面向 AO 的预定义角色说明

应用运维人员角色

应用运维人员 (AO) 是平台管理员 (PA) 组织内开发团队的成员。AO 会与项目级资源进行交互。您可以向团队成员分配以下预定义角色:

  • Project IAM Admin:管理项目的 IAM 许可政策。
  • AI OCR 开发者:访问光学字符识别服务以检测图片中的文本。
  • AI Speech Developer:访问 Speech-to-Text 服务以识别语音和转写音频。
  • AI Translation Developer:访问 Vertex AI Translation 服务以翻译文本。
  • 制品管理管理员:对项目命名空间中的所有 Harbor 项目中的资源拥有管理员访问权限。
  • Artifact Management Editor:拥有项目命名空间中所有 Harbor 项目的资源读写权限。
  • Certificate Authority Service Admin:有权管理其项目中的证书授权机构和证书请求。
  • Certificate Service Admin:有权管理其项目中的证书和证书签发者。
  • 信息中心编辑器:对 Dashboard 自定义资源拥有读写权限。
  • Dashboard Viewer:拥有对 Dashboard 自定义资源的只读权限。
  • Harbor 实例管理员:拥有管理项目中的 Harbor 实例的完整权限。
  • Harbor 实例查看者:拥有只读权限,可查看项目中的 Harbor 实例。
  • Harbor Project Creator:有权管理 Harbor 实例项目。
  • K8s Network Policy Admin:管理 Kubernetes 集群中的网络政策。
  • LoggingRule 创建者:在项目命名空间中创建 LoggingRule 自定义资源。
  • LoggingRule 编辑器:用于修改项目命名空间中的 LoggingRule 自定义资源。
  • LoggingRule Viewer:查看项目命名空间中的 LoggingRule 自定义资源。
  • LoggingTarget 创建者:在项目命名空间中创建 LoggingTarget 自定义资源。
  • LoggingTarget 编辑器:用于修改项目命名空间中的 LoggingTarget 自定义资源。
  • LoggingTarget Viewer:查看项目命名空间中的 LoggingTarget 自定义资源。
  • Load Balancer Admin:对项目命名空间中的所有负载均衡器资源拥有读取和写入权限。
  • MonitoringRule Editor:拥有对 MonitoringRule 资源的读写权限。
  • MonitoringRule Viewer:拥有对 MonitoringRule 自定义资源的只读权限。
  • MonitoringTarget Editor:拥有对 MonitoringTarget 自定义资源的读写权限。
  • MonitoringTarget Viewer:拥有对 MonitoringTarget 自定义资源的只读权限。
  • NAT 查看者:拥有对 Kubernetes 集群中部署的只读权限。
  • 命名空间管理员:管理项目命名空间中的所有资源。
  • ObservabilityPipeline Editor:对 ObservabilityPipeine 自定义资源拥有读写权限。
  • ObservabilityPipeline Viewer:拥有对 ObservabilityPipeline 自定义资源的只读权限。
  • Project Bucket Admin:管理存储分区和存储分区内的对象。
  • 项目存储分区对象管理员:对项目中的存储分区具有只读权限,对这些存储分区中的对象具有读写权限。
  • Project Bucket Object Viewer:拥有对项目内存储分区以及这些存储分区中对象的只读权限。
  • Project Cortex Alertmanager Editor:授予在项目命名空间中修改 Cortex Alertmanager 实例的权限。
  • Project Cortex Alertmanager Viewer:授予访问项目命名空间中 Cortex Alertmanager 实例的权限。
  • Project Cortex Prometheus Viewer:授予访问项目命名空间中 Cortex Prometheus 实例的权限。
  • 项目 Grafana 查看者:访问舰队管理员集群的项目命名空间中的 Grafana 实例。
  • Project NetworkPolicy Admin:管理项目命名空间中的项目网络政策。
  • 项目查看者:拥有对项目命名空间内所有资源的只读权限。
  • Project VirtualMachine Admin:管理项目命名空间中的虚拟机。
  • Project VirtualMachine Image Admin:管理项目命名空间中的虚拟机映像。
  • Secret Admin:管理项目中的 Kubernetes Secret。
  • Secret Viewer:查看项目中的 Kubernetes Secret。
  • Service Configuration Admin:对项目命名空间内的服务配置具有读写权限。
  • 服务配置查看者:拥有对项目命名空间内服务配置的读取权限。
  • 卷复制管理员:管理卷复制资源。
  • Workbench Notebooks Admin:获取对项目命名空间内所有笔记本资源的读写访问权限。
  • Workbench Notebooks Viewer:获取对项目命名空间内所有笔记本资源的只读访问权限,并查看 Vertex AI Workbench 界面。
  • 工作负载查看者:拥有对项目中工作负载的读取权限。

常见角色

以下预定义的常见角色适用于所有通过身份验证的用户:

  • AI Platform Viewer:授予查看预训练服务的权限。
  • DNS 后缀查看器:访问域名服务 (DNS) 后缀配置映射。
  • Flow Log Admin:拥有对所有流日志资源的读写权限。
  • Flow Log Viewer:拥有对所有流日志资源的只读权限。
  • Project Discovery Viewer:向所有已通过身份验证的用户授予对项目视图的读取权限。
  • 公共映像查看者:对命名空间 vm-images 中的公共虚拟机映像拥有读取权限,适用于所有经过身份验证的用户。
  • 系统制品注册表 anthos-creds Secret 监控器:对 anthos-creds 命名空间中的 Secret 具有只读访问权限。
  • 系统制品注册表 gpc-system Secret 监控器:对 gpc-system 命名空间中的 Secret 具有只读访问权限。
  • 系统制品注册表 harbor-system Secret 监控器:对 harbor-system 命名空间中的 Secret 具有只读访问权限。
  • 虚拟机类型查看者:拥有对集群范围的虚拟机类型的读取权限。
  • 虚拟机类型查看者:对管理员集群上预定义的虚拟机类型具有读取权限。