このページは Cloud Translation API によって翻訳されました。

ロール定義

このセクションの表では、さまざまな事前定義ロールとその権限について説明します。テーブルには次の列が含まれています。

名前: ユーザーインターフェース（UI）に表示されるロールの名前。
Kubernetes リソース名: 対応する Kubernetes カスタムリソースの名前。
レベル: このロールが組織またはプロジェクトによってスコープ設定されているかどうかを指定します。
タイプ: このロールのタイプ。たとえば、Role、ProjectRole、ClusterRole、ProjectClusterRole などの値が考えられます。
バインディングタイプ: このロールに適用する必要があるバインディングのタイプ。
Management API サーバーまたは Kubernetes クラスタの権限: このロールが Management API サーバーまたは Kubernetes クラスタに対して持つ権限。たとえば、read、write、read and write、not applicable（N/A）などの値が考えられます。
エスカレーション先: このロールが他のロールにエスカレーションするかどうかを指定します。

ロールのタイプ

ClusterRole: Management API サーバーまたは Kubernetes クラスタのクラスタスコープにある Kubernetes RBAC ロール。
ロール: Management API サーバーまたは Kubernetes クラスタの Namespace スコープにある Kubernetes RBAC ロール。
ProjectRole: 権限が定義され、Kubernetes クラスタと Namespace にバインドされているカスタムリソース定義。プロジェクトロールは、Role として Kubernetes クラスタに伝播されます。
OrganizationRole: 権限が定義されたカスタムリソース定義。Kubernetes クラスタに ClusterRole として伝播されます。

事前定義された ID とアクセスロールのテーブル

次の表に、各事前定義ロールに割り当てられている権限の詳細を示します。ペルソナごとに個別のテーブルがあります。

IO Persona、事前定義された ID とアクセスロール

IO ペルソナ
名前	Kubernetes リソース名	初期管理者	レベル	型
セキュリティ管理者	`security-admin`	正しい	組織	`ClusterRole`
APPLSTOR デバッガ	`applstor-debugger`	誤り	組織	`ClusterRole`
APPLSTOR モニター	`applstor-monitor`	誤り	組織	`ClusterRole`
APPLSTOR シークレットローテーター	`applstor-secret-rotator`	誤り	組織	`Role`
AuditLoggingTarget IO Creator	`auditloggingtarget-io-creator`	誤り	組織	`ClusterRole`
AuditLoggingTarget IO 閲覧者	`auditloggingtarget-io-viewer`	誤り	組織	`ClusterRole`
AuditLoggingTarget IO 編集者	`auditloggingtarget-io-editor`	誤り	組織	`ClusterRole`
監査ログバックアップ復元編集者	`audit-logs-backup-restore-editor`	誤り	組織	`ClusterRole`
監査ログインフラストラクチャバケット閲覧者	`audit-logs-infra-bucket-viewer`	誤り	組織	`ClusterRole`
AIS 管理者	`ais-admin`	誤り	組織	`Role`
AIS Debugger	`ais-debugger`	誤り	組織	`Role`
AIS Monitor	`ais-monitor`	誤り	組織	`Role`
AuthzPDP デバッガ	`authzpdp-debugger`	誤り	組織	`Role`
Cert Manager システムクラスタデバッガ	`platauth-cert-manager-system-debugger`	誤り	組織	`OrganizationRole`
ダッシュボード作成者	`dashboard-creator`	誤り	組織	`ClusterRole`
Dashboard IO Creator	`dashboard-io-creator`	誤り	組織	`ClusterRole`
Dashboard IO Editor	`dashboard-io-editor`	誤り	組織	`ClusterRole`
ダッシュボード IO 閲覧者	`dashboard-io-viewer`	誤り	組織	`ClusterRole`
AuditLoggingTarget カスタムリソースのデバッグ	`auditloggingtarget-monitor`	誤り	プロジェクト	`Role`
DNS 管理者	`dns-admin`	誤り	組織	`ClusterRole`
DNS デバッガ	`dns-debugger-root`	誤り	組織	`ClusterRole`
DNS モニター	`dns-monitor`	誤り	組織	`ClusterRole`
DNS サフィックス閲覧者	`dnssuffix-viewer`	誤り	組織	`ClusterRole`
緊急 SSH 認証情報管理者	`emergencysshcreds-admin`	誤り	組織	`Role`
FluentBit IO Creator	`fluentbit-io-creator`	誤り	組織	`ClusterRole`
FluentBit IO 閲覧者	`fluentbit-io-viewer`	誤り	組織	`ClusterRole`
FluentBit IO エディタ	`fluentbit-io-editor`	誤り	組織	`ClusterRole`
Gatekeeper 管理者	`gatekeeper-admin`	誤り	組織	`Role`
Grafana 閲覧者	`grafana-viewer`	誤り	組織	`ClusterRole`
Grafana Debugger	`grafana-debugger`	誤り	プロジェクト	`ProjectRole`
ハードウェア管理者	`hardware-admin`	誤り	組織	`ClusterRole`
HWDR 管理者	`hardware-dr-admin`	誤り	組織	`ClusterRole`
HWDR 閲覧者	`hwdr-viewer`	誤り	組織	`ClusterRole`
インフラストラクチャ PKI デバッガ	`platauth-infra-pki-debugger`	誤り	プロジェクト	`Role`
Interconnect 管理者	`interconnect-admin-cp`	誤り	組織	`ClusterRole`
Kiali 管理者	`kiali-admin`	誤り	組織	`ClusterRole`
KUB IPAM Debugger	`kub-ipam-debugger`	誤り	組織	`ClusterRole`
KUB モニター	`kub-monitor`	誤り	組織	`ClusterRole`
LogCollector IO Creator	`logcollector-io-creator`	誤り	組織	`ClusterRole`
LogCollector IO Viewer	`logcollector-io-viewer`	誤り	組織	`ClusterRole`
LogCollector IO エディタ	`logcollector-io-editor`	誤り	組織	`ClusterRole`
LoggingRule IO Creator	`loggingrule-io-creator`	誤り	組織	`ClusterRole`
LoggingRule IO 閲覧者	`loggingrule-io-viewer`	誤り	組織	`ClusterRole`
LoggingRule IO エディタ	`loggingrule-io-editor`	誤り	組織	`ClusterRole`
LoggingTarget IO Creator	`loggingtarget-io-creator`	誤り	組織	`ClusterRole`
LoggingTarget IO ビューア	`loggingtarget-io-viewer`	誤り	組織	`ClusterRole`
LoggingTarget IO エディタ	`loggingtarget-io-editor`	誤り	組織	`ClusterRole`
Log Query API Querier	`log-query-api-querier`	誤り	プロジェクト	`Role`
MonitoringRule IO 作成者	`monitoringrule-io-creator`	誤り	組織	`ClusterRole`
MonitoringRule IO 閲覧者	`monitoringrule-io-viewer`	誤り	組織	`ClusterRole`
MonitoringRule IO 編集者	`monitoringrule-io-editor`	誤り	組織	`ClusterRole`
MonitoringTarget 作成者	`monitoringtarget-creator`	誤り	組織	`ClusterRole`
MonitoringTarget IO 作成者	`monitoringtarget-io-creator`	誤り	組織	`ClusterRole`
MonitoringTarget IO 閲覧者	`monitoringtarget-io-viewer`	誤り	組織	`ClusterRole`
MonitoringTarget IO エディタ	`monitoringtarget-io-editor`	誤り	組織	`ClusterRole`
ObservabilityPipeline IO 作成者	`observabilitypipeline-io-creator`	誤り	組織	`ClusterRole`
ObservabilityPipeline IO 閲覧者	`observabilitypipeline-io-viewer`	誤り	組織	`ClusterRole`
ObservabilityPipeline IO 編集者	`observabilitypipeline-io-editor`	誤り	組織	`ClusterRole`
オブザーバビリティ管理者	`observability-admin`	誤り	組織	`Role`
オブザーバビリティデバッガ	`observability-debugger`	誤り	組織	`OrganizationRole`
オブザーバビリティシステムデバッガ	`observability-system-debugger`	誤り	組織	`OrganizationRole`
オブザーバビリティ閲覧者	`observability-viewer`	誤り	組織	`Role`
OCLCM Debugger	`oclcm-debugger-root`	誤り	組織	`ClusterRole`
OCLCM 閲覧者	`oclcm-viewer-root`	誤り	組織	`ClusterRole`
組織管理者	`organization-admin`	誤り	組織	`ClusterRole`
組織システムアーティファクト管理管理者	`organization-system-artifact-management-admin`	誤り	組織	`Role`
Organization System Artifact Management Debugger	`organization-system-artifact-management-debugger`	誤り	組織	`ClusterRole`
PERF Admin Monitor	`perf-admin-monitor`	誤り	組織	`Role`
PERF 管理リソースのメンテナンス担当者	`perf-admin-resource-maintainer`	誤り	プロジェクト	`Role`
PERF Debugger	`perf-debugger`	誤り	プロジェクト	`ProjectRole`
PERF システムモニター	`perf-system-monitor`	誤り	プロジェクト	`ProjectRole`
PERF システムリソースの保守担当者	`perf-system-resource-maintainer`	誤り	プロジェクト	`ProjectRole`
PNET Debugger	`pnet-debugger`	誤り	組織	`ClusterRole`
PNET モニター	`pnet-monitor`	誤り	組織	`ClusterRole`
PNET Secret Debugger	`pnet-secret-debugger`	誤り	組織	`Role`
PSPF デバッガ	`pspf-debugger`	誤り	組織	`Role`
PSPF モニター	`pspf-monitor`	誤り	組織	`Role`
ポリシー管理者	`policy-admin`	誤り	組織	`ClusterRole`
Remote Logger 管理者	`remote-logger-admin`	誤り	組織	`Role`
Remote Logger Viewer	`remote-logger-viewer`	誤り	組織	`Role`
ルート Cortex Alertmanager 編集者	`root-cortex-alertmanager-editor`	誤り	組織	`Role`
Root Cortex Alertmanager 閲覧者	`root-cortex-alertmanager-viewer`	誤り	組織	`Role`
Root Cortex Prometheus Viewer	`root-cortex-prometheus-viewer`	誤り	組織	`Role`
ルートセッション管理者	`root-session-admin`	誤り	組織	`Role`
セキュリティ閲覧者	`security-viewer`	誤り	組織	`ClusterRole`
Service Now 管理者	`service-now-admin`	誤り	プロジェクト	`Role`
Service Now 管理者	`service-now-admin`	誤り	プロジェクト	`ProjectRole`
SSH インフラストラクチャデバッガ	`platauth-ssh-infra-debugger`	誤り	プロジェクト	`ProjectRole`
システムアーティファクト管理管理者	`system-artifact-management-admin`	誤り	組織	`Role`
システムアーティファクト管理シークレット管理者	`system-artifact-management-secrets-admin`	誤り	組織	`Role`
システム Artifact Registry Harbor 管理者	`sar-harbor-admin`	誤り	組織	`Role`
システム Artifact Registry Harbor 読み取り	`sar-harbor-read`	誤り	組織	`Role`
System Artifact Registry Harbor ReadWrite	`sar-harbor-readwrite`	誤り	組織	`Role`
システム Artifact Registry デバッガ	`sar-debugger-root`	誤り	組織	`ClusterRole`
システム Artifact Registry モニター	組織インフラストラクチャクラスタ: `sar-monitor` ルート管理クラスタ: `sar-monitor-root`	誤り	組織	`ClusterRole`
システムクラスタ管理者	`system-cluster-admin`	誤り	組織	`OrganizationRole`
システムクラスタ DNS デバッガ	`system-cluster-dns-debugger`	誤り	組織	`OrganizationRole`
システムクラスタ UNET デバッガ	`system-cluster-unet-debugger`	誤り	組織	`OrganizationRole`
システムクラスタ UNET モニター	`system-cluster-unet-monitor`	誤り	組織	`OrganizationRole`
ユーザークラスタ UNET デバッガ	`user-cluster-unet-debugger`	誤り	組織	`OrganizationRole`
システムクラスタ閲覧者	`system-cluster-viewer`	誤り	組織	`OrganizationRole`
システムプロジェクトの VirtualMachine 管理者	`system-project-vm-admin`	誤り	ロール	`Role`
Tenable Nessus 管理者	`tenable-nessus-admin`	誤り	プロジェクト	`Role`
Tenable Nessus 管理者	`tenable-nessus-system-admin`	誤り	プロジェクト	`ProjectRole`
Transfer Appliance リクエスト管理者	`transfer-appliance-request-admin`	誤り	組織	`ClusterRole`
トラストバンドルルートモニター	`transfer-appliance-request-admin`	誤り	組織	`Role`
UI デバッガ	`ui-debugger`	誤り	組織	`ClusterRole`
UNET CLI 組織管理者モニター	`unet-cli-org-admin-monitor`	誤り	組織	`ClusterRole`
UNET CLI ルート管理者モニター	`unet-cli-root-admin-monitor`	誤り	組織	`ClusterRole`
UNET CLI システムモニター	`unet-cli-system-monitor`	誤り	組織	`OrganizationRole`
UNET CLI ユーザーモニター	`unet-cli-user-monitor`	誤り	組織	`OrganizationRole`
アプライアンスのアップグレード管理者	`upgrade-admin-te`	誤り	組織	`ClusterRole`
アップグレードデバッガ	`upgrade-debugger`	誤り	組織	`OrganizationRole`
ユーザークラスタ DNS デバッガ	`user-cluster-dns-debugger`	誤り	組織	`OrganizationRole`
ユーザークラスタデバッガ	`user-cluster-debugger`	誤り	組織	`OrganizationRole`
ユーザークラスタ UNET デバッガ	`user-cluster-unet-debugger`	誤り	組織	`OrganizationRole`
ユーザークラスタ UNET モニター	`user-cluster-unet-monitor`	誤り	組織	`OrganizationRole`
VAISEARCH Secret Rotator	`vaisearch-secret-rotator`	誤り	プロジェクト	`ProjectRole`
管理プレーン API サーバーの VPN デバッガ	`vpn-debugger`	誤り	プロジェクト	`Role`
ウェブ TLS 証明書デバッガ	`platauth-web-tls-cert-debugger`	誤り	プロジェクト	`Role`

IO ペルソナ、事前定義された ID とアクセスロール

IO ペルソナ
名前	バインディングタイプ	Management API サーバーの権限	Kubernetes クラスタの権限	エスカレーション先
セキュリティ管理者	`ClusterRoleBinding`	`RoleBinding`、`ClusterRoleBinding`、`Role`、`ClusterRole`、`ProjectRole`、`OrganizationClusterRole`、`ProjectRoleBinding`、`OrganizationRoleBinding`: 作成、読み取り、更新、削除 GKE Identity Service カスタムリソース（CR）: 読み取りと書き込み	なし	組織 IAM 管理者と他のすべての IO ロール
AIS 管理者	`RoleBinding`	GKE Identity Service Pod のデプロイ: 読み取りと書き込み AIS 暗号化シークレット: 削除	なし	なし
AIS Debugger	`RoleBinding`	AIS リソース: 作成、読み取り、更新、削除、パッチ適用	なし	なし
AIS Monitor	`RoleBinding`	`iam-system` Namespace の AIS リソース: 読み取りと書き込み	なし	なし
APPLSTOR デバッガ	`ClusterRoleBinding`	Namespace、Secret、サービスアカウント: 取得、一覧表示バケット、バケットグループ: 読み取りと書き込み外部 HSM: 読み取りと書き込み	なし	なし
APPLSTOR モニター	`ClusterRoleBinding`	`asmconfigs`: 取得、リスト	なし	なし
APPLSTOR シークレットローテーター	`RoleBinding`	`Object storage secrets`: 取得、パッチ	なし	なし
AuditLoggingTarget IO Creator	`ClusterRoleBinding`	`AuditLoggingTarget` カスタムリソース: 読み取りと書き込み	なし	なし
AuditLoggingTarget IO 編集者	`ClusterRoleBinding`	`AuditLoggingTarget` カスタムリソース: 読み取りと書き込み	なし	なし
AuditLoggingTarget IO 閲覧者	`ClusterRoleBinding`	`AuditLoggingTarget` カスタムリソース: 読み取り	なし	なし
監査ログバックアップ復元編集者	`ClusterRoleBinding`	バックアップバケット: 読み取りと書き込み	なし	なし
監査ログインフラストラクチャバケット閲覧者	`ClusterRoleBinding`	バックアップバケット: 読み取り	なし	なし
ダッシュボード作成者	`ClusterRoleBinding`	`Dashboard` カスタムリソース: Get、List、Watch、Create	なし	なし
Dashboard IO Creator	`ClusterRoleBinding`	`Dashboard` カスタムリソース: 読み取りと書き込み	なし	なし
AuthzPDP デバッガ	`RoleBinding`	`AuthzPDP` サービス: 読み取り、更新 DNS デプロイ: 読み取り、パッチ適用、更新	なし	なし
Cert Manager システムクラスタデバッガ	`OrganizationRoleBinding`	証明書、証明書リクエスト、発行者、クラスタ発行者、チャレンジ、注文: 取得、一覧表示、監視、更新、パッチ適用、削除、作成	なし	なし
Dashboard IO Editor	`ClusterRoleBinding`	`Dashboard` カスタムリソース: 読み取りと書き込み	なし	なし
ダッシュボード IO 閲覧者	`ClusterRoleBinding`	`Dashboard` カスタムリソース: 読み取り	なし	なし
AuditLoggingTarget カスタムリソースのデバッグ	`RoleBinding`	DNS 登録: 取得、一覧表示 `Audit logging targets` : 取得、一覧表示、更新、削除、パッチ適用	なし	なし
DNS 管理者	`ClusterRoleBinding`	DNS ファイルとセキュリティキー: 作成、読み取り、更新、削除 `DNSRegistration` カスタムリソース（CR）: 作成、読み取り、更新 DNS サービスとリゾルバ: 読み取りと更新	なし	なし
DNS デバッガ	`ClusterRoleBinding`	ConfigMap と Secret: 作成、読み取り、削除 DNS 登録: 作成と読み取りサービス: 読み取り、更新デプロイとデプロイログ: 読み取り、パッチ適用、更新 Pod: 作成と読み取り Pod ログ: 読み取り	なし	なし
DNS モニター	`ClusterRoleBinding`	なし	Configmap、シークレット、DNS 登録 API、DNS サービス、DNS デプロイ: 読み取り	なし
DNS サフィックス閲覧者	`ClusterRoleBinding`	なし	DNS サフィックスの ConfigMap: 読み取り	なし
緊急 SSH 認証情報管理者	`RoleBinding`	なし	`EmergencySshCredentials`: 作成、読み取り、パッチ適用	なし
FluentBit IO Creator	`ClusterRoleBinding`	`FluentBit` カスタムリソース: 読み取りと書き込み	なし	なし
FluentBit IO エディタ	`ClusterRoleBinding`	`FluentBit` カスタムリソース: 読み取りと書き込み	なし	なし
FluentBit IO 閲覧者	`ClusterRoleBinding`	`FluentBit` カスタムリソース: 読み取り	なし	なし
Gatekeeper 管理者	`RoleBinding`	デプロイ: 読み取りとパッチ適用シークレット: 読み取り、パッチ適用、更新	なし	なし
Grafana Debugger	`ProjectRoleBinding`	アプリ、デプロイ、ステートフルセット、Pod: 読み取り、更新、削除、パッチ適用	アプリ、デプロイ、ステートフルセット、Pod:: 読み取り、更新、削除、パッチ適用	なし
Grafana 閲覧者	`RoleBinding`	`GrafanaSystem` と Grafana: 読み取りと書き込み	なし	なし
ハードウェア管理者	`ClusterRoleBinding`	ハードウェア関連の CRD: 読み取りと書き込み	なし	なし
HWDR 管理者	`ClusterRoleBinding`	HWDR デバイス: 読み取りと削除バックアッププラン、Pod、ログ: 読み取り	なし	なし
HWDR 閲覧者	`ClusterRoleBinding`	なし	バックアッププラン: 読み取り	なし
インフラストラクチャ PKI デバッガ	`RoleBinding`	なし	PKI 証明書発行者と認証局: 取得、一覧表示、監視、作成、更新、削除、パッチ適用 PKI シークレット: 取得、一覧表示	なし
Interconnect 管理者	`ClusterRoleBinding`	なし	相互接続のアタッチメントとアタッチメントグループ: 取得、一覧表示、監視、作成、更新、削除、パッチ適用	なし
Kiali 管理者	`RoleBinding`	なし	`Istio authorization`: 読み取りと書き込み	なし
KUB IPAM Debugger	`ClusterRoleBinding`	IPAM リソース: 読み取りと書き込み	なし	なし
KUB モニター	`ClusterRoleBinding`	KUB リソース: 読み取り	なし	なし
LogCollector IO Creator	`ClusterRoleBinding`	`LogCollector` カスタムリソース: 読み取りと書き込み	なし	なし
LogCollector IO エディタ	`ClusterRoleBinding`	`LogCollector` カスタムリソース: 読み取りと書き込み	なし	なし
LogCollector IO Viewer	`ClusterRoleBinding`	`LogCollector` カスタムリソース: 読み取り	なし	なし
LoggingRule IO Creator	`ClusterRoleBinding`	`LoggingRule` カスタムリソース: 読み取りと書き込み	なし	なし
LoggingRule IO エディタ	`ClusterRoleBinding`	`LoggingRule` カスタムリソース: 読み取りと書き込み	なし	なし
LoggingRule IO 閲覧者	`ClusterRoleBinding`	`LoggingRule` カスタムリソース: 読み取り	なし	なし
LoggingTarget IO Creator	`ClusterRoleBinding`	`LoggingTarget` カスタムリソース: 読み取りと書き込み	なし	なし
LoggingTarget IO エディタ	`ClusterRoleBinding`	`LoggingTarget` カスタムリソース: 読み取りと書き込み	なし	なし
LoggingTarget IO ビューア	`ClusterRoleBinding`	`LoggingTarget` カスタムリソース: 読み取り	なし	なし
Log Query API Querier	`ClusterRoleBinding`	Log Query API プロジェクトログ: 読み取り	なし	なし
MonitoringRule IO 作成者	`ClusterRoleBinding`	`MonitoringRule` カスタムリソース: 読み取りと書き込み	なし	なし
MonitoringRule IO 編集者	`ClusterRoleBinding`	`MonitoringRule` カスタムリソース: 読み取りと書き込み	なし	なし
MonitoringRule IO 閲覧者	`ClusterRoleBinding`	`MonitoringRule` カスタムリソース: 読み取り	なし	なし
MonitoringTarget 作成者	`ClusterRoleBinding`	`MonitoringTarget` カスタムリソース: Get、List、Watch、Create	なし	なし
MonitoringTarget IO 作成者	`ClusterRoleBinding`	`MonitoringTarget` カスタムリソース: 読み取りと書き込み	なし	なし
MonitoringTarget IO エディタ	`ClusterRoleBinding`	`MonitoringTarget` カスタムリソース: 読み取りと書き込み	なし	なし
MonitoringTarget IO 閲覧者	`ClusterRoleBinding`	`MonitoringTarget` カスタムリソース: 読み取り	なし	なし
ObservabilityPipeline IO 作成者	`ClusterRoleBinding`	`ObservabilityPipeline` カスタムリソース: 読み取りと書き込み	なし	なし
ObservabilityPipeline IO 編集者	`ClusterRoleBinding`	`ObservabilityPipeline` カスタムリソース: 読み取りと書き込み	なし	なし
ObservabilityPipeline IO 閲覧者	`ClusterRoleBinding`	`ObservabilityPipeline` カスタムリソース: 読み取り	なし	なし
オブザーバビリティ管理者	`RoleBinding`	`obs-system` 名前空間: 読み取り Anthos 監査ログ転送と Anthos ログ転送: 更新、パッチ適用、削除	`obs-system` 名前空間: 読み取り `audit-logs-loki`、`loki`、`cortex`、`anthos-audit-logs-forwarder`、`anthos-log-forwarder`: 更新、パッチ適用、削除	なし
オブザーバビリティデバッガ	`OrganizationRoleBinding`	デプロイ、ステートフルセット、デーモンセット、シークレット、ConfigMap: 読み取り、作成、削除、パッチ適用、更新 Certificates（証明書）: 読み取り	なし	なし
オブザーバビリティシステムデバッガ	`OrganizationRoleBinding`	デプロイ、ステートフルセット、デーモンセット、シークレット、ConfigMap: 読み取り、作成、削除、パッチ適用、更新 Certificates（証明書）: 読み取り	なし	なし
オブザーバビリティ閲覧者	`RoleBinding`	`obs-system` 名前空間: 読み取り	`obs-system` 名前空間: 読み取り	なし
OCLCM Debugger	`ClusterRoleBinding`	`oclcm-debugger`: コンポーネント: 作成と読み取りコンポーネントのロールアウトとサブコンポーネント: 読み取り、パッチ適用、更新サブコンポーネントのオーバーライド: 作成、読み取り、更新、パッチ適用	`oclcm-debugger-root`: コンポーネント: 作成と読み取りコンポーネントのロールアウトとサブコンポーネント: 読み取り、パッチ適用、更新サブコンポーネントのオーバーライド: 作成、読み取り、更新、パッチ適用	なし
OCLCM 閲覧者	`ClusterRoleBinding`	`oclcm-viewer`: コンポーネント、コンポーネントのロールアウト、サブコンポーネント、サブコンポーネントのオーバーライド: 読み取り	`oclcm-viewer-root`: コンポーネント、コンポーネントのロールアウト、サブコンポーネント、サブコンポーネントのオーバーライド: 読み取り	なし
組織管理者	`ClusterRoleBinding`	組織のカスタムリソース（CR）: 読み取りと書き込み組織のアップグレードとリリースメタデータ: 読み取り	なし	なし
組織システムアーティファクト管理管理者	`RoleBinding`	Harbor プロジェクト: 管理、読み取り、書き込み、表示、作成、削除 Harbor ユーザー認証情報: 読み取り、作成、削除	なし	なし
PERF Admin Monitor	`RoleBinding`	PERF バケット、サービスアカウント、シークレット: 読み取り	なし	なし
PERF 管理リソースのメンテナンス担当者	`RoleBinding`	仮想マシンリソース、バケット、ロール、ロールバインディング、プロジェクトサービスアカウント、KMS 鍵: 読み取りと削除サービスアカウントとシークレット: 読み取り	なし	なし
PERF Debugger	`ProjectRoleBinding`	`Jobs`: 作成、読み取り、削除 `CronJobs` と `ConfigMap`: 作成、読み取り、パッチ適用、削除	なし	なし
PERF システムモニター	`ProjectRoleBinding`	Pod、ConfigMap、cron ジョブ: 読み取り	なし	なし
PERF システムリソースの保守担当者	`ProjectRoleBinding`	サービスとサービスアカウント: 読み取りと削除 Job と cron ジョブ: 読み取り	なし	なし
PNET Debugger	`ClusterRoleBinding`	なし	PNET デプロイとデプロイログ: 読み取り、パッチ適用、更新 Pod、Pod ログ、サブネットクレーム、スイッチ: 読み取り	なし
PNET モニター	`ClusterRoleBinding`	なし	PNET デプロイ、デプロイログ、Pod、Pod ログ、サブネットクレーム、スイッチ: 読み取り	なし
PNET Secret Debugger	`RoleBinding`	なし	PNET シークレット:取得、一覧表示、監視、作成、更新、パッチ適用、削除	なし
PSPF デバッガ	`RoleBinding`	なし	PSPF デプロイ:取得、一覧表示、監視、作成、更新、パッチ適用、削除 PSPF デプロイログ、Pod、Pod ログ:取得、一覧表示、監視	なし
PSPF モニター	`RoleBinding`	なし	PSPF デプロイログ、Pod、Pod ログ:取得、一覧表示、監視	なし
ポリシー管理者	`ClusterRoleBinding`	制約: 作成、編集、削除	なし	なし
Remote Logger 管理者	`RoleBinding`	デプロイ: 読み取り、更新、パッチ適用、削除	デプロイ: 読み取り、更新、パッチ適用、削除	なし
Remote Logger Viewer	`RoleBinding`	デプロイ: 読み取り	デプロイ: 読み取り	なし
ルート Cortex Alertmanager 編集者	`RoleBinding`	なし	Cortex Alertmanager、ロギングルール、モニタリングルールのカスタムリソース: 作成、削除、読み取り、パッチ適用、更新	なし
Root Cortex Alertmanager 閲覧者	`RoleBinding`	なし	Cortex Alertmanager、ロギングルール、モニタリングルールのカスタムリソース: 読み取り	なし
Root Cortex Prometheus Viewer	`RoleBinding`	なし	Cortex システムと Cortex Prometheus: 読み取り	なし
ルートセッション管理者	`RoleBinding`	なし	Istio リソースマネージャー: 作成、読み取り、更新、削除、パッチ適用	なし
セキュリティ閲覧者	`ClusterRoleBinding`	`RoleBinding` と `ClusterRoleBinding`: 読み取り `Role` と `ClusterRole`: 読み取り GKE Identity Service カスタムリソース（CR）: 読み取り	なし	なし
Service Now 管理者	`RoleBinding`	`Dnsregistrations`、`Projectnetworkpolicies`、`Virtualservices`、`Envoyfilters`、`Destinationrules`、`Monitoringtargets`、`Monitoringrules`、`Dashboards`: 読み取りと書き込み	なし	なし
Service Now 管理者	`ProjectRoleBinding`	なし	サービス、ConfigMap、Pod ログ、Secret: 読み取りと書き込み	なし
SSH インフラストラクチャデバッガ	`ProjectRoleBinding`	なし	SSH シークレット: 取得、一覧表示、監視、パッチ適用、更新、作成、削除	なし
システムアーティファクト管理管理者	`RoleBinding`	`HarborProjects`: 管理者、作成、読み取り、書き込み、削除、表示	Harbor プロジェクトとユーザー認証情報: 作成、削除、読み取り `HarborProjects`: 管理者、読み取り、書き込みアーティファクトの配布: 作成、削除、更新、読み取り `image-label-map` configmap: 作成、削除、更新、読み取りサーバー、トラストストアの ConfigMap: 読み取り	なし
システムアーティファクト管理シークレット管理者	`RoleBinding`	なし	クラスタ内レジストリ: 読み取りレジストリミラーのアップグレード: 作成、読み取り、更新、削除	なし
システム Artifact Registry Harbor 管理者	`RoleBinding`	Harbor プロジェクト: 作成、読み取り、更新、パッチ適用、削除	Harbor プロジェクト: 作成、読み取り、更新、パッチ適用、削除	なし
システムクラスタ管理者	`OrganizationRoleBinding`	なし	システムクラスタ: 作成、削除、更新、読み取り	なし
システム Artifact Registry Harbor 読み取り	`RoleBinding`	なし	Harbor プロジェクト: 読み取り	なし
System Artifact Registry Harbor ReadWrite	`RoleBinding`	なし	Harbor プロジェクト: 作成、読み取り、書き込み	なし
システム Artifact Registry デバッガ	`ClusterRoleBinding`	なし	Harbor クラスタ、シークレット、配布ポリシー、手動配布、ConfigMap: 作成、読み取り、更新、パッチ適用、削除 PVC、Pod、Harbor ロボットアカウント: 作成、読み取り、削除リリースメタデータ、組織、データベースクラスタ、Harbor プロジェクト、証明書、サーバー、クラスタ: 読み取りデータベースと CRD: 読み取りと削除デプロイ: 読み取り、更新、パッチ適用、削除永続ボリューム: 読み取り、更新、パッチ適用	なし
システム Artifact Registry モニター	`ClusterRoleBinding`	なし	Harbor クラスタ、シークレット、CRD: 読み取り	なし
システムクラスタ DNS デバッガ	`OrganizationRoleBinding`	なし	デプロイとデプロイログ: 読み取り Pod: 作成と読み取り	なし
システムクラスタ UNET デバッガ	`OrganizationRoleBinding`	Configmaps: 取得、作成、更新 Deployment、Deployment ログ、DaemonSet、DaemonSet ログ: 取得、パッチ適用、更新 Pod と Pod ログ: 取得、読み取り、作成、削除サービス、ネットワークポリシー、Cilium: 取得、読み取り、作成、更新、削除フローログとフローログのステータス: 取得、読み取り、作成、パッチ適用、更新、削除	なし	なし
システムクラスタ UNET モニター	`OrganizationRoleBinding`	プロジェクト、プロジェクトネットワークポリシー、configmap、シークレット、証明書、バンドル、デプロイ、デーモンセット、ステートフルセット、Pod、Pod ログ、サービス、エンドポイント、エンドポイントスライス、ネットワークポリシー、ネットワークロギング、ネットワーク、ネットワークインターフェース、ネットワーキング、仮想マシン、仮想マシンインスタンス、クラスタ CIDR 構成、フローログ、フローログステータス、BGP ピア、BGP アドバタイズルート、BGP 受信ルート、BGP セッション、BGP ロードバランサ、下り（外向き）NAT ポリシー、ネットワークゲートウェイグループ、ネットワークゲートウェイノード、フラット IP モード、マルチクラスタ接続構成、VPN トンネル、トラフィックステアリング、configmap 転送、シークレット転送、ヘルスチェック、ノードプールクレーム、ノードプール、アドオン構成: 取得と読み取り	なし	なし
システムクラスタ閲覧者	`OrganizationRoleBinding`	なし	システムクラスタ: 読み取りと書き込み	なし
Tenable Nessus 管理者	`RoleBinding`	Nessus の管理用のネットワーキングコンポーネント: 読み取りと書き込み	なし	なし
Tenable Nessus 管理者	`ProjectRoleBinding`	Nessus の管理用のネットワーキングコンポーネント: 読み取りと書き込み	なし	なし
Transfer Appliance リクエスト管理者	`ClusterRoleBinding`	`Transferappliancerequests`: 読み取りと書き込み	なし	なし
トラストバンドルルートモニター	`RoleBinding`	`Config maps`: get、list、watch	なし	なし
UI デバッガ	`ClusterRoleBinding`	バックエンド UI サーバー: 読み取り、パッチ適用、更新	なし	なし
UNET CLI 組織管理者モニター	`ClusterRoleBinding`	ネットワークリソース、シークレット、ConfigMap、Cilium エンドポイント、VM、VM ランタイム、クラスタ、Namespace: 読み取り Pod: 読み取りと作成	なし	なし
UNET CLI ルート管理者モニター	`ClusterRoleBinding`	なし	ネットワークリソース、Secret、ConfigMap、Cilium エンドポイント、Namespace: 読み取り Pod: 読み取りと作成	なし
UNET CLI システムモニター	`OrganizationRoleBinding`	なし	ネットワーキングリソース、シークレット、ConfigMap、Cilium エンドポイント、VM、VM ランタイム、Deployment、クラスタ、Namespace、CRD: 読み取り Pod: 読み取りと作成	なし
UNET CLI ユーザーモニター	`OrganizationRoleBinding`	なし	ネットワーキングリソース、シークレット、configmap、Cilium エンドポイント、仮想マシン（VM）、VM ランタイム、デプロイ、クラスタ、Namespace、CRD: 読み取り Pod: 読み取りと作成	なし
アプライアンスのアップグレード管理者	`ClusterRoleBinding`	SubcomponentOverrides: 取得、一覧表示、作成、更新、パッチ適用	組織: Get、list、update、patch、watch OrganizationUpgrade: Get	なし
アップグレードデバッガ	`OrganizationRoleBinding`	なし	リソースのアップグレード: 作成、読み取り、更新、削除、パッチ適用 Harbor プロジェクト: Harbor-admin	なし
ユーザークラスタ DNS デバッガ	`OrganizationRoleBinding`	なし	Deployment、Deployment ログ、Pod、Pod ログ: 読み取り Pod: 作成	なし
ユーザークラスタデバッガ	`OrganizationRoleBinding`	なし	ユーザークラスタ: 取得、読み取り、作成、更新、パッチ適用、削除	なし
ユーザークラスタ UNET デバッガ	`OrganizationRoleBinding`	なし	ConfigMap: 取得、更新、読み取り Deployment、Deployment ログ、DaemonSet、DaemonSet ログ: 取得、読み取り、パッチ適用、更新 Pod と Pod ログ: 取得、読み取り、作成、削除サービス、Cilium、ネットワークポリシー: 取得、読み取り、作成、更新、削除フローログとフローログのステータス: 取得、読み取り、作成、パッチ適用、更新、削除	なし
ユーザークラスタ UNET モニター	`OrganizationRoleBinding`	なし	プロジェクト、プロジェクトネットワークポリシー、ConfigMap、シークレット、証明書、証明書発行者、バンドル、デプロイ、DaemonSet、StatefulSet、Pod、Pod ログ、Service、Endpoint、EndpointSlice、ネットワークポリシー、ネットワークロギング、Cilium、ネットワーク、ネットワークインターフェース、仮想マシン、仮想マシンインスタンス、ネットワーキング、クラスタ CIDR 構成、フラット IP モード、ConfigMap 転送、シークレット転送、ヘルスチェック、ノードプールクレーム、ノードプール、アドオン構成、フローログ、フローログステータス、BGP ピア、BGP アドバタイズルート、BGP 受信ルート、BGP セッション、BGP ロードバランサ、下り（外向き）NAT ポリシー、ネットワークゲートウェイグループ、ネットワークゲートウェイノード、フラット IP モード、マルチクラスタ接続構成、VPN トンネル、トラフィックステアリング: 取得と読み取り	なし
VAISEARCH Secret Rotator	`ProjectRoleBinding`	なし	Vertex AI Search シークレット: 取得、一覧表示、監視、削除	なし
管理プレーン API サーバーの VPN デバッガ	`RoleBinding`	なし	`VPNGateway`: 作成、読み取り、書き込み `PeerGateway`: 作成、読み取り、書き込み `VPNBGPPeer`: 作成、読み取り、書き込み `VPNTunnel`: 作成、読み取り、書き込み	なし
境界クラスタの VPN デバッガ	`RoleBinding`	なし	`NetworkGatewayNodes`: 作成、読み取り、書き込み `NetworkGatewayGroups`: 作成、読み取り、書き込み `BGPAdvertisedRoutes`: 作成、読み取り、書き込み `BGPReceivedRoutes`: 作成、読み取り、書き込み `BGPPeers`: 作成、読み取り、書き込み `BGPSessions`: 作成、読み取り、書き込み `VPNTunnels`: 作成、読み取り、書き込み `TrafficSteering`: 作成、読み取り、書き込み	なし
ウェブ TLS 証明書デバッガ	`RoleBinding`	なし	シークレットと PKI 証明書: 取得、一覧表示、監視、更新、パッチ適用、作成、削除	なし

PA ペルソナ、事前定義された ID とアクセスロール

PA ペルソナ
名前	Kubernetes リソース名	初期管理者	レベル	型
組織 IAM 管理者	`organization-iam-admin`	正しい	組織	`ClusterRole`
AI Platform 管理者	`ai-platform-admin`	正しい	組織	`ClusterRole`
監査ログプラットフォーム復元バケット作成者	`audit-logs-platform-restore-bucket-creator`	誤り	組織	`Role`
監査ログプラットフォームバケット閲覧者	`audit-logs-platform-bucket-viewer`	誤り	組織	`Role`
バケット管理者	`bucket-admin`	誤り	組織	`ClusterRole`
バケットオブジェクト管理者	`bucket-object-admin`	誤り	組織	`ClusterRole`
バケットオブジェクト閲覧者	`bucket-object-viewer`	誤り	組織	`ClusterRole`
バケット管理者	`global-bucket-admin`	誤り	組織	`ClusterRole`
バケットオブジェクト管理者	`global-bucket-object-admin`	誤り	組織	`ClusterRole`
バケットオブジェクト閲覧者	`global-bucket-object-viewer`	誤り	組織	`ClusterRole`
Dashboard PA Creator	`dashboard-pa-creator`	誤り	組織	`ClusterRole`
Dashboard PA Editor	`dashboard-pa-editor`	誤り	組織	`ClusterRole`
Dashboard PA Viewer	`dashboard-pa-viewer`	誤り	組織	`ClusterRole`
フローログ管理者	`flowlog-admin`	誤り	組織	`ClusterRole`
フローログビューア	`flowlog-viewer`	誤り	組織	`ClusterRole`
GDCH 属性による制限ポリシー管理者	`gdchrestrictbyattributes-policy-admin`	誤り	組織	`ClusterRole`
GDCH 制限付きサービスポリシー管理者	`gdchrestrictedservice-policy-admin`	誤り	組織	`ClusterRole`
IdP 連携管理者	`idp-federation-admin`	誤り	組織	`Role`
Infra PKI 管理者	`infra-pki-admin`	誤り	プロジェクト	`Role`
Interconnect 管理者	`interconnect-admin-mp`	誤り	組織	`ClusterRole`
Log Query API Querier	`log-query-api-querier`	誤り	プロジェクト	`Role`
LoggingRule PA 作成者	`loggingrule-pa-creator`	誤り	組織	`ClusterRole`
LoggingRule PA 閲覧者	`loggingrule-pa-viewer`	誤り	組織	`ClusterRole`
LoggingRule PA 編集者	`loggingrule-pa-editor`	誤り	組織	`ClusterRole`
LoggingTarget PA 作成者	`loggingtarget-pa-creator`	誤り	組織	`ClusterRole`
LoggingTarget PA 閲覧者	`loggingtarget-pa-viewer`	誤り	組織	`ClusterRole`
LoggingTarget PA 編集者	`loggingtarget-pa-editor`	誤り	組織	`ClusterRole`
MonitoringRule PA 作成者	`monitoringrule-pa-creator`	誤り	組織	`ClusterRole`
MonitoringRule PA 閲覧者	`monitoringrule-pa-viewer`	誤り	組織	`ClusterRole`
MonitoringRule PA 編集者	`monitoringrule-pa-editor`	誤り	組織	`ClusterRole`
MonitoringTarget PA 作成者	`monitoringtarget-pa-creator`	誤り	組織	`ClusterRole`
MonitoringTarget PA 閲覧者	`monitoringtarget-pa-viewer`	誤り	組織	`ClusterRole`
MonitoringTarget PA 編集者	`monitoringtarget-pa-editor`	誤り	組織	`ClusterRole`
MP OCLCM Debugger	`mp-oclcm-debugger`	誤り	組織	`ClusterRole`
MP OCLCM 閲覧者	`mp-oclcm-viewer`	誤り	組織	`ClusterRole`
ObservabilityPipeline PA 作成者	`observabilitypipeline-pa-creator`	誤り	組織	`ClusterRole`
ObservabilityPipeline PA 閲覧者	`observabilitypipeline-pa-viewer`	誤り	組織	`ClusterRole`
ObservabilityPipeline PA 編集者	`observabilitypipeline-pa-editor`	誤り	組織	`ClusterRole`
組織のネットワークポリシー管理者	`org-network-policy-admin`	誤り	組織	`Role`
組織セッション管理者	`org-session-admin`	誤り	組織	`Role`
組織 Grafana 閲覧者	`organization-grafana-viewer`	誤り	組織	`ClusterRole`
組織 IAM 閲覧者	`organization-iam-viewer`	誤り	組織	`ClusterRole`
組織のアップグレード管理者	`organization-upgrade-admin`	誤り	組織	`ClusterRole`
組織アップグレード閲覧者	`organization-upgrade-viewer`	誤り	組織	`ClusterRole`
プロジェクトバケット管理者	`global-project-bucket-admin`	誤り	組織	`Project`
プロジェクトバケットオブジェクト管理者	`project-bucket-object-admin`	誤り	組織	`Project`
プロジェクトバケットオブジェクト閲覧者	`global-project-bucket-object-viewer`	誤り	組織	`Project`
プロジェクト作成者	`project-creator`	誤り	組織	`ClusterRole`
プロジェクト編集者	`project-editor`	誤り	組織	`ClusterRole`
SIEM エクスポート組織の作成者	`siemexport-org-creator`	誤り	プロジェクト	`Role`
SIEM エクスポート組織編集者	`siemexport-org-editor`	誤り	プロジェクト	`Role`
SIEM エクスポート組織閲覧者	`siemexport-org-viewer`	誤り	プロジェクト	`Role`
Transfer Appliance リクエスト作成者	`transfer-appliance-request-creator`	誤り	組織	`ClusterRole`
ユーザークラスタ管理者	`user-cluster-admin`	誤り	組織	`ClusterRole`
ユーザークラスタ CRD 閲覧者	`user-cluster-crd-viewer`	誤り	組織	`OrganizationRole`
ユーザークラスタデベロッパー	`user-cluster-developer`	誤り	組織	`OrganizationRole`
ユーザーノード閲覧者	`user-cluster-node-viewer`	誤り	組織	`OrganizationRole`
VPN 管理者	`vpn-admin`	誤り	プロジェクト	`Role`
VPN 閲覧者	`vpn-viewer`	誤り	プロジェクト	`Role`

PA ペルソナ、事前定義された ID とアクセスロール

PA ペルソナ
名前	バインディングタイプ	Management API サーバーの権限	Kubernetes クラスタの権限	エスカレーション先
組織の IAM 管理者	`ClusterRoleBinding`	`RoleBinding`、`ClusterRoleBinding`、`Role`、`ClusterRole`、`ProjectRole`、`OrganizationClusterRole`、`ProjectRoleBinding`、`OrganizationClusterRoleBinding`: 作成、読み取り、更新、削除プロジェクトの名前空間を一覧表示する	なし	プロジェクト IAM 管理者と他のすべての PA ロール
AI Platform 管理者	`ClusterRoleBinding`	事前トレーニング済みサービス: 作成、読み取り、更新、削除	なし	なし
監査ログプラットフォーム復元バケット作成者	`ClusterRoleBinding`	バックアップバケット: 読み取りと書き込み	なし	なし
監査ログプラットフォームバケット閲覧者	`ClusterRoleBinding`	バックアップバケット: 読み取り	なし	なし
バケット管理者	`ClusterRoleBinding`	バケットとオブジェクト: 読み取りと書き込み	なし	なし
バケットオブジェクト管理者	`ClusterRoleBinding`	バケット: 読み取りオブジェクト: 読み取りと書き込み	なし	なし
バケットオブジェクト閲覧者	`ClusterRoleBinding`	バケットとオブジェクト: 読み取り	なし	なし
Dashboard PA Creator	`ClusterRoleBinding`	`Dashboard` カスタムリソース: 読み取りと書き込み	なし	なし
Dashboard PA Editor	`ClusterRoleBinding`	`Dashboard` カスタムリソース: 読み取りと書き込み	なし	なし
Dashboard PA Viewer	`ClusterRoleBinding`	`Dashboard` カスタムリソース: 読み取り	なし	なし
フローログ管理者	`ClusterRoleBinding`	フローログリソース: 読み取りと書き込み	なし	なし
フローログビューア	`ClusterRoleBinding`	フローログリソース: 読み取り	なし	なし
GDCH 属性による制限ポリシー管理者	`ClusterRoleBinding`	GDCH 制限付き属性ポリシー: 作成、編集、削除	なし	なし
GDCH 制限付きサービスポリシーマネージャー	`ClusterRoleBinding`	GDCH 制限付きサービスポリシー: 作成、編集、削除	なし	なし
IdP 連携管理者	`RoleBinding`	ID プロバイダの構成とシークレット: 作成、読み取り、更新、パッチ適用、削除	なし	なし
Infra PKI 管理者	`RoleBinding`	なし	PKI 証明書発行者と認証局: 取得、一覧表示、監視、作成、更新、削除、パッチ適用 PKI シークレット: 取得、一覧表示	なし
Interconnect 管理者	`ClusterRoleBinding`	なし	相互接続のアタッチメントとアタッチメントグループ: 取得、一覧表示、監視、作成、更新、削除、パッチ適用	なし
Log Query API Querier	`RoleBinding`	Log Query API プロジェクトログ: 読み取り	なし	なし
LoggingRule PA 作成者	`ClusterRoleBinding`	`LoggingRule` カスタムリソース: 読み取りと書き込み	なし	なし
LoggingRule PA 編集者	`ClusterRoleBinding`	`LoggingRule` カスタムリソース: 読み取りと書き込み	なし	なし
LoggingRule PA 閲覧者	`ClusterRoleBinding`	`LoggingRule` カスタムリソース: 読み取り	なし	なし
LoggingTarget PA 作成者	`ClusterRoleBinding`	`LoggingTarget` カスタムリソース: 読み取りと書き込み	なし	なし
LoggingTarget PA 編集者	`ClusterRoleBinding`	`LoggingTarget` カスタムリソース: 読み取りと書き込み	なし	なし
LoggingTarget PA 閲覧者	`ClusterRoleBinding`	`LoggingTarget` カスタムリソース: 読み取り	なし	なし
MonitoringRule PA 作成者	`ClusterRoleBinding`	`MonitoringRule` カスタムリソース: 読み取りと書き込み	なし	なし
MonitoringRule PA 編集者	`ClusterRoleBinding`	`MonitoringRule` カスタムリソース: 読み取りと書き込み	なし	なし
MonitoringRule PA 閲覧者	`ClusterRoleBinding`	`MonitoringRule` カスタムリソース: 読み取り	なし	なし
MonitoringTarget PA 作成者	`ClusterRoleBinding`	`MonitoringTarget` カスタムリソース: 読み取りと書き込み	なし	なし
MonitoringTarget PA 編集者	`ClusterRoleBinding`	`MonitoringTarget` カスタムリソース: 読み取りと書き込み	なし	なし
MonitoringTarget PA 閲覧者	`ClusterRoleBinding`	`MonitoringTarget` カスタムリソース: 読み取り	なし	なし
MP OCLCM Debugger	`ClusterRoleBinding`	コンポーネント: 取得、一覧表示、作成 ComponentOverrides、SubcomponentOverrides: 取得、一覧表示、作成、更新、パッチ適用 ComponentRollouts、Subcomponents: 取得、一覧表示、更新、パッチ適用	なし	なし
MP OCLCM 閲覧者	`ClusterRoleBinding`	Components、ComponentOverrides、SubcomponentOverrides、ComponentRollouts、Subcomponents: 取得、一覧表示	なし	なし
ObservabilityPipeline PA 作成者	`ClusterRoleBinding`	`ObservabilityPipeline` カスタムリソース: 読み取りと書き込み	なし	なし
ObservabilityPipeline PA 編集者	`ClusterRoleBinding`	`ObservabilityPipeline` カスタムリソース: 読み取りと書き込み	なし	なし
ObservabilityPipeline PA 閲覧者	`ClusterRoleBinding`	`ObservabilityPipeline` カスタムリソース: 読み取り	なし	なし
組織のネットワークポリシー管理者	`RoleBinding`	`platform` 名前空間の `OrganizationNetworkPolicy`: 作成、読み取り、更新、削除	なし	なし
組織セッション管理者	`RoleBinding`	Istio 認可リソース: 作成、読み取り、更新、削除	なし	なし
組織 Grafana 閲覧者	`RoleBinding`	`GrafanaSystem` と Grafana: 読み取りと書き込み	なし	なし
組織の IAM 閲覧者	`ClusterRoleBinding`	ロールベースアクセス制御（RBAC）オブジェクト: 読み取り `OrganizationClusterRole` と `OrganizationClusterRoleBinding`: 読み取り	なし	なし
組織のアップグレード管理者	`ClusterRoleBinding`	メンテナンスの時間枠: 取得、一覧表示、監視、更新、パッチ適用	なし	なし
組織アップグレード閲覧者	`ClusterRoleBinding`	メンテナンスの時間枠: 取得、一覧表示、監視	なし	なし
プロジェクト作成者	`ClusterRoleBinding`	プロジェクトのカスタムリソース（CR）: 読み取りと作成フリート CR: 読み取りと作成クラスタ: 読み取り	なし	なし
プロジェクト編集者	`ClusterRoleBinding`	プロジェクトのカスタムリソース（CR）: 読み取り、削除、パッチ適用、更新、表示フリート CR: 読み取りと削除クラスタ CR: 読み取り	なし	なし
SIEM エクスポート組織の作成者	`RoleBinding`	`SIEMOrgForwarder` カスタムリソースとシークレット: 取得、作成、読み取り	なし	なし
SIEM エクスポート組織編集者	`RoleBinding`	`SIEMOrgForwarder` カスタムリソースとシークレット: 取得、読み取り、更新、削除、パッチ適用	なし	なし
SIEM エクスポート組織閲覧者	`RoleBinding`	`SIEMOrgForwarder` カスタムリソースとシークレット: 読み取り	なし	なし
Transfer Appliance リクエスト作成者	`ClusterRoleBinding`	`TransferApplianceRequest` カスタムリソース（CR）: 読み取りと作成	なし	なし
ユーザークラスタ管理者	`ClusterRoleBinding`	`AddressPoolClaims`: 作成、読み取り、更新、削除 `UserClusterUpgrade`: 読み取りと書き込み `UserClusterMetadata`、`ClusterBgpRouters`、`InventoryMachines`、プロジェクトカスタムリソース（CR）: 読み取り `CidrClaims`: 作成、読み取り、更新、削除 `Namespace`: 作成と削除 `ClusterCidrConfigs` とクラスタ: 作成、読み取り、更新、パッチ適用、削除 `NodeUpgrades`: 読み取り、作成、パッチ適用、更新 `HarborClusters`、`Projects`、`UserClusterUpgradeRequests`: 読み取り	`Clusters` と `NodePoolClaims`: 読み取りと書き込み `NodePools`、`MachineClasses`、`VirtualMachineTypes`、`ClusterInfos`: 読み取り	なし
ユーザークラスタ CRD 閲覧者	`OrganizationRoleBinding`	なし	`CustomResourceDefinitions`: 既読	なし
ユーザークラスタデベロッパー	`OrganizationRoleBinding`	なし	クラスタ: 読み取りと書き込み	なし
ユーザークラスタノード閲覧者	`OrganizationRoleBinding`	なし	クラスタ: 読み取り	なし
VPN 管理者	`RoleBinding`	なし	`VPNGateway`: 作成、読み取り、書き込み `PeerGateway`: 作成、読み取り、書き込み `VPNBGPPeer`: 作成、読み取り、書き込み `VPNTunnel`: 作成、読み取り、書き込み	なし
VPN 閲覧者	`RoleBinding`	なし	`VPNGateway`: 既読 `PeerGateway`: 既読 `VPNBGPPeer`: 既読 `VPNTunnel`: 既読	なし

AO ペルソナ、事前定義された ID とアクセスロール

AO ペルソナ
名前	Kubernetes リソース名	初期管理者	レベル	型
プロジェクト IAM 管理者	`project-iam-admin`	正しい	プロジェクト	`Role`
AI OCR デベロッパー	`ai-ocr-developer`	誤り	プロジェクト	`Role`
AI Platform 閲覧者	`ai-platform-viewer`	誤り	プロジェクト	`Role`
AI Speech デベロッパー	`ai-speech-developer`	誤り	プロジェクト	`Role`
AI Translation デベロッパー	`ai-translation-developer`	誤り	プロジェクト	`Role`
Artifact Management 管理者	`artifact-management-admin`	誤り	プロジェクト	`Role`
アーティファクト管理編集者	`artifact-management-editor`	誤り	プロジェクト	`Role`
Certificate Authority Service 管理者	`certificate-authority-service-admin`	誤り	プロジェクト	`Role`
証明書サービス管理者	`certificate-service-admin`	誤り	プロジェクト	`Role`
ダッシュボードエディタ	`dashboard-editor`	誤り	プロジェクト	`Role`
ダッシュボード閲覧者	`dashboard-viewer`	誤り	プロジェクト	`Role`
Harbor インスタンス管理者	`harbor-instance-admin`	誤り	プロジェクト	`Role`
Harbor インスタンス閲覧者	`harbor-instance-viewer`	誤り	プロジェクト	`Role`
Harbor プロジェクト作成者	`harbor-project-creator`	誤り	プロジェクト	`Role`
K8s ネットワークポリシー管理者	`k8s-networkpolicy-admin`	誤り	プロジェクト	`ProjectRole`
ロードバランサ管理者	`load-balancer-admin`	誤り	プロジェクト	`ProjectRole`
LoggingRule 作成者	`loggingrule-creator`	誤り	プロジェクト	`Role`
LoggingRule エディタ	`loggingrule-editor`	誤り	プロジェクト	`Role`
LoggingRule 閲覧者	`loggingrule-viewer`	誤り	プロジェクト	`Role`
LoggingTarget Creator	`loggingtarget-creator`	誤り	プロジェクト	`Role`
LoggingTarget エディタ	`loggingtarget-editor`	誤り	プロジェクト	`Role`
LoggingTarget 閲覧者	`loggingtarget-viewer`	誤り	プロジェクト	`Role`
MonitoringRule エディタ	`monitoringrule-editor`	誤り	プロジェクト	`Role`
MonitoringRule 閲覧者	`monitoringrule-viewer`	誤り	プロジェクト	`Role`
MonitoringTarget 編集者	`monitoringtarget-editor`	誤り	プロジェクト	`Role`
MonitoringTarget 閲覧者	`monitoringtarget-viewer`	誤り	プロジェクト	`Role`
Namespace Admin	`namespace-admin`	誤り	プロジェクト	`ProjectRole`
NAT 閲覧者	`nat-viewer`	誤り	プロジェクト	`ProjectRole`
ObservabilityPipeline 編集者	`observabilitypipeline-editor`	誤り	プロジェクト	`Role`
ObservabilityPipeline 閲覧者	`observabilitypipeline-viewer`	誤り	プロジェクト	`Role`
プロジェクトバケット管理者	`project-bucket-admin`	誤り	プロジェクト	`Role`
プロジェクトバケットオブジェクト管理者	`project-bucket-object-admin`	誤り	プロジェクト	`Role`
プロジェクトバケットオブジェクト閲覧者	`project-bucket-object-viewer`	誤り	プロジェクト	`Role`
Project Cortex Alertmanager 編集者	`project-cortex-alertmanager-editor`	誤り	プロジェクト	`Role`
Project Cortex Alertmanager 閲覧者	`project-cortex-alertmanager-viewer`	誤り	プロジェクト	`Role`
Project Cortex Prometheus Viewer	`project-cortex-prometheus-viewer`	誤り	プロジェクト	`Role`
プロジェクト Grafana 閲覧者	`project-grafana-viewer`	誤り	プロジェクト	`Role`
プロジェクトネットワークポリシー管理者	`project-networkpolicy-admin`	誤り	プロジェクト	`Role`
プロジェクト閲覧者	`project-viewer`	誤り	プロジェクト	`Role`
プロジェクト VirtualMachine 管理者	`project-vm-admin`	誤り	プロジェクト	`Role`
プロジェクト VirtualMachine イメージ管理者	`project-vm-image-admin`	誤り	プロジェクト	`Role`
シークレット管理者	`secret-admin`	誤り	プロジェクト	`Role`
シークレット閲覧者	`secret-viewer`	誤り	プロジェクト	`Role`
サービス構成管理者	`service-configuration-admin`	誤り	プロジェクト	`Role`
サービス構成閲覧者	`service-configuration-viewer`	誤り	プロジェクト	`Role`
Workbench Notebooks 管理者	`workbench-notebooks-admin`	誤り	プロジェクト	`Role`
ボリュームレプリケーション管理者	`app-volume-replication-admin`	誤り	クラスタ	`Role`
Workbench Notebooks 閲覧者	`workbench-notebooks-viewer`	誤り	プロジェクト	`Role`
ワークロード閲覧者	`workload-viewer`	誤り	プロジェクト	`Role`

AO ペルソナ、事前定義された ID とアクセスロール

AO ペルソナ
名前	バインディングタイプ	Management API サーバーの権限	Kubernetes クラスタの権限	エスカレーション先
プロジェクト IAM 管理者	`RoleBinding`	`RoleBinding`、`ClusterRoleBinding`、`Role`、`ClusterRole`、`ProjectRole`、`ProjectClusterRole`、`ProjectRoleBinding`、`ProjectClusterRoleBinding`: 作成、読み取り、更新、削除、バインド `ProjectServiceAccount`: 作成、読み取り、更新、削除プロジェクトの名前空間を一覧表示する	なし	その他のすべての AO ロール
AI OCR デベロッパー	`RoleBinding`	OCR リソース: 読み取りと書き込み	なし	なし
AI Speech デベロッパー	`RoleBinding`	音声リソース: 読み取りと書き込み	なし	なし
AI Translation デベロッパー	`RoleBinding`	翻訳リソース: 読み取りと書き込み	なし	なし
Artifact Management 管理者	`RoleBinding`	`HarborProjects`: 管理者、作成、読み取り、書き込み、削除、表示	なし	なし
アーティファクト管理編集者	`RoleBinding`	`HarborProjects`: 読み取り、書き込み、表示	なし	なし
Certificate Authority Service 管理者	`RoleBinding`	認証局と証明書リクエスト: 取得、一覧表示、監視、更新、作成、削除、パッチ適用	なし	なし
証明書サービス管理者	`RoleBinding`	証明書と証明書発行者: 取得、一覧表示、監視、更新、作成、削除、パッチ適用	なし	なし
ダッシュボードエディタ	`RoleBinding`	`Dashboard` カスタムリソース: 取得、読み取り、作成、更新、削除、パッチ適用	なし	なし
ダッシュボード閲覧者	`RoleBinding`	`Dashboard`: 取得して読み取る	なし	なし
Harbor インスタンス管理者	`RoleBinding`	Harbor インスタンス: 作成、読み取り、更新、削除、パッチ適用	なし	なし
Harbor インスタンス閲覧者	`RoleBinding`	Harbor インスタンス: 読み取り	なし	なし
Harbor プロジェクト作成者	`RoleBinding`	Harbor インスタンスプロジェクト: 作成、取得、監視	なし	なし
K8s NetworkPolicy 管理者	`ProjectRoleBinding`	なし	`NetworkPolicy` リソース: 作成、読み取り、取得、更新、削除、パッチ適用	なし
ロードバランサ管理者	`RoleBinding`	なし	`Backend`: 取得、監視、一覧表示、作成、パッチ適用、更新、削除 `HealthCheck`: 取得、監視、一覧表示、作成、パッチ適用、更新、削除 `BackendService`: 取得、監視、一覧表示、作成、パッチ適用、更新、削除 `ForwardingRuleExternal`: 取得、監視、一覧表示、作成、パッチ適用、更新、削除 `ForwardingRuleInternal`: 取得、監視、一覧表示、作成、パッチ適用、更新、削除	なし
LoggingRule 作成者	`RoleBinding`	`LoggingRule` カスタムリソース: 作成、読み取り、更新、削除、パッチ適用	なし	なし
LoggingRule エディタ	`RoleBinding`	`LoggingRule` カスタムリソース: 作成、読み取り、更新、削除、パッチ適用	なし	なし
LoggingRule 閲覧者	`RoleBinding`	`LoggingRule` カスタムリソース: 読み取り	なし	なし
LoggingTarget Creator	`RoleBinding`	`LoggingTarget` カスタムリソース: 作成、読み取り、更新、削除、パッチ適用	なし	なし
LoggingTarget エディタ	`RoleBinding`	`LoggingTarget` カスタムリソース: 作成、読み取り、更新、削除、パッチ適用	なし	なし
LoggingTarget 閲覧者	`RoleBinding`	`LoggingTarget` カスタムリソース: 読み取り	なし	なし
MonitoringRule エディタ	`RoleBinding`	`MonitoringRule` カスタムリソース: 作成、読み取り、更新、削除、パッチ適用	なし	なし
MonitoringRule 閲覧者	`RoleBinding`	`MonitoringRule` カスタムリソース: 読み取り	なし	なし
MonitoringTarget 編集者	`RoleBinding`	`MonitoringTarget` カスタムリソース: 作成、読み取り、更新、削除、パッチ適用	なし	なし
MonitoringTarget 閲覧者	`RoleBinding`	`MonitoringTarget` カスタムリソース: 読み取り	なし	なし
Namespace Admin	`ProjectRoleBinding`	なし	すべてのリソース: プロジェクト Namespace の読み取り / 書き込みアクセス	なし
NAT 閲覧者	`ProjectRoleBinding`	なし	デプロイ: 取得と読み取り	なし
ObservabilityPipeline 編集者	`RoleBinding`	`ObservabilityPipeline` リソース: 取得、読み取り、作成、更新、削除、パッチ適用	なし	なし
ObservabilityPipeline 閲覧者	`RoleBinding`	`ObservabilityPipeline` リソース: 取得と読み取り	なし	なし
プロジェクトバケット管理者	`RoleBinding`	バケット: プロジェクトの Namespace での読み取りと書き込み	なし	なし
プロジェクトバケットオブジェクト管理者	`RoleBinding`	バケット: 読み取りオブジェクト: 読み取りと書き込み	なし	なし
プロジェクトバケットオブジェクト閲覧者	`RoleBinding`	バケットとオブジェクト: 読み取り	なし	なし
Project Cortex Alertmanager 編集者	`RoleBinding`	Cortex システムと Cortex Alertmanager: 読み取りと書き込み	なし	なし
Project Cortex Alertmanager 閲覧者	`RoleBinding`	Cortex システムと Cortex Alertmanager: 読み取り	なし	なし
Project Cortex Prometheus Viewer	`RoleBinding`	Cortex システムと Cortex Prometheus: 読み取り	なし	なし
プロジェクト Grafana 閲覧者	`RoleBinding`	Grafana システムと Grafana: 読み取りと書き込み	なし	なし
プロジェクトネットワークポリシー管理者	`RoleBinding`	プロジェクトネットワークポリシー: プロジェクト Namespace の読み取りと書き込み	なし	なし
プロジェクト閲覧者	`RoleBinding`	プロジェクト Namespace 内のすべてのリソース: 読み取り	なし	なし
プロジェクト VirtualMachine 管理者	`RoleBinding`	仮想マシン、ディスク、アクセスリクエスト、外部アクセス、バックアップリクエスト、バックアップ、復元リクエスト、バックアップ削除リクエスト、復元、パスワードリセットリクエスト: 読み取り、作成、更新、削除仮想マシンの再起動: Put 仮想マシンイメージ、バックアッププラン、バックアッププランテンプレート: 読み取り	なし	なし
プロジェクト VirtualMachine イメージ管理者	`RoleBinding`	VM イメージ: 読み取り VM イメージのインポート: 読み取りと書き込みバケット: 作成「vm-images-bucket」バケット: 読み取りと書き込み	なし	なし
シークレット管理者	`RoleBinding`	Kubernetes Secret: 読み取り、作成、更新、削除、パッチ適用	なし	なし
シークレット閲覧者	`RoleBinding`	Kubernetes Secret: 読み取り	なし	なし
サービス構成管理者	`RoleBinding`	`ServiceConfigurations`: 読み取りと書き込み	なし	なし
サービス構成閲覧者	`RoleBinding`	`ServiceConfigurations`: 既読	なし	なし
ボリュームレプリケーション管理者	`ClusterRoleBinding`	`Volume failovers, volume relationship replicas`: 作成、取得、一覧表示、監視、削除	なし	なし
Workbench Notebooks 管理者	`RoleBinding`	なし	プロジェクト名前空間の Notebook カスタムリソース（CR）: 作成、読み取り、更新、削除 `ClusterInfo` オブジェクト: 読み取り	なし
Workbench Notebooks 閲覧者	`RoleBinding`	なし	プロジェクト名前空間の Notebook カスタムリソース（CR）: 読み取り	なし
ワークロード閲覧者	`ProjectRoleBinding`	なし	プロジェクト Namespace の Pod カスタムリソース: 読み取りプロジェクトの Namespace 内の Deployment カスタムリソース: 読み取り	なし

一般的な事前定義の ID とアクセスロール

一般的なロール
名前	Kubernetes リソース名	初期管理者	レベル	型
AI Platform 閲覧者	`ai-platform-viewer`	誤り	プロジェクト	`Role`
DNS サフィックス閲覧者	`dnssuffix-viewer`	誤り	組織	`Role`
フローログ管理者	`flowlog-admin`	誤り	組織	`ClusterRole`
フローログビューア	`flowlog-viewer`	誤り	プロジェクト	`ClusterRole`
プロジェクトディスカバリ閲覧者	`projectdiscovery-viewer`	誤り	プロジェクト	`ClusterRole`
公開画像ビューア	`public-image-viewer`	誤り	組織	`Role`
システム Artifact Registry anthos-creds シークレットモニター	`sar-anthos-creds-secret-monitor`	誤り	組織	`Role`
システム Artifact Registry gpc-system シークレットモニター	`sar-gpc-system-secret-monitor`	誤り	組織	`Role`
システム Artifact Registry harbor-system シークレットモニター	`sar-harbor-system-secret-monitor`	誤り	組織	`Role`
Virtual Machine Type ビューア	`virtualmachinetype-viewer`	誤り	組織	`OrganizationRole`
VM タイプ閲覧者	`vmtype-viewer`	誤り	組織	`Role`

一般的な事前定義の ID とアクセスロール

一般的なロール
名前	バインディングタイプ	管理クラスタの権限	Kubernetes クラスタの権限	エスカレーション先
AI Platform 閲覧者	`RoleBinding`	事前トレーニング済みサービス: 読み取り	なし	なし
DNS サフィックス閲覧者	`ClusterRoleBinding`	DNS サフィックス構成マップ: 読み取り	なし	なし
フローログ管理者	`ClusterRoleBinding`	フローログリソース: 取得と読み取り	フローログリソース: 取得と読み取り	なし
フローログビューア	`ClusterRoleBinding`	フローログリソース: 作成、取得、読み取り、パッチ適用、更新、削除	フローログリソース: 作成、取得、読み取り、パッチ適用、更新、削除	なし
プロジェクトディスカバリ閲覧者	`ClusterRoleBinding`	プロジェクト: 読み取り	なし	なし
公開画像ビューア	`RoleBinding`	VM イメージ: 読み取り	なし	なし
システム Artifact Registry anthos-creds シークレットモニター	`RoleBinding`	`anthos-creds` シークレット: 取得と読み取り	`anthos-creds` シークレット: 取得と読み取り	なし
システム Artifact Registry gpc-system シークレットモニター	`RoleBinding`	`gpc-system` シークレット: 取得と読み取り	`gpc-system` シークレット: 取得と読み取り	なし
システム Artifact Registry harbor-system シークレットモニター	`RoleBinding`	`harbor-system` シークレット: 取得と読み取り	`harbor-system` シークレット: 取得と読み取り	なし
Virtual Machine Type ビューア	`OrganizationRoleBinding`	なし	VM タイプ: 読み取り	なし
VM タイプ閲覧者	`ClusterRoleBinding`	VM タイプ: 読み取り	なし	なし