本部分中的表格介绍了不同的预定义角色及其权限。这些表格包含以下列:
- 名称:界面 (UI) 中显示的角色名称。
- Kubernetes 资源名称:相应 Kubernetes 自定义资源的名称。
- 级别:用于指定此角色的范围是组织还是项目。
- 类型:相应角色的类型。例如,一些可能的值包括
Role、ProjectRole、ClusterRole或ProjectClusterRole。 - 绑定类型:您必须应用于此角色的绑定类型。
- 管理 API 服务器或 Kubernetes 集群权限:相应角色对管理 API 服务器或 Kubernetes 集群拥有的权限。例如,一些可能的值包括读取、写入、读取和写入,或不适用 (N/A)。
- 升级为:用于指定此角色是否升级为其他角色。
角色类型
- ClusterRole:管理 API 服务器或 Kubernetes 集群中集群范围内的 Kubernetes RBAC 角色。
- 角色:管理 API 服务器或 Kubernetes 集群中命名空间范围内的 Kubernetes RBAC 角色。
- ProjectRole:一种定义了权限并绑定到 Kubernetes 集群和命名空间的自定义资源定义。项目角色会以
Role的形式传播到 Kubernetes 集群。 - OrganizationRole:一种定义了权限的自定义资源定义,可作为
ClusterRole传播到 Kubernetes 集群。
预定义的身份和访问权限角色表
下表详细介绍了分配给每个预定义角色的权限。每种买家角色都有单独的表格:
IO Persona,预定义的身份和访问权限角色
| IO 角色 | ||||
|---|---|---|---|---|
| 名称 | Kubernetes 资源名称 | 初始管理员 | 级别 | 类型 |
| Security Admin | security-admin |
正确 | 组织 | ClusterRole |
| APPLSTOR 调试程序 | applstor-debugger |
错误 | 组织 | ClusterRole |
| APPLSTOR 监控器 | applstor-monitor |
错误 | 组织 | ClusterRole |
| APPLSTOR 密文轮替器 | applstor-secret-rotator |
错误 | 组织 | Role |
| AuditLoggingTarget IO 创建者 | auditloggingtarget-io-creator |
错误 | 组织 | ClusterRole |
| AuditLoggingTarget IO 查看器 | auditloggingtarget-io-viewer |
错误 | 组织 | ClusterRole |
| AuditLoggingTarget IO 编辑器 | auditloggingtarget-io-editor |
错误 | 组织 | ClusterRole |
| 审核日志备份恢复编辑器 | audit-logs-backup-restore-editor |
错误 | 组织 | ClusterRole |
| Audit Logs Infra Bucket Viewer | audit-logs-infra-bucket-viewer |
错误 | 组织 | ClusterRole |
| AIS 管理员 | ais-admin |
错误 | 组织 | Role |
| AIS Debugger | ais-debugger |
错误 | 组织 | Role |
| AIS Monitor | ais-monitor |
错误 | 组织 | Role |
| AuthzPDP Debugger | authzpdp-debugger |
错误 | 组织 | Role |
| Cert Manager 系统集群调试程序 | platauth-cert-manager-system-debugger |
错误 | 组织 | OrganizationRole |
| 信息中心创建者 | dashboard-creator |
错误 | 组织 | ClusterRole |
| Dashboard IO Creator | dashboard-io-creator |
错误 | 组织 | ClusterRole |
| 信息中心 IO 编辑器 | dashboard-io-editor |
错误 | 组织 | ClusterRole |
| 信息中心 IO 查看器 | dashboard-io-viewer |
错误 | 组织 | ClusterRole |
| 调试 AuditLoggingTarget 自定义资源 | auditloggingtarget-monitor |
错误 | 项目 | Role |
| DNS 管理员 | dns-admin |
错误 | 组织 | ClusterRole |
| DNS 调试器 | dns-debugger-root |
错误 | 组织 | ClusterRole |
| DNS 监控器 | dns-monitor |
错误 | 组织 | ClusterRole |
| DNS 后缀查看器 | dnssuffix-viewer |
错误 | 组织 | ClusterRole |
| Emergency SSH Creds Admin | emergencysshcreds-admin |
错误 | 组织 | Role |
| FluentBit IO Creator | fluentbit-io-creator |
错误 | 组织 | ClusterRole |
| FluentBit IO 查看器 | fluentbit-io-viewer |
错误 | 组织 | ClusterRole |
| FluentBit IO 编辑器 | fluentbit-io-editor |
错误 | 组织 | ClusterRole |
| Gatekeeper 管理员 | gatekeeper-admin |
错误 | 组织 | Role |
| Grafana 查看器 | grafana-viewer |
错误 | 组织 | ClusterRole |
| Grafana 调试器 | grafana-debugger |
错误 | 项目 | ProjectRole |
| 硬件管理员 | hardware-admin |
错误 | 组织 | ClusterRole |
| HWDR 管理员 | hardware-dr-admin |
错误 | 组织 | ClusterRole |
| HWDR 查看器 | hwdr-viewer |
错误 | 组织 | ClusterRole |
| Infra PKI 调试程序 | platauth-infra-pki-debugger |
错误 | 项目 | Role |
| Interconnect Admin | interconnect-admin-cp |
错误 | 组织 | ClusterRole |
| Kiali Admin | kiali-admin |
错误 | 组织 | ClusterRole |
| KUB IPAM Debugger | kub-ipam-debugger |
错误 | 组织 | ClusterRole |
| KUB Monitor | kub-monitor |
错误 | 组织 | ClusterRole |
| LogCollector IO 创建者 | logcollector-io-creator |
错误 | 组织 | ClusterRole |
| LogCollector IO 查看器 | logcollector-io-viewer |
错误 | 组织 | ClusterRole |
| LogCollector IO 编辑器 | logcollector-io-editor |
错误 | 组织 | ClusterRole |
| LoggingRule IO 创建者 | loggingrule-io-creator |
错误 | 组织 | ClusterRole |
| LoggingRule IO 查看器 | loggingrule-io-viewer |
错误 | 组织 | ClusterRole |
| LoggingRule IO 编辑器 | loggingrule-io-editor |
错误 | 组织 | ClusterRole |
| LoggingTarget IO 创建者 | loggingtarget-io-creator |
错误 | 组织 | ClusterRole |
| LoggingTarget IO 查看器 | loggingtarget-io-viewer |
错误 | 组织 | ClusterRole |
| LoggingTarget IO 编辑器 | loggingtarget-io-editor |
错误 | 组织 | ClusterRole |
| 日志查询 API 查询器 | log-query-api-querier |
错误 | 项目 | Role |
| MonitoringRule IO Creator | monitoringrule-io-creator |
错误 | 组织 | ClusterRole |
| MonitoringRule IO 查看器 | monitoringrule-io-viewer |
错误 | 组织 | ClusterRole |
| MonitoringRule IO Editor | monitoringrule-io-editor |
错误 | 组织 | ClusterRole |
| MonitoringTarget Creator | monitoringtarget-creator |
错误 | 组织 | ClusterRole |
| MonitoringTarget IO Creator | monitoringtarget-io-creator |
错误 | 组织 | ClusterRole |
| MonitoringTarget IO 查看器 | monitoringtarget-io-viewer |
错误 | 组织 | ClusterRole |
| MonitoringTarget IO 编辑器 | monitoringtarget-io-editor |
错误 | 组织 | ClusterRole |
| ObservabilityPipeline IO Creator | observabilitypipeline-io-creator |
错误 | 组织 | ClusterRole |
| ObservabilityPipeline IO 查看器 | observabilitypipeline-io-viewer |
错误 | 组织 | ClusterRole |
| ObservabilityPipeline IO 编辑器 | observabilitypipeline-io-editor |
错误 | 组织 | ClusterRole |
| Observability Admin | observability-admin |
错误 | 组织 | Role |
| 可观测性调试器 | observability-debugger |
错误 | 组织 | OrganizationRole |
| 可观测性系统调试程序 | observability-system-debugger |
错误 | 组织 | OrganizationRole |
| Observability Viewer | observability-viewer |
错误 | 组织 | Role |
| OCLCM Debugger | oclcm-debugger-root |
错误 | 组织 | ClusterRole |
| OCLCM Viewer | oclcm-viewer-root |
错误 | 组织 | ClusterRole |
| 组织管理员 | organization-admin |
错误 | 组织 | ClusterRole |
| 组织系统制品管理管理员 | organization-system-artifact-management-admin |
错误 | 组织 | Role |
| 组织系统制品管理调试器 | organization-system-artifact-management-debugger |
错误 | 组织 | ClusterRole |
| PERF Admin Monitor | perf-admin-monitor |
错误 | 组织 | Role |
| PERF Admin Resource Maintainer | perf-admin-resource-maintainer |
错误 | 项目 | Role |
| PERF Debugger | perf-debugger |
错误 | 项目 | ProjectRole |
| PERF 系统监控器 | perf-system-monitor |
错误 | 项目 | ProjectRole |
| PERF 系统资源维护人员 | perf-system-resource-maintainer |
错误 | 项目 | ProjectRole |
| PNET Debugger | pnet-debugger |
错误 | 组织 | ClusterRole |
| PNET Monitor | pnet-monitor |
错误 | 组织 | ClusterRole |
| PNET Secret Debugger | pnet-secret-debugger |
错误 | 组织 | Role |
| PSPF 调试器 | pspf-debugger |
错误 | 组织 | Role |
| PSPF 监控器 | pspf-monitor |
错误 | 组织 | Role |
| 政策管理员 | policy-admin |
错误 | 组织 | ClusterRole |
| 远程记录器管理员 | remote-logger-admin |
错误 | 组织 | Role |
| 远程记录器查看器 | remote-logger-viewer |
错误 | 组织 | Role |
| Root Cortex Alertmanager 编辑者 | root-cortex-alertmanager-editor |
错误 | 组织 | Role |
| Root Cortex Alertmanager Viewer | root-cortex-alertmanager-viewer |
错误 | 组织 | Role |
| 根 Cortex Prometheus 查看器 | root-cortex-prometheus-viewer |
错误 | 组织 | Role |
| 根会话管理员 | root-session-admin |
错误 | 组织 | Role |
| Security Viewer | security-viewer |
错误 | 组织 | ClusterRole |
| Service Now Admin | service-now-admin |
错误 | 项目 | Role |
| Service Now Admin | service-now-admin |
错误 | 项目 | ProjectRole |
| SSH Infra Debugger | platauth-ssh-infra-debugger |
错误 | 项目 | ProjectRole |
| 系统制品管理管理员 | system-artifact-management-admin |
错误 | 组织 | Role |
| System Artifact Management Secrets Admin | system-artifact-management-secrets-admin |
错误 | 组织 | Role |
| 系统 Artifact Registry Harbor 管理员 | sar-harbor-admin |
错误 | 组织 | Role |
| 系统制品注册表 Harbor 读取 | sar-harbor-read |
错误 | 组织 | Role |
| 系统制品注册表 Harbor ReadWrite | sar-harbor-readwrite |
错误 | 组织 | Role |
| 系统制品注册调试器 | sar-debugger-root |
错误 | 组织 | ClusterRole |
| 系统制品注册表监控器 | sar-monitorsar-monitor-root |
错误 | 组织 | ClusterRole |
| 系统集群管理员 | system-cluster-admin |
错误 | 组织 | OrganizationRole |
| 系统集群 DNS 调试器 | system-cluster-dns-debugger |
错误 | 组织 | OrganizationRole |
| 系统集群 UNET 调试器 | system-cluster-unet-debugger |
错误 | 组织 | OrganizationRole |
| 系统集群 UNET 监控器 | system-cluster-unet-monitor |
错误 | 组织 | OrganizationRole |
| 用户集群 UNET 调试器 | user-cluster-unet-debugger |
错误 | 组织 | OrganizationRole |
| 系统集群查看器 | system-cluster-viewer |
错误 | 组织 | OrganizationRole |
| 系统项目虚拟机管理员 | system-project-vm-admin |
错误 | 角色 | Role |
| Tenable Nessus 管理员 | tenable-nessus-admin |
错误 | 项目 | Role |
| Tenable Nessus 管理员 | tenable-nessus-system-admin |
错误 | 项目 | ProjectRole |
| Transfer Appliance 请求管理员 | transfer-appliance-request-admin |
错误 | 组织 | ClusterRole |
| 信任包根监控器 | transfer-appliance-request-admin |
错误 | 组织 | Role |
| 界面调试器 | ui-debugger |
错误 | 组织 | ClusterRole |
| UNET CLI 组织管理员监控器 | unet-cli-org-admin-monitor |
错误 | 组织 | ClusterRole |
| UNET CLI Root Admin Monitor | unet-cli-root-admin-monitor |
错误 | 组织 | ClusterRole |
| UNET CLI 系统监控器 | unet-cli-system-monitor |
错误 | 组织 | OrganizationRole |
| UNET CLI 用户监控器 | unet-cli-user-monitor |
错误 | 组织 | OrganizationRole |
| 升级 Appliance Admin | upgrade-admin-te |
错误 | 组织 | ClusterRole |
| 升级 Debugger | upgrade-debugger |
错误 | 组织 | OrganizationRole |
| 用户集群 DNS 调试器 | user-cluster-dns-debugger |
错误 | 组织 | OrganizationRole |
| 用户集群调试器 | user-cluster-debugger |
错误 | 组织 | OrganizationRole |
| 用户集群 UNET 调试器 | user-cluster-unet-debugger |
错误 | 组织 | OrganizationRole |
| 用户集群 UNET 监控器 | user-cluster-unet-monitor |
错误 | 组织 | OrganizationRole |
| VAISEARCH Secret Rotator | vaisearch-secret-rotator |
错误 | 项目 | ProjectRole |
| 管理平面 API 服务器的 VPN 调试器 | vpn-debugger |
错误 | 项目 | Role |
| Web TLS 证书调试器 | platauth-web-tls-cert-debugger |
错误 | 项目 | Role |
IO 角色、预定义身份和访问权限角色
| IO 角色 | ||||
|---|---|---|---|---|
| 名称 | 绑定类型 | 管理 API 服务器权限 | Kubernetes 集群权限 | 升级为 |
| Security Admin | ClusterRoleBinding |
|
不适用 | 组织 IAM 管理员和所有其他 IO 角色 |
| AIS 管理员 | RoleBinding |
|
不适用 | 不适用 |
| AIS Debugger | RoleBinding |
AIS 资源:创建、读取、更新、删除和修补 | 不适用 | 不适用 |
| AIS Monitor | RoleBinding |
iam-system 命名空间中的 AIS 资源:读取和写入 |
不适用 | 不适用 |
| APPLSTOR 调试程序 | ClusterRoleBinding |
|
不适用 | 不适用 |
| APPLSTOR 监控器 | ClusterRoleBinding |
asmconfigs:获取、列出 |
不适用 | 不适用 |
| APPLSTOR 密文轮替器 | RoleBinding |
Object storage secrets:获取、修补 |
不适用 | 不适用 |
| AuditLoggingTarget IO 创建者 | ClusterRoleBinding |
AuditLoggingTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| AuditLoggingTarget IO 编辑器 | ClusterRoleBinding |
AuditLoggingTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| AuditLoggingTarget IO 查看器 | ClusterRoleBinding |
AuditLoggingTarget 自定义资源:读取 |
不适用 | 不适用 |
| 审核日志备份恢复编辑器 | ClusterRoleBinding |
备份存储分区:读取和写入 | 不适用 | 不适用 |
| Audit Logs Infra Bucket Viewer | ClusterRoleBinding |
备份存储分区:读取 | 不适用 | 不适用 |
| 信息中心创建者 | ClusterRoleBinding |
Dashboard 自定义资源:Get、list、watch、create |
不适用 | 不适用 |
| Dashboard IO Creator | ClusterRoleBinding |
Dashboard 自定义资源:读取和写入 |
不适用 | 不适用 |
| AuthzPDP Debugger | RoleBinding |
|
不适用 | 不适用 |
| Cert Manager 系统集群调试程序 | OrganizationRoleBinding |
证书、证书请求、签发者、集群签发者、质询、订单:获取、列出、观看、更新、修补、删除和创建 | 不适用 | 不适用 |
| 信息中心 IO 编辑器 | ClusterRoleBinding |
Dashboard 自定义资源:读取和写入 |
不适用 | 不适用 |
| 信息中心 IO 查看器 | ClusterRoleBinding |
Dashboard 自定义资源:读取 |
不适用 | 不适用 |
| 调试 AuditLoggingTarget 自定义资源 | RoleBinding |
|
不适用 | 不适用 |
| DNS 管理员 | ClusterRoleBinding |
|
不适用 | 不适用 |
| DNS 调试器 | ClusterRoleBinding |
|
不适用 | 不适用 |
| DNS 监控器 | ClusterRoleBinding |
不适用 | Configmap、Secret、DNS 注册 API、DNS 服务、DNS 部署:读取 | 不适用 |
| DNS 后缀查看器 | ClusterRoleBinding |
不适用 | DNS 后缀 configmap:读取 | 不适用 |
| Emergency SSH Creds Admin | RoleBinding |
不适用 | EmergencySshCredentials:创建、读取和修补 |
不适用 |
| FluentBit IO Creator | ClusterRoleBinding |
FluentBit 自定义资源:读取和写入 |
不适用 | 不适用 |
| FluentBit IO 编辑器 | ClusterRoleBinding |
FluentBit 自定义资源:读取和写入 |
不适用 | 不适用 |
| FluentBit IO 查看器 | ClusterRoleBinding |
FluentBit 自定义资源:读取 |
不适用 | 不适用 |
| Gatekeeper 管理员 | RoleBinding |
|
不适用 | 不适用 |
| Grafana 调试器 | ProjectRoleBinding |
应用、部署、有状态集和 pod:读取、更新、删除和修补 | 应用、部署、有状态集和 pod:读取、更新、删除和修补 | 不适用 |
| Grafana 查看器 | RoleBinding |
GrafanaSystem 和 Grafana:读取和写入 |
不适用 | 不适用 |
| 硬件管理员 | ClusterRoleBinding |
与硬件相关的 CRD:读取和写入 | 不适用 | 不适用 |
| HWDR 管理员 | ClusterRoleBinding |
|
不适用 | 不适用 |
| HWDR 查看器 | ClusterRoleBinding |
不适用 | 备份方案:读取 | 不适用 |
| Infra PKI 调试程序 | RoleBinding |
不适用 |
|
不适用 |
| Interconnect Admin | ClusterRoleBinding |
不适用 | 互连连接和连接群组:get、list、watch、create、update、delete、patch | 不适用 |
| Kiali Admin | RoleBinding |
不适用 |
|
不适用 |
| KUB IPAM Debugger | ClusterRoleBinding |
IPAM 资源:读取和写入 | 不适用 | 不适用 |
| KUB Monitor | ClusterRoleBinding |
KUB 资源:阅读 | 不适用 | 不适用 |
| LogCollector IO 创建者 | ClusterRoleBinding |
LogCollector 自定义资源:读取和写入 |
不适用 | 不适用 |
| LogCollector IO 编辑器 | ClusterRoleBinding |
LogCollector 自定义资源:读取和写入 |
不适用 | 不适用 |
| LogCollector IO 查看器 | ClusterRoleBinding |
LogCollector 自定义资源:读取 |
不适用 | 不适用 |
| LoggingRule IO 创建者 | ClusterRoleBinding |
LoggingRule 自定义资源:读取和写入 |
不适用 | 不适用 |
| LoggingRule IO 编辑器 | ClusterRoleBinding |
LoggingRule 自定义资源:读取和写入 |
不适用 | 不适用 |
| LoggingRule IO 查看器 | ClusterRoleBinding |
LoggingRule 自定义资源:读取 |
不适用 | 不适用 |
| LoggingTarget IO 创建者 | ClusterRoleBinding |
LoggingTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| LoggingTarget IO 编辑器 | ClusterRoleBinding |
LoggingTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| LoggingTarget IO 查看器 | ClusterRoleBinding |
LoggingTarget 自定义资源:读取 |
不适用 | 不适用 |
| 日志查询 API 查询器 | ClusterRoleBinding |
日志查询 API 项目日志:读取 | 不适用 | 不适用 |
| MonitoringRule IO Creator | ClusterRoleBinding |
MonitoringRule 自定义资源:读取和写入 |
不适用 | 不适用 |
| MonitoringRule IO Editor | ClusterRoleBinding |
MonitoringRule 自定义资源:读取和写入 |
不适用 | 不适用 |
| MonitoringRule IO 查看器 | ClusterRoleBinding |
MonitoringRule 自定义资源:读取 |
不适用 | 不适用 |
| MonitoringTarget Creator | ClusterRoleBinding |
MonitoringTarget 自定义资源:Get、list、watch、create |
不适用 | 不适用 |
| MonitoringTarget IO Creator | ClusterRoleBinding |
MonitoringTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| MonitoringTarget IO 编辑器 | ClusterRoleBinding |
MonitoringTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| MonitoringTarget IO 查看器 | ClusterRoleBinding |
MonitoringTarget 自定义资源:读取 |
不适用 | 不适用 |
| ObservabilityPipeline IO Creator | ClusterRoleBinding |
ObservabilityPipeline 自定义资源:读取和写入 |
不适用 | 不适用 |
| ObservabilityPipeline IO 编辑器 | ClusterRoleBinding |
ObservabilityPipeline 自定义资源:读取和写入 |
不适用 | 不适用 |
| ObservabilityPipeline IO 查看器 | ClusterRoleBinding |
ObservabilityPipeline 自定义资源:读取 |
不适用 | 不适用 |
| Observability Admin | RoleBinding |
|
|
不适用 |
| 可观测性调试器 | OrganizationRoleBinding |
|
不适用 | 不适用 |
| 可观测性系统调试程序 | OrganizationRoleBinding |
|
不适用 | 不适用 |
| Observability Viewer | RoleBinding |
obs-system 命名空间:读取 |
obs-system 命名空间:读取 |
不适用 |
| OCLCM Debugger | ClusterRoleBinding |
oclcm-debugger:
|
oclcm-debugger-root:
|
不适用 |
| OCLCM Viewer | ClusterRoleBinding |
oclcm-viewer:
|
oclcm-viewer-root:
|
不适用 |
| 组织管理员 | ClusterRoleBinding |
|
不适用 | 不适用 |
| 组织系统制品管理管理员 | RoleBinding |
|
不适用 | 不适用 |
| PERF Admin Monitor | RoleBinding |
PERF 存储分区、服务账号和 Secret:阅读 | 不适用 | 不适用 |
| PERF Admin Resource Maintainer | RoleBinding |
|
不适用 | 不适用 |
| PERF Debugger | ProjectRoleBinding |
|
不适用 | 不适用 |
| PERF 系统监控器 | ProjectRoleBinding |
Pod、configmap、cron 作业:阅读 | 不适用 | 不适用 |
| PERF 系统资源维护人员 | ProjectRoleBinding |
|
不适用 | 不适用 |
| PNET Debugger | ClusterRoleBinding |
不适用 |
|
不适用 |
| PNET Monitor | ClusterRoleBinding |
不适用 | PNET 部署、部署日志、Pod、Pod 日志、子网声明和交换机:读取 | 不适用 |
| PNET Secret Debugger | RoleBinding |
不适用 | PNET Secret:获取、列出、监听、创建、更新、修补、删除 | 不适用 |
| PSPF 调试器 | RoleBinding |
不适用 |
|
不适用 |
| PSPF 监控器 | RoleBinding |
不适用 | PSPF 部署日志、Pod、Pod 日志:获取、列出、观看 | 不适用 |
| 政策管理员 | ClusterRoleBinding |
限制:创建、修改和删除 | 不适用 | 不适用 |
| 远程记录器管理员 | RoleBinding |
部署:读取、更新、修补和删除 | 部署:读取、更新、修补和删除 | 不适用 |
| 远程记录器查看器 | RoleBinding |
部署:读取 | 部署:读取 | 不适用 |
| Root Cortex Alertmanager 编辑者 | RoleBinding |
不适用 | Cortex Alertmanager、日志记录规则和监控规则自定义资源:创建、删除、读取、修补和更新 | 不适用 |
| Root Cortex Alertmanager Viewer | RoleBinding |
不适用 | Cortex Alertmanager、日志记录规则和监控规则自定义资源:请参阅 | 不适用 |
| 根 Cortex Prometheus 查看器 | RoleBinding |
不适用 | Cortex 系统和 Cortex Prometheus:阅读 | 不适用 |
| 根会话管理员 | RoleBinding |
不适用 | Istio 资源管理器:创建、读取、更新、删除和修补 | 不适用 |
| Security Viewer | ClusterRoleBinding |
|
不适用 | 不适用 |
| Service Now Admin | RoleBinding |
Dnsregistrations、Projectnetworkpolicies、Virtualservices、Envoyfilters、Destinationrules、Monitoringtargets、Monitoringrules 和 Dashboards:读取和写入 |
不适用 | 不适用 |
| Service Now Admin | ProjectRoleBinding |
不适用 | 服务、configmap、Pod 日志和 Secret:读取和写入 | 不适用 |
| SSH Infra Debugger | ProjectRoleBinding |
不适用 | SSH 密钥:获取、列出、监视、修补、更新、创建、删除 | 不适用 |
| 系统制品管理管理员 | RoleBinding |
HarborProjects:管理员,创建、读取、写入、删除和查看 |
|
不适用 |
| System Artifact Management Secrets Admin | RoleBinding |
不适用 |
|
不适用 |
| 系统 Artifact Registry Harbor 管理员 | RoleBinding |
Harbor 项目:创建、读取、更新、修补和删除 | Harbor 项目:创建、读取、更新、修补和删除 | 不适用 |
| 系统集群管理员 | OrganizationRoleBinding |
不适用 | 系统集群:创建、删除、更新和读取 | 不适用 |
| 系统制品注册表 Harbor 读取 | RoleBinding |
不适用 | Harbor 项目:读取 | 不适用 |
| 系统制品注册表 Harbor ReadWrite | RoleBinding |
不适用 | Harbor 项目:创建、读取和写入 | 不适用 |
| 系统制品注册调试器 | ClusterRoleBinding |
不适用 |
|
不适用 |
| 系统制品注册表监控器 | ClusterRoleBinding |
不适用 | Harbor 集群、Secret 和 CRD:读取 | 不适用 |
| 系统集群 DNS 调试器 | OrganizationRoleBinding |
不适用 |
|
不适用 |
| 系统集群 UNET 调试器 | OrganizationRoleBinding |
|
不适用 | 不适用 |
| 系统集群 UNET 监控器 | OrganizationRoleBinding |
项目、项目网络政策、configmap、secret、证书、软件包、deployment、daemon set、stateful set、pod、pod 日志、服务、端点、端点切片、网络政策、网络日志记录、网络、网络接口、联网、虚拟机、虚拟机实例、集群 CIDR 配置、流日志、流日志状态、BGP 对等互联方、BGP 播发的路由、BGP 收到的路由、BGP 会话、BGP 负载平衡器、出站 NAT 政策、网络网关组、网络网关节点、扁平 IP 模式、多集群连接配置、VPN 隧道、流量转向、configmap 转发器、secret 转发器、健康检查、节点池声明、节点池和插件配置:获取和读取 | 不适用 | 不适用 |
| 系统集群查看器 | OrganizationRoleBinding |
不适用 | 系统集群:读取和写入 | 不适用 |
| Tenable Nessus 管理员 | RoleBinding |
用于管理 Nessus 的网络组件:读取和写入 | 不适用 | 不适用 |
| Tenable Nessus 管理员 | ProjectRoleBinding |
用于管理 Nessus 的网络组件:读取和写入 | 不适用 | 不适用 |
| Transfer Appliance 请求管理员 | ClusterRoleBinding |
Transferappliancerequests:读取和写入 |
不适用 | 不适用 |
| 信任包根监控器 | RoleBinding |
Config maps:获取、列出、观看 |
不适用 | 不适用 |
| 界面调试器 | ClusterRoleBinding |
后端界面服务器:读取、修补、更新 | 不适用 | 不适用 |
| UNET CLI 组织管理员监控器 | ClusterRoleBinding |
|
不适用 | 不适用 |
| UNET CLI Root Admin Monitor | ClusterRoleBinding |
不适用 |
|
不适用 |
| UNET CLI 系统监控器 | OrganizationRoleBinding |
不适用 |
|
不适用 |
| UNET CLI 用户监控器 | OrganizationRoleBinding |
不适用 |
|
不适用 |
| 升级 Appliance Admin | ClusterRoleBinding |
SubcomponentOverrides:获取、列出、创建、更新和修补 |
|
不适用 |
| 升级 Debugger | OrganizationRoleBinding |
不适用 |
|
不适用 |
| 用户集群 DNS 调试器 | OrganizationRoleBinding |
不适用 |
|
不适用 |
| 用户集群调试器 | OrganizationRoleBinding |
不适用 | 用户集群:获取、读取、创建、更新、修补和删除 | 不适用 |
| 用户集群 UNET 调试器 | OrganizationRoleBinding |
不适用 |
|
不适用 |
| 用户集群 UNET 监控器 | OrganizationRoleBinding |
不适用 | 项目、项目网络政策、configmap、Secret、证书、证书签发者、软件包、部署、DaemonSet、StatefulSet、Pod、Pod 日志、服务、端点、端点切片、网络政策、网络日志记录、Cilium、网络、网络接口、虚拟机、虚拟机实例、网络、集群 CIDR 配置、扁平 IP 模式、configmap 转发器、Secret 转发器、健康检查、节点池声明、节点池、AddOn 配置、流日志和流日志状态、BGP 对等互联方、BGP 播发的路由、BGP 接收的路由、BGP 会话、BGP 负载平衡器、出站 NAT 政策、网络网关组、网络网关节点、扁平 IP 模式、多集群连接配置、VPN 隧道和流量转向:获取和读取 | 不适用 |
| VAISEARCH Secret Rotator | ProjectRoleBinding |
不适用 | Vertex AI Search Secret:获取、列出、查看、删除 | 不适用 |
| 管理平面 API 服务器的 VPN 调试器 | RoleBinding |
不适用 |
|
不适用 |
| 适用于边界集群的 VPN 调试器 | RoleBinding |
不适用 |
|
不适用 |
| Web TLS 证书调试器 | RoleBinding |
不适用 | Secret 和 PKI 证书:获取、列出、监视、更新、修补、创建、删除 | 不适用 |
PA Persona,预定义的身份和访问权限角色
| PA 角色 | ||||
|---|---|---|---|---|
| 名称 | Kubernetes 资源名称 | 初始管理员 | 级别 | 类型 |
| 组织 IAM 管理员 | organization-iam-admin |
正确 | 组织 | ClusterRole |
| AI Platform Admin | ai-platform-admin |
正确 | 组织 | ClusterRole |
| Audit Logs Platform Restore Bucket Creator | audit-logs-platform-restore-bucket-creator |
错误 | 组织 | Role |
| Audit Logs Platform Bucket Viewer | audit-logs-platform-bucket-viewer |
错误 | 组织 | Role |
| Bucket Admin | bucket-admin |
错误 | 组织 | ClusterRole |
| 存储分区对象管理员 | bucket-object-admin |
错误 | 组织 | ClusterRole |
| 存储分区对象查看器 | bucket-object-viewer |
错误 | 组织 | ClusterRole |
| Bucket Admin | global-bucket-admin |
错误 | 组织 | ClusterRole |
| 存储分区对象管理员 | global-bucket-object-admin |
错误 | 组织 | ClusterRole |
| 存储分区对象查看器 | global-bucket-object-viewer |
错误 | 组织 | ClusterRole |
| 信息中心 PA 创作者 | dashboard-pa-creator |
错误 | 组织 | ClusterRole |
| 信息中心 PA 编辑器 | dashboard-pa-editor |
错误 | 组织 | ClusterRole |
| 信息中心 PA 查看器 | dashboard-pa-viewer |
错误 | 组织 | ClusterRole |
| 流日志管理员 | flowlog-admin |
错误 | 组织 | ClusterRole |
| 流日志查看器 | flowlog-viewer |
错误 | 组织 | ClusterRole |
| GDCH Restrict By Attributes Policy Admin | gdchrestrictbyattributes-policy-admin |
错误 | 组织 | ClusterRole |
| GDCH Restricted Service Policy Admin | gdchrestrictedservice-policy-admin |
错误 | 组织 | ClusterRole |
| IdP 联合身份管理员 | idp-federation-admin |
错误 | 组织 | Role |
| Infra PKI Admin | infra-pki-admin |
错误 | 项目 | Role |
| Interconnect Admin | interconnect-admin-mp |
错误 | 组织 | ClusterRole |
| 日志查询 API 查询器 | log-query-api-querier |
错误 | 项目 | Role |
| LoggingRule PA Creator | loggingrule-pa-creator |
错误 | 组织 | ClusterRole |
| LoggingRule PA 查看器 | loggingrule-pa-viewer |
错误 | 组织 | ClusterRole |
| LoggingRule PA Editor | loggingrule-pa-editor |
错误 | 组织 | ClusterRole |
| LoggingTarget PA Creator | loggingtarget-pa-creator |
错误 | 组织 | ClusterRole |
| LoggingTarget PA Viewer | loggingtarget-pa-viewer |
错误 | 组织 | ClusterRole |
| LoggingTarget PA 编辑器 | loggingtarget-pa-editor |
错误 | 组织 | ClusterRole |
| MonitoringRule PA Creator | monitoringrule-pa-creator |
错误 | 组织 | ClusterRole |
| MonitoringRule PA 查看器 | monitoringrule-pa-viewer |
错误 | 组织 | ClusterRole |
| MonitoringRule PA 编辑器 | monitoringrule-pa-editor |
错误 | 组织 | ClusterRole |
| MonitoringTarget PA Creator | monitoringtarget-pa-creator |
错误 | 组织 | ClusterRole |
| MonitoringTarget PA Viewer | monitoringtarget-pa-viewer |
错误 | 组织 | ClusterRole |
| MonitoringTarget PA Editor | monitoringtarget-pa-editor |
错误 | 组织 | ClusterRole |
| MP OCLCM Debugger | mp-oclcm-debugger |
错误 | 组织 | ClusterRole |
| MP OCLCM Viewer | mp-oclcm-viewer |
错误 | 组织 | ClusterRole |
| ObservabilityPipeline PA Creator | observabilitypipeline-pa-creator |
错误 | 组织 | ClusterRole |
| ObservabilityPipeline PA Viewer | observabilitypipeline-pa-viewer |
错误 | 组织 | ClusterRole |
| ObservabilityPipeline PA Editor | observabilitypipeline-pa-editor |
错误 | 组织 | ClusterRole |
| Org Network Policy Admin | org-network-policy-admin |
错误 | 组织 | Role |
| 组织会话管理员 | org-session-admin |
错误 | 组织 | Role |
| 组织 Grafana 查看者 | organization-grafana-viewer |
错误 | 组织 | ClusterRole |
| 组织 IAM 查看者 | organization-iam-viewer |
错误 | 组织 | ClusterRole |
| 组织升级管理员 | organization-upgrade-admin |
错误 | 组织 | ClusterRole |
| 组织升级查看者 | organization-upgrade-viewer |
错误 | 组织 | ClusterRole |
| 项目级存储分区管理员 | global-project-bucket-admin |
错误 | 组织 | Project |
| Project Bucket Object Admin | project-bucket-object-admin |
错误 | 组织 | Project |
| Project Bucket Object Viewer | global-project-bucket-object-viewer |
错误 | 组织 | Project |
| Project Creator | project-creator |
错误 | 组织 | ClusterRole |
| Project Editor | project-editor |
错误 | 组织 | ClusterRole |
| SIEM Export Org Creator | siemexport-org-creator |
错误 | 项目 | Role |
| SIEM Export Org Editor | siemexport-org-editor |
错误 | 项目 | Role |
| SIEM Export Org Viewer | siemexport-org-viewer |
错误 | 项目 | Role |
| Transfer Appliance 请求创建者 | transfer-appliance-request-creator |
错误 | 组织 | ClusterRole |
| User Cluster Admin | user-cluster-admin |
错误 | 组织 | ClusterRole |
| User Cluster CRD Viewer | user-cluster-crd-viewer |
错误 | 组织 | OrganizationRole |
| 用户集群开发者 | user-cluster-developer |
错误 | 组织 | OrganizationRole |
| 用户节点查看器 | user-cluster-node-viewer |
错误 | 组织 | OrganizationRole |
| VPN 管理员 | vpn-admin |
错误 | 项目 | Role |
| VPN 查看器 | vpn-viewer |
错误 | 项目 | Role |
PA 角色、预定义身份和访问权限角色
| PA 角色 | ||||
|---|---|---|---|---|
| 名称 | 绑定类型 | 管理 API 服务器权限 | Kubernetes 集群权限 | 升级为 |
| 组织 IAM 管理员 |
ClusterRoleBinding |
|
不适用 | Project IAM Admin 和所有其他 PA 角色 |
| AI Platform Admin |
ClusterRoleBinding |
|
不适用 | 不适用 |
| Audit Logs Platform Restore Bucket Creator | ClusterRoleBinding |
备份存储分区:读取和写入 | 不适用 | 不适用 |
| Audit Logs Platform Bucket Viewer | ClusterRoleBinding |
备份存储分区:读取 | 不适用 | 不适用 |
| Bucket Admin | ClusterRoleBinding |
存储分区和对象:读取和写入 | 不适用 | 不适用 |
| 存储分区对象管理员 | ClusterRoleBinding |
|
不适用 | 不适用 |
| 存储分区对象查看器 | ClusterRoleBinding |
存储分区和对象:读取 | 不适用 | 不适用 |
| 信息中心 PA 创作者 | ClusterRoleBinding |
Dashboard 自定义资源:读取和写入 |
不适用 | 不适用 |
| 信息中心 PA 编辑器 | ClusterRoleBinding |
Dashboard 自定义资源:读取和写入 |
不适用 | 不适用 |
| 信息中心 PA 查看器 | ClusterRoleBinding |
Dashboard 自定义资源:读取 |
不适用 | 不适用 |
| 流日志管理员 | ClusterRoleBinding |
流日志资源:读取和写入 | 不适用 | 不适用 |
| 流日志查看器 | ClusterRoleBinding |
流日志资源:读取 | 不适用 | 不适用 |
| GDCH Restrict By Attributes Policy Admin | ClusterRoleBinding |
GDCH 受限属性政策:创建、修改和删除 | 不适用 | 不适用 |
| GDCH 受限服务政策管理器 | ClusterRoleBinding |
GDCH 受限服务政策:创建、修改和删除 | 不适用 | 不适用 |
| IdP 联合身份管理员 | RoleBinding |
身份提供商配置和密钥:创建、读取、更新、修补和删除 | 不适用 | 不适用 |
| Infra PKI Admin | RoleBinding |
不适用 |
|
不适用 |
| Interconnect Admin | ClusterRoleBinding |
不适用 | 互连连接和连接群组:get、list、watch、create、update、delete、patch | 不适用 |
| 日志查询 API 查询器 | RoleBinding |
日志查询 API 项目日志:读取 | 不适用 | 不适用 |
| LoggingRule PA Creator | ClusterRoleBinding |
LoggingRule 自定义资源:读取和写入 |
不适用 | 不适用 |
| LoggingRule PA Editor | ClusterRoleBinding |
LoggingRule 自定义资源:读取和写入 |
不适用 | 不适用 |
| LoggingRule PA 查看器 | ClusterRoleBinding |
LoggingRule 自定义资源:读取 |
不适用 | 不适用 |
| LoggingTarget PA Creator | ClusterRoleBinding |
LoggingTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| LoggingTarget PA 编辑器 | ClusterRoleBinding |
LoggingTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| LoggingTarget PA Viewer | ClusterRoleBinding |
LoggingTarget 自定义资源:读取 |
不适用 | 不适用 |
| MonitoringRule PA Creator | ClusterRoleBinding |
MonitoringRule 自定义资源:读取和写入 |
不适用 | 不适用 |
| MonitoringRule PA 编辑器 | ClusterRoleBinding |
MonitoringRule 自定义资源:读取和写入 |
不适用 | 不适用 |
| MonitoringRule PA 查看器 | ClusterRoleBinding |
MonitoringRule 自定义资源:读取 |
不适用 | 不适用 |
| MonitoringTarget PA Creator | ClusterRoleBinding |
MonitoringTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| MonitoringTarget PA Editor | ClusterRoleBinding |
MonitoringTarget 自定义资源:读取和写入 |
不适用 | 不适用 |
| MonitoringTarget PA Viewer | ClusterRoleBinding |
MonitoringTarget 自定义资源:读取 |
不适用 | 不适用 |
| MP OCLCM Debugger | ClusterRoleBinding |
|
不适用 | 不适用 |
| MP OCLCM Viewer | ClusterRoleBinding |
组件、ComponentOverrides、SubcomponentOverrides、ComponentRollouts、子组件:获取、列出 | 不适用 | 不适用 |
| ObservabilityPipeline PA Creator | ClusterRoleBinding |
ObservabilityPipeline 自定义资源:读取和写入 |
不适用 | 不适用 |
| ObservabilityPipeline PA Editor | ClusterRoleBinding |
ObservabilityPipeline 自定义资源:读取和写入 |
不适用 | 不适用 |
| ObservabilityPipeline PA Viewer | ClusterRoleBinding |
ObservabilityPipeline 自定义资源:读取 |
不适用 | 不适用 |
| Org Network Policy Admin | RoleBinding |
platform 命名空间中的 OrganizationNetworkPolicy:创建、读取、更新和删除 |
不适用 | 不适用 |
| 组织会话管理员 | RoleBinding |
Istio 授权资源:创建、读取、更新和删除 | 不适用 | 不适用 |
| 组织 Grafana 查看者 | RoleBinding |
GrafanaSystem 和 Grafana:读取和写入 |
不适用 | 不适用 |
| 组织 IAM 查看者 |
ClusterRoleBinding |
|
不适用 | 不适用 |
| 组织升级管理员 | ClusterRoleBinding |
维护窗口:获取、列出、观看、更新和修补 | 不适用 | 不适用 |
| 组织升级查看者 | ClusterRoleBinding |
维护窗口:获取、列出和观看 | 不适用 | 不适用 |
| Project Creator | ClusterRoleBinding |
|
不适用 | 不适用 |
| Project Editor | ClusterRoleBinding |
|
不适用 | 不适用 |
| SIEM Export Org Creator | RoleBinding |
SIEMOrgForwarder 自定义资源和 Secret:获取、创建和读取 |
不适用 | 不适用 |
| SIEM Export Org Editor | RoleBinding |
SIEMOrgForwarder 自定义资源和 Secret:获取、读取、更新、删除和修补 |
不适用 | 不适用 |
| SIEM Export Org Viewer | RoleBinding |
SIEMOrgForwarder 自定义资源和 Secret:读取 |
不适用 | 不适用 |
| Transfer Appliance 请求创建者 | ClusterRoleBinding |
TransferApplianceRequest 自定义资源 (CR):读取和创建 |
不适用 | 不适用 |
| User Cluster Admin | ClusterRoleBinding |
|
|
不适用 |
| User Cluster CRD Viewer | OrganizationRoleBinding |
不适用 | CustomResourceDefinitions:已读 |
不适用 |
| 用户集群开发者 | OrganizationRoleBinding |
不适用 | 集群:读取和写入 | 不适用 |
| 用户集群节点查看器 | OrganizationRoleBinding |
不适用 | 集群:读取 | 不适用 |
| VPN 管理员 | RoleBinding |
不适用 |
|
不适用 |
| VPN 查看器 | RoleBinding |
不适用 |
|
不适用 |
AO 角色,预定义的身份和访问权限角色
| AO persona | ||||
|---|---|---|---|---|
| 名称 | Kubernetes 资源名称 | 初始管理员 | 级别 | 类型 |
| Project IAM Admin | project-iam-admin |
正确 | 项目 | Role |
| AI OCR 开发者 | ai-ocr-developer |
错误 | 项目 | Role |
| AI Platform Viewer | ai-platform-viewer |
错误 | 项目 | Role |
| AI 语音开发者 | ai-speech-developer |
错误 | 项目 | Role |
| AI Translation Developer | ai-translation-developer |
错误 | 项目 | Role |
| Artifact Management Admin | artifact-management-admin |
错误 | 项目 | Role |
| Artifact Management Editor | artifact-management-editor |
错误 | 项目 | Role |
| Certificate Authority Service 管理员 | certificate-authority-service-admin |
错误 | 项目 | Role |
| Certificate Service Admin | certificate-service-admin |
错误 | 项目 | Role |
| 信息中心编辑器 | dashboard-editor |
错误 | 项目 | Role |
| 信息中心查看器 | dashboard-viewer |
错误 | 项目 | Role |
| Harbor 实例管理员 | harbor-instance-admin |
错误 | 项目 | Role |
| Harbor Instance Viewer | harbor-instance-viewer |
错误 | 项目 | Role |
| Harbor 项目创建者 | harbor-project-creator |
错误 | 项目 | Role |
| K8s Network Policy Admin | k8s-networkpolicy-admin |
错误 | 项目 | ProjectRole |
| 负载平衡器管理员 | load-balancer-admin |
错误 | 项目 | ProjectRole |
| LoggingRule Creator | loggingrule-creator |
错误 | 项目 | Role |
| LoggingRule 编辑器 | loggingrule-editor |
错误 | 项目 | Role |
| LoggingRule 查看者 | loggingrule-viewer |
错误 | 项目 | Role |
| LoggingTarget 创建者 | loggingtarget-creator |
错误 | 项目 | Role |
| LoggingTarget 编辑器 | loggingtarget-editor |
错误 | 项目 | Role |
| LoggingTarget 查看器 | loggingtarget-viewer |
错误 | 项目 | Role |
| MonitoringRule 编辑器 | monitoringrule-editor |
错误 | 项目 | Role |
| MonitoringRule 查看器 | monitoringrule-viewer |
错误 | 项目 | Role |
| MonitoringTarget 编辑器 | monitoringtarget-editor |
错误 | 项目 | Role |
| MonitoringTarget 查看器 | monitoringtarget-viewer |
错误 | 项目 | Role |
| Namespace Admin | namespace-admin |
错误 | 项目 | ProjectRole |
| NAT 查看器 | nat-viewer |
错误 | 项目 | ProjectRole |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
错误 | 项目 | Role |
| ObservabilityPipeline Viewer | observabilitypipeline-viewer |
错误 | 项目 | Role |
| 项目级存储分区管理员 | project-bucket-admin |
错误 | 项目 | Role |
| Project Bucket Object Admin | project-bucket-object-admin |
错误 | 项目 | Role |
| Project Bucket Object Viewer | project-bucket-object-viewer |
错误 | 项目 | Role |
| Project Cortex Alertmanager 编辑者 | project-cortex-alertmanager-editor |
错误 | 项目 | Role |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
错误 | 项目 | Role |
| Project Cortex Prometheus 查看器 | project-cortex-prometheus-viewer |
错误 | 项目 | Role |
| Project Grafana Viewer | project-grafana-viewer |
错误 | 项目 | Role |
| 项目 NetworkPolicy 管理员 | project-networkpolicy-admin |
错误 | 项目 | Role |
| Project Viewer | project-viewer |
错误 | 项目 | Role |
| 项目虚拟机管理员 | project-vm-admin |
错误 | 项目 | Role |
| Project VirtualMachine Image Admin | project-vm-image-admin |
错误 | 项目 | Role |
| Secret Admin | secret-admin |
错误 | 项目 | Role |
| Secret Viewer | secret-viewer |
错误 | 项目 | Role |
| Service Configuration Admin | service-configuration-admin |
错误 | 项目 | Role |
| Service Configuration Viewer | service-configuration-viewer |
错误 | 项目 | Role |
| Workbench Notebooks Admin | workbench-notebooks-admin |
错误 | 项目 | Role |
| 卷复制管理员 | app-volume-replication-admin |
错误 | 集群 | Role |
| Workbench Notebooks 查看器 | workbench-notebooks-viewer |
错误 | 项目 | Role |
| 工作负载查看器 | workload-viewer |
错误 | 项目 | Role |
AO 角色、预定义身份和访问权限角色
| AO persona | ||||
|---|---|---|---|---|
| 名称 | 绑定类型 | 管理 API 服务器权限 | Kubernetes 集群权限 | 升级为 |
| Project IAM Admin | RoleBinding |
|
不适用 | 所有其他 AO 角色 |
| AI OCR 开发者 | RoleBinding |
OCR 资源:读取和写入 | 不适用 | 不适用 |
| AI 语音开发者 | RoleBinding |
语音资源:读取和写入 | 不适用 | 不适用 |
| AI Translation Developer | RoleBinding |
翻译资源:读写 | 不适用 | 不适用 |
| Artifact Management Admin | RoleBinding |
HarborProjects:管理员,创建、读取、写入、删除和查看 |
不适用 | 不适用 |
| Artifact Management Editor | RoleBinding |
HarborProjects:读取、写入和查看 |
不适用 | 不适用 |
| Certificate Authority Service 管理员 | RoleBinding |
证书授权机构和证书请求:获取、列出、监控、更新、创建、删除和修补 | 不适用 | 不适用 |
| Certificate Service Admin | RoleBinding |
证书和证书签发者:获取、列出、观看、更新、创建、删除和修补 | 不适用 | 不适用 |
| 信息中心编辑器 | RoleBinding |
Dashboard 自定义资源:获取、读取、创建、更新、删除和修补 |
不适用 | 不适用 |
| 信息中心查看器 | RoleBinding |
Dashboard:获取和读取 |
不适用 | 不适用 |
| Harbor 实例管理员 | RoleBinding |
Harbor 实例:创建、读取、更新、删除和修补 | 不适用 | 不适用 |
| Harbor Instance Viewer | RoleBinding |
Harbor 实例:读取 | 不适用 | 不适用 |
| Harbor 项目创建者 | RoleBinding |
Harbor 实例项目:创建、获取和观看 | 不适用 | 不适用 |
| K8s NetworkPolicy Admin | ProjectRoleBinding |
不适用 | NetworkPolicy 资源:创建、读取、获取、更新、删除和修补 |
不适用 |
| 负载平衡器管理员 | RoleBinding |
不适用 |
|
不适用 |
| LoggingRule Creator | RoleBinding |
LoggingRule 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 |
| LoggingRule 编辑器 | RoleBinding |
LoggingRule 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 |
| LoggingRule 查看者 | RoleBinding |
LoggingRule 自定义资源:读取 |
不适用 | 不适用 |
| LoggingTarget 创建者 | RoleBinding |
LoggingTarget 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 |
| LoggingTarget 编辑器 | RoleBinding |
LoggingTarget 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 |
| LoggingTarget 查看器 | RoleBinding |
LoggingTarget 自定义资源:读取 |
不适用 | 不适用 |
| MonitoringRule 编辑器 | RoleBinding |
MonitoringRule 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 |
| MonitoringRule 查看器 | RoleBinding |
MonitoringRule 自定义资源:读取 |
不适用 | 不适用 |
| MonitoringTarget 编辑器 | RoleBinding |
MonitoringTarget 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 |
| MonitoringTarget 查看器 | RoleBinding |
MonitoringTarget 自定义资源:读取 |
不适用 | 不适用 |
| Namespace Admin | ProjectRoleBinding |
不适用 | 所有资源:项目命名空间中的读写权限 | 不适用 |
| NAT 查看器 | ProjectRoleBinding |
不适用 | 部署:获取和读取 | 不适用 |
| ObservabilityPipeline Editor | RoleBinding |
ObservabilityPipeline 资源:获取、读取、创建、更新、删除和修补 |
不适用 | 不适用 |
| ObservabilityPipeline Viewer | RoleBinding |
ObservabilityPipeline 资源:获取并阅读 |
不适用 | 不适用 |
| 项目级存储分区管理员 | RoleBinding |
存储分区:在项目命名空间中读取和写入 | 不适用 | 不适用 |
| Project Bucket Object Admin | RoleBinding |
|
不适用 | 不适用 |
| Project Bucket Object Viewer | RoleBinding |
存储分区和对象:读取 | 不适用 | 不适用 |
| Project Cortex Alertmanager 编辑者 | RoleBinding |
Cortex 系统和 Cortex Alertmanager:读取和写入 | 不适用 | 不适用 |
| Project Cortex Alertmanager Viewer | RoleBinding |
Cortex 系统和 Cortex Alertmanager:阅读 | 不适用 | 不适用 |
| Project Cortex Prometheus 查看器 | RoleBinding |
Cortex 系统和 Cortex Prometheus:阅读 | 不适用 | 不适用 |
| Project Grafana Viewer | RoleBinding |
Grafana 系统和 Grafana:读取和写入 | 不适用 | 不适用 |
| 项目 NetworkPolicy 管理员 | RoleBinding |
项目网络政策:在项目命名空间中读取和写入 | 不适用 | 不适用 |
| Project Viewer | RoleBinding |
项目命名空间中的所有资源:读取 | 不适用 | 不适用 |
| 项目虚拟机管理员 | RoleBinding |
|
不适用 | 不适用 |
| Project VirtualMachine Image Admin | RoleBinding |
|
不适用 | 不适用 |
| Secret Admin | RoleBinding |
Kubernetes Secret:读取、创建、更新、删除和修补 | 不适用 | 不适用 |
| Secret Viewer | RoleBinding |
Kubernetes Secret:读取 | 不适用 | 不适用 |
| Service Configuration Admin | RoleBinding |
ServiceConfigurations:读取和写入
|
不适用 | 不适用 |
| Service Configuration Viewer | RoleBinding |
ServiceConfigurations:已读
|
不适用 | 不适用 |
| 卷复制管理员 | ClusterRoleBinding |
Volume failovers, volume relationship replicas:
创建、获取、列出、观看、删除
|
不适用 | 不适用 |
| Workbench Notebooks Admin | RoleBinding |
不适用 |
|
不适用 |
| Workbench Notebooks 查看器 | RoleBinding |
不适用 |
|
不适用 |
| 工作负载查看器 | ProjectRoleBinding |
不适用 |
|
不适用 |
常见的预定义身份和访问权限角色
| 常见角色 | ||||
|---|---|---|---|---|
| 名称 | Kubernetes 资源名称 | 初始管理员 | 级别 | 类型 |
| AI Platform Viewer | ai-platform-viewer |
错误 | 项目 | Role |
| DNS 后缀查看器 | dnssuffix-viewer |
错误 | 组织 | Role |
| 流日志管理员 | flowlog-admin |
错误 | 组织 | ClusterRole |
| 流日志查看器 | flowlog-viewer |
错误 | 项目 | ClusterRole |
| Project Discovery Viewer | projectdiscovery-viewer |
错误 | 项目 | ClusterRole |
| 公共图片查看器 | public-image-viewer |
错误 | 组织 | Role |
| 系统 Artifact Registry anthos-creds Secret 监控器 | sar-anthos-creds-secret-monitor |
错误 | 组织 | Role |
| 系统 Artifact Registry gpc-system Secret 监控器 | sar-gpc-system-secret-monitor |
错误 | 组织 | Role |
| 系统制品注册表 harbor-system 密钥监控器 | sar-harbor-system-secret-monitor |
错误 | 组织 | Role |
| 虚拟机类型查看器 | virtualmachinetype-viewer |
错误 | 组织 | OrganizationRole |
| VM Type Viewer | vmtype-viewer |
错误 | 组织 | Role |
常见的预定义身份和访问权限角色
| 常见角色 | ||||
|---|---|---|---|---|
| 名称 | 绑定类型 | 管理员集群权限 | Kubernetes 集群权限 | 升级为 |
| AI Platform Viewer | RoleBinding |
预训练服务:读取 | 不适用 | 不适用 |
| DNS 后缀查看器 | ClusterRoleBinding |
DNS 后缀配置映射:读取 | 不适用 | 不适用 |
| 流日志管理员 | ClusterRoleBinding |
流日志资源:获取和读取 | 流日志资源:获取和读取 | 不适用 |
| 流日志查看器 | ClusterRoleBinding |
流日志资源:创建、获取、读取、修补、更新和删除 | 流日志资源:创建、获取、读取、修补、更新和删除 | 不适用 |
| Project Discovery Viewer | ClusterRoleBinding |
项目:读取 | 不适用 | 不适用 |
| 公共图片查看器 | RoleBinding |
虚拟机映像:读取 | 不适用 | 不适用 |
| 系统 Artifact Registry anthos-creds Secret 监控器 | RoleBinding |
anthos-creds secrets:获取和读取 |
anthos-creds secrets:获取和读取 |
不适用 |
| 系统 Artifact Registry gpc-system Secret 监控器 | RoleBinding |
gpc-system secrets:获取和读取 |
gpc-system secrets:获取和读取 |
不适用 |
| 系统制品注册表 harbor-system 密钥监控器 | RoleBinding |
harbor-system secrets:获取和读取 |
harbor-system secrets:获取和读取 |
不适用 |
| 虚拟机类型查看器 | OrganizationRoleBinding |
不适用 | 虚拟机类型:读取 | 不适用 |
| VM Type Viewer | ClusterRoleBinding |
虚拟机类型:读取 | 不适用 | 不适用 |