer-admin	错误	项目	ProjectRole
LoggingRule Creator	loggingrule-creator	错误	项目	Role
LoggingRule 编辑器	loggingrule-editor	错误	项目	Role
LoggingRule 查看者	loggingrule-viewer	错误	项目	Role
LoggingTarget 创建者	loggingtarget-creator	错误	项目	Role
LoggingTarget 编辑器	loggingtarget-editor	错误	项目	Role
LoggingTarget 查看器	loggingtarget-viewer	错误	项目	Role
MonitoringRule 编辑器	monitoringrule-editor	错误	项目	Role
MonitoringRule 查看器	monitoringrule-viewer	错误	项目	Role
MonitoringTarget 编辑器	monitoringtarget-editor	错误	项目	Role
MonitoringTarget 查看器	monitoringtarget-viewer	错误	项目	Role
Namespace Admin	namespace-admin	错误	项目	ProjectRole
NAT 查看器	nat-viewer	错误	项目	ProjectRole
ObservabilityPipeline Editor	observabilitypipeline-editor	错误	项目	Role
ObservabilityPipeline Viewer	observabilitypipeline-viewer	错误	项目	Role
项目级存储分区管理员	project-bucket-admin	错误	项目	Role
Project Bucket Object Admin	project-bucket-object-admin	错误	项目	Role
Project Bucket Object Viewer	project-bucket-object-viewer	错误	项目	Role
Project Cortex Alertmanager 编辑器	project-cortex-alertmanager-editor	错误	项目	Role
Project Cortex Alertmanager Viewer	project-cortex-alertmanager-viewer	错误	项目	Role
Project Cortex Prometheus 查看器	project-cortex-prometheus-viewer	错误	项目	Role
Project Grafana Viewer	project-grafana-viewer	错误	项目	Role
项目 NetworkPolicy 管理员	project-networkpolicy-admin	错误	项目	Role
Project Viewer	project-viewer	错误	项目	Role
项目虚拟机管理员	project-vm-admin	错误	项目	Role
Project VirtualMachine Image Admin	project-vm-image-admin	错误	项目	Role
Secret Admin	secret-admin	错误	项目	Role
Secret Viewer	secret-viewer	错误	项目	Role
Service Configuration Admin	service-configuration-admin	错误	项目	Role
Service Configuration Viewer	service-configuration-viewer	错误	项目	Role
Workbench Notebooks Admin	workbench-notebooks-admin	错误	项目	Role
卷复制管理员	app-volume-replication-admin	错误	集群	Role
Workbench Notebooks 查看器	workbench-notebooks-viewer	错误	项目	Role
工作负载查看器	workload-viewer	错误	项目	Role

AO 角色、预定义身份和访问权限角色

AO persona
名称	绑定类型	管理 API 服务器权限	Kubernetes 集群权限	升级为
Project IAM Admin	RoleBinding	RoleBinding、ClusterRoleBinding、Role、ClusterRole、ProjectRole、ProjectClusterRole、ProjectRoleBinding 和 ProjectClusterRoleBinding：创建、读取、更新、删除和绑定 ProjectServiceAccount：创建、读取、更新和删除 列出项目命名空间	不适用	所有其他 AO 角色
AI OCR 开发者	RoleBinding	OCR 资源：读取和写入	不适用	不适用
AI 语音开发者	RoleBinding	语音资源：读取和写入	不适用	不适用
AI Translation Developer	RoleBinding	翻译资源：读取和写入	不适用	不适用
制品管理管理员	RoleBinding	HarborProjects：管理员，创建、读取、写入、删除和查看	不适用	不适用
制品管理编辑器	RoleBinding	HarborProjects：读取、写入和查看	不适用	不适用
Certificate Authority Service Admin	RoleBinding	证书授权机构和证书请求：获取、列出、监控、更新、创建、删除和修补	不适用	不适用
Certificate Service Admin	RoleBinding	证书和证书签发者：获取、列出、观看、更新、创建、删除和修补	不适用	不适用
信息中心编辑器	RoleBinding	Dashboard 自定义资源：获取、读取、创建、更新、删除和修补	不适用	不适用
信息中心查看器	RoleBinding	Dashboard：获取并读取	不适用	不适用
Harbor 实例管理员	RoleBinding	Harbor 实例：创建、读取、更新、删除和修补	不适用	不适用
Harbor Instance Viewer	RoleBinding	Harbor 实例：读取	不适用	不适用
Harbor 项目创建者	RoleBinding	Harbor 实例项目：创建、获取和观看	不适用	不适用
K8s NetworkPolicy Admin	ProjectRoleBinding	不适用	NetworkPolicy 资源：创建、读取、获取、更新、删除和修补	不适用
负载平衡器管理员	RoleBinding	不适用	Backend：获取、观看、列出、创建、修补、更新和删除 HealthCheck：获取、观看、列出、创建、修补、更新和删除 BackendService：获取、观看、列出、创建、修补、更新和删除 ForwardingRuleExternal：获取、观看、列出、创建、修补、更新和删除 ForwardingRuleInternal：获取、观看、列出、创建、修补、更新和删除	不适用
LoggingRule Creator	RoleBinding	LoggingRule 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
LoggingRule 编辑器	RoleBinding	LoggingRule 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
LoggingRule 查看者	RoleBinding	LoggingRule 自定义资源：读取	不适用	不适用
LoggingTarget 创建者	RoleBinding	LoggingTarget 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
LoggingTarget 编辑器	RoleBinding	LoggingTarget 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
LoggingTarget 查看器	RoleBinding	LoggingTarget 自定义资源：读取	不适用	不适用
MonitoringRule 编辑器	RoleBinding	MonitoringRule 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
MonitoringRule 查看器	RoleBinding	MonitoringRule 自定义资源：读取	不适用	不适用
MonitoringTarget 编辑器	RoleBinding	MonitoringTarget 自定义资源：创建、读取、更新、删除和修补	不适用	不适用
MonitoringTarget 查看器	RoleBinding	MonitoringTarget 自定义资源：读取	不适用	不适用
Namespace Admin	ProjectRoleBinding	不适用	所有资源：项目命名空间中的读写权限	不适用
NAT 查看器	ProjectRoleBinding	不适用	部署：获取和读取	不适用
ObservabilityPipeline Editor	RoleBinding	ObservabilityPipeline 资源：获取、读取、创建、更新、删除和修补	不适用	不适用
ObservabilityPipeline Viewer	RoleBinding	ObservabilityPipeline 资源：获取和阅读	不适用	不适用
项目级存储分区管理员	RoleBinding	存储分区：在项目命名空间中读取和写入	不适用	不适用
Project Bucket Object Admin	RoleBinding	存储分区：读取 对象：读取和写入	不适用	不适用
Project Bucket Object Viewer	RoleBinding	存储分区和对象：读取	不适用	不适用
Project Cortex Alertmanager 编辑器	RoleBinding	Cortex 系统和 Cortex Alertmanager：读取和写入	不适用	不适用
Project Cortex Alertmanager Viewer	RoleBinding	Cortex 系统和 Cortex Alertmanager：阅读	不适用	不适用
Project Cortex Prometheus 查看器	RoleBinding	Cortex 系统和 Cortex Prometheus：阅读	不适用	不适用
Project Grafana Viewer	RoleBinding	Grafana 系统和 Grafana：读取和写入	不适用	不适用
项目 NetworkPolicy 管理员	RoleBinding	项目网络政策：在项目命名空间中读取和写入	不适用	不适用
Project Viewer	RoleBinding	项目命名空间中的所有资源：读取	不适用	不适用
项目虚拟机管理员	RoleBinding	虚拟机、磁盘、访问请求、外部访问、备份请求、备份、恢复请求、删除备份请求、恢复和密码重置请求：读取、创建、更新和删除 虚拟机重启：放置 虚拟机映像、备份方案和备份方案模板：读取	不适用	不适用
Project VirtualMachine Image Admin	RoleBinding	虚拟机映像：读取 虚拟机映像导入：读取和写入	不适用	不适用
Secret Admin	RoleBinding	Kubernetes Secret：读取、创建、更新、删除和修补	不适用	不适用
Secret Viewer	RoleBinding	Kubernetes Secret：读取	不适用	不适用
Service Configuration Admin	RoleBinding	ServiceConfigurations：读取和写入	不适用	不适用
Service Configuration Viewer	RoleBinding	ServiceConfigurations：已读	不适用	不适用
卷复制管理员	ClusterRoleBinding	Volume failovers, volume relationship replicas： 创建、获取、列出、观看、删除	不适用	不适用
Workbench Notebooks Admin	RoleBinding	不适用	项目命名空间中的笔记本自定义资源 (CR)：创建、读取、更新和删除 ClusterInfo 个对象：读取	不适用
Workbench Notebooks 查看器	RoleBinding	不适用	项目命名空间中的笔记本自定义资源 (CR)：读取	不适用
工作负载查看器	ProjectRoleBinding	不适用	项目命名空间中的 Pod 自定义资源：读取 项目命名空间中的部署自定义资源：读取	不适用

常见的预定义身份和访问权限角色

常见角色
名称	Kubernetes 资源名称	初始管理员	级别	类型
AI Platform Viewer	ai-platform-viewer	错误	项目	Role
DNS 后缀查看器	dnssuffix-viewer	错误	组织	Role
流日志管理员	flowlog-admin	错误	组织	ClusterRole
流日志查看器	flowlog-viewer	错误	项目	ClusterRole
Project Discovery Viewer	projectdiscovery-viewer	错误	项目	ClusterRole
公共图片查看器	public-image-viewer	错误	组织	Role
系统 Artifact Registry anthos-creds Secret 监控器	sar-anthos-creds-secret-monitor	错误	组织	Role
系统 Artifact Registry gpc-system Secret 监控器	sar-gpc-system-secret-monitor	错误	组织	Role
系统制品注册表 harbor-system 密钥监控器	sar-harbor-system-secret-monitor	错误	组织	Role
虚拟机类型查看器	virtualmachinetype-viewer	错误	组织	OrganizationRole
VM Type Viewer	vmtype-viewer	错误	组织	Role

常见的预定义身份和访问权限角色

常见角色
名称	绑定类型	管理员集群权限	Kubernetes 集群权限	升级为
AI Platform Viewer	RoleBinding	预训练服务：读取	不适用	不适用
DNS 后缀查看器	ClusterRoleBinding	DNS 后缀配置映射：读取	不适用	不适用
流日志管理员	ClusterRoleBinding	流日志资源：获取和读取	流日志资源：获取和读取	不适用
流日志查看器	ClusterRoleBinding	流日志资源：创建、获取、读取、修补、更新和删除	流日志资源：创建、获取、读取、修补、更新和删除	不适用
Project Discovery Viewer	ClusterRoleBinding	项目：读取	不适用	不适用
公共图片查看器	RoleBinding	虚拟机映像：读取	不适用	不适用
系统 Artifact Registry anthos-creds Secret 监控器	RoleBinding	anthos-creds 密文：获取和读取	anthos-creds 密文：获取和读取	不适用
系统 Artifact Registry gpc-system Secret 监控器	RoleBinding	gpc-system 密文：获取和读取	gpc-system 密文：获取和读取	不适用
系统制品注册表 harbor-system 密钥监控器	RoleBinding	harbor-system 密文：获取和读取	harbor-system 密文：获取和读取	不适用
虚拟机类型查看器	OrganizationRoleBinding	不适用	虚拟机类型：读取	不适用
VM Type Viewer	ClusterRoleBinding	虚拟机类型：读取	不适用	不适用