本頁面由 Cloud Translation API 翻譯而成。

角色定義

本節的表格說明不同的預先定義角色及其權限。表格包含下列資料欄：

名稱：使用者介面 (UI) 中顯示的角色名稱。
Kubernetes 資源名稱：對應 Kubernetes 自訂資源的名稱。
層級：指定這個角色是否受機構或專案的範圍限制。
類型：這個角色的類型。例如，可能的值包括 Role、ProjectRole、ClusterRole 或 ProjectClusterRole。
繫結類型：您必須套用至這個角色的繫結類型。
管理 API 伺服器或 Kubernetes 叢集權限：這個角色在管理 API 伺服器或 Kubernetes 叢集擁有的權限。舉例來說，可能的值包括讀取、寫入、讀取和寫入，或不適用 (N/A)。
升級至：指定這個角色是否會升級至其他角色。

角色類型

ClusterRole：管理 API 伺服器或 Kubernetes 叢集中的叢集範圍 Kubernetes RBAC 角色。
角色：管理 API 伺服器或 Kubernetes 叢集中的命名空間範圍內，Kubernetes RBAC 角色。
ProjectRole：自訂資源定義，其中定義了權限，並繫結至 Kubernetes 叢集和命名空間。專案角色會以 Role 的形式傳播至 Kubernetes 叢集。
OrganizationRole：定義權限的自訂資源定義，會以 ClusterRole 形式傳播至 Kubernetes 叢集。

預先定義的身分與存取角色表

下表詳細列出各個預先定義角色獲派的權限。每個目標對象都有專屬的表格：

IO Persona、預先定義的身分與存取權角色

IO 角色
名稱	Kubernetes 資源名稱	初始管理員	等級	類型
安全性管理員	`security-admin`	是	機構	`ClusterRole`
APPLSTOR 偵錯工具	`applstor-debugger`	否	機構	`ClusterRole`
APPLSTOR 監控器	`applstor-monitor`	否	機構	`ClusterRole`
APPLSTOR 密鑰輪替器	`applstor-secret-rotator`	否	機構	`Role`
AuditLoggingTarget IO Creator	`auditloggingtarget-io-creator`	否	機構	`ClusterRole`
AuditLoggingTarget IO Viewer	`auditloggingtarget-io-viewer`	否	機構	`ClusterRole`
AuditLoggingTarget IO 編輯者	`auditloggingtarget-io-editor`	否	機構	`ClusterRole`
稽核記錄備份還原編輯器	`audit-logs-backup-restore-editor`	否	機構	`ClusterRole`
稽核記錄基礎架構值區檢視者	`audit-logs-infra-bucket-viewer`	否	機構	`ClusterRole`
AIS 管理員	`ais-admin`	否	機構	`Role`
AIS Debugger	`ais-debugger`	否	機構	`Role`
AIS Monitor	`ais-monitor`	否	機構	`Role`
AuthzPDP Debugger	`authzpdp-debugger`	否	機構	`Role`
Cert Manager 系統叢集偵錯工具	`platauth-cert-manager-system-debugger`	否	機構	`OrganizationRole`
資訊主頁建立者	`dashboard-creator`	否	機構	`ClusterRole`
Dashboard IO Creator	`dashboard-io-creator`	否	機構	`ClusterRole`
資訊主頁 IO 編輯者	`dashboard-io-editor`	否	機構	`ClusterRole`
資訊主頁 IO 檢視者	`dashboard-io-viewer`	否	機構	`ClusterRole`
偵錯 AuditLoggingTarget 自訂資源	`auditloggingtarget-monitor`	否	專案	`Role`
DNS 管理員	`dns-admin`	否	機構	`ClusterRole`
DNS 偵錯工具	`dns-debugger-root`	否	機構	`ClusterRole`
DNS 監控器	`dns-monitor`	否	機構	`ClusterRole`
DNS 尾碼檢視者	`dnssuffix-viewer`	否	機構	`ClusterRole`
緊急 SSH 憑證管理員	`emergencysshcreds-admin`	否	機構	`Role`
FluentBit IO Creator	`fluentbit-io-creator`	否	機構	`ClusterRole`
FluentBit IO 檢視者	`fluentbit-io-viewer`	否	機構	`ClusterRole`
FluentBit IO 編輯器	`fluentbit-io-editor`	否	機構	`ClusterRole`
守門員管理員	`gatekeeper-admin`	否	機構	`Role`
Grafana 檢視者	`grafana-viewer`	否	機構	`ClusterRole`
Grafana Debugger	`grafana-debugger`	否	專案	`ProjectRole`
硬體管理員	`hardware-admin`	否	機構	`ClusterRole`
HWDR 管理員	`hardware-dr-admin`	否	機構	`ClusterRole`
HWDR 檢視者	`hwdr-viewer`	否	機構	`ClusterRole`
基礎架構 PKI 偵錯工具	`platauth-infra-pki-debugger`	否	專案	`Role`
互連網路管理員	`interconnect-admin-cp`	否	機構	`ClusterRole`
Kiali 管理員	`kiali-admin`	否	機構	`ClusterRole`
KUB IPAM Debugger	`kub-ipam-debugger`	否	機構	`ClusterRole`
KUB Monitor	`kub-monitor`	否	機構	`ClusterRole`
LogCollector IO Creator	`logcollector-io-creator`	否	機構	`ClusterRole`
LogCollector IO Viewer	`logcollector-io-viewer`	否	機構	`ClusterRole`
LogCollector IO Editor	`logcollector-io-editor`	否	機構	`ClusterRole`
LoggingRule IO Creator	`loggingrule-io-creator`	否	機構	`ClusterRole`
LoggingRule IO Viewer	`loggingrule-io-viewer`	否	機構	`ClusterRole`
LoggingRule IO Editor	`loggingrule-io-editor`	否	機構	`ClusterRole`
LoggingTarget IO Creator	`loggingtarget-io-creator`	否	機構	`ClusterRole`
LoggingTarget IO Viewer	`loggingtarget-io-viewer`	否	機構	`ClusterRole`
LoggingTarget IO 編輯者	`loggingtarget-io-editor`	否	機構	`ClusterRole`
Log Query API Querier	`log-query-api-querier`	否	專案	`Role`
MonitoringRule IO 建立者	`monitoringrule-io-creator`	否	機構	`ClusterRole`
MonitoringRule IO 檢視者	`monitoringrule-io-viewer`	否	機構	`ClusterRole`
MonitoringRule IO 編輯者	`monitoringrule-io-editor`	否	機構	`ClusterRole`
監控目標創作者	`monitoringtarget-creator`	否	機構	`ClusterRole`
MonitoringTarget IO Creator	`monitoringtarget-io-creator`	否	機構	`ClusterRole`
MonitoringTarget IO 檢視者	`monitoringtarget-io-viewer`	否	機構	`ClusterRole`
MonitoringTarget IO 編輯者	`monitoringtarget-io-editor`	否	機構	`ClusterRole`
ObservabilityPipeline IO Creator	`observabilitypipeline-io-creator`	否	機構	`ClusterRole`
ObservabilityPipeline IO 檢視者	`observabilitypipeline-io-viewer`	否	機構	`ClusterRole`
ObservabilityPipeline IO 編輯者	`observabilitypipeline-io-editor`	否	機構	`ClusterRole`
Observability 管理員	`observability-admin`	否	機構	`Role`
可觀測性偵錯工具	`observability-debugger`	否	機構	`OrganizationRole`
可觀測性系統偵錯工具	`observability-system-debugger`	否	機構	`OrganizationRole`
Observability 檢視者	`observability-viewer`	否	機構	`Role`
OCLCM Debugger	`oclcm-debugger-root`	否	機構	`ClusterRole`
OCLCM 檢視者	`oclcm-viewer-root`	否	機構	`ClusterRole`
機構管理員	`organization-admin`	否	機構	`ClusterRole`
機構系統構件管理管理員	`organization-system-artifact-management-admin`	否	機構	`Role`
機構系統構件管理偵錯工具	`organization-system-artifact-management-debugger`	否	機構	`ClusterRole`
PERF Admin Monitor	`perf-admin-monitor`	否	機構	`Role`
PERF 管理員資源維護人員	`perf-admin-resource-maintainer`	否	專案	`Role`
PERF Debugger	`perf-debugger`	否	專案	`ProjectRole`
PERF 系統監控工具	`perf-system-monitor`	否	專案	`ProjectRole`
PERF 系統資源維護人員	`perf-system-resource-maintainer`	否	專案	`ProjectRole`
PNET Debugger	`pnet-debugger`	否	機構	`ClusterRole`
PNET Monitor	`pnet-monitor`	否	機構	`ClusterRole`
PNET Secret Debugger	`pnet-secret-debugger`	否	機構	`Role`
PSPF Debugger	`pspf-debugger`	否	機構	`Role`
PSPF 監控	`pspf-monitor`	否	機構	`Role`
政策管理員	`policy-admin`	否	機構	`ClusterRole`
遠端記錄器管理員	`remote-logger-admin`	否	機構	`Role`
Remote Logger Viewer	`remote-logger-viewer`	否	機構	`Role`
Root Cortex Alertmanager 編輯者	`root-cortex-alertmanager-editor`	否	機構	`Role`
Root Cortex Alertmanager 檢視者	`root-cortex-alertmanager-viewer`	否	機構	`Role`
根 Cortex Prometheus 檢視器	`root-cortex-prometheus-viewer`	否	機構	`Role`
根工作階段管理員	`root-session-admin`	否	機構	`Role`
安全性檢視者	`security-viewer`	否	機構	`ClusterRole`
Service Now 管理員	`service-now-admin`	否	專案	`Role`
Service Now 管理員	`service-now-admin`	否	專案	`ProjectRole`
SSH 基礎架構偵錯工具	`platauth-ssh-infra-debugger`	否	專案	`ProjectRole`
系統構件管理管理員	`system-artifact-management-admin`	否	機構	`Role`
系統構件管理密鑰管理員	`system-artifact-management-secrets-admin`	否	機構	`Role`
系統構件登錄檔 Harbor 管理員	`sar-harbor-admin`	否	機構	`Role`
系統 Artifact Registry Harbor 讀取權	`sar-harbor-read`	否	機構	`Role`
System Artifact Registry Harbor ReadWrite	`sar-harbor-readwrite`	否	機構	`Role`
系統 Artifact Registry 偵錯工具	`sar-debugger-root`	否	機構	`ClusterRole`
系統構件登錄檔監控	機構基礎架構叢集： `sar-monitor` 根管理員叢集： `sar-monitor-root`	否	機構	`ClusterRole`
系統叢集管理員	`system-cluster-admin`	否	機構	`OrganizationRole`
系統叢集 DNS 偵錯工具	`system-cluster-dns-debugger`	否	機構	`OrganizationRole`
系統叢集 UNET 偵錯工具	`system-cluster-unet-debugger`	否	機構	`OrganizationRole`
系統叢集 UNET 監控	`system-cluster-unet-monitor`	否	機構	`OrganizationRole`
使用者叢集 UNET 偵錯工具	`user-cluster-unet-debugger`	否	機構	`OrganizationRole`
系統叢集檢視者	`system-cluster-viewer`	否	機構	`OrganizationRole`
系統專案 VirtualMachine 管理員	`system-project-vm-admin`	否	角色	`Role`
Tenable Nessus 管理員	`tenable-nessus-admin`	否	專案	`Role`
Tenable Nessus 管理員	`tenable-nessus-system-admin`	否	專案	`ProjectRole`
Transfer Appliance 申請管理員	`transfer-appliance-request-admin`	否	機構	`ClusterRole`
信任組合根監控	`transfer-appliance-request-admin`	否	機構	`Role`
UI 偵錯工具	`ui-debugger`	否	機構	`ClusterRole`
UNET CLI 機構管理員監控器	`unet-cli-org-admin-monitor`	否	機構	`ClusterRole`
UNET CLI Root Admin Monitor	`unet-cli-root-admin-monitor`	否	機構	`ClusterRole`
UNET CLI 系統監控工具	`unet-cli-system-monitor`	否	機構	`OrganizationRole`
UNET CLI 使用者監控	`unet-cli-user-monitor`	否	機構	`OrganizationRole`
升級設備管理員	`upgrade-admin-te`	否	機構	`ClusterRole`
升級 Debugger	`upgrade-debugger`	否	機構	`OrganizationRole`
使用者叢集 DNS 偵錯工具	`user-cluster-dns-debugger`	否	機構	`OrganizationRole`
使用者叢集偵錯工具	`user-cluster-debugger`	否	機構	`OrganizationRole`
使用者叢集 UNET 偵錯工具	`user-cluster-unet-debugger`	否	機構	`OrganizationRole`
使用者叢集 UNET 監控器	`user-cluster-unet-monitor`	否	機構	`OrganizationRole`
VAISEARCH Secret Rotator	`vaisearch-secret-rotator`	否	專案	`ProjectRole`
管理平面 API 伺服器的 VPN 偵錯工具	`vpn-debugger`	否	專案	`Role`
網站 TLS 憑證偵錯工具	`platauth-web-tls-cert-debugger`	否	專案	`Role`

IO 角色、預先定義的身分和存取權角色

IO 角色
名稱	繫結類型	Management API 伺服器權限	Kubernetes 叢集權限	呈報至
安全性管理員	`ClusterRoleBinding`	`RoleBinding`、`ClusterRoleBinding`、`Role`、`ClusterRole`、`ProjectRole`、`OrganizationClusterRole`、`ProjectRoleBinding` 和 `OrganizationRoleBinding`：建立、讀取、更新及刪除 GKE Identity Service 自訂資源 (CR)：讀取和寫入	不適用	機構 IAM 管理員和所有其他 IO 角色
AIS 管理員	`RoleBinding`	GKE Identity Service Pod 部署作業：讀取和寫入 AIS 加密密鑰：刪除	不適用	不適用
AIS Debugger	`RoleBinding`	AIS 資源：建立、讀取、更新、刪除及修補	不適用	不適用
AIS Monitor	`RoleBinding`	`iam-system` 命名空間中的 AIS 資源：讀取和寫入	不適用	不適用
APPLSTOR 偵錯工具	`ClusterRoleBinding`	命名空間、密鑰、服務帳戶：取得、列出值區、值區群組：讀取和寫入外部 HSM：讀取和寫入	不適用	不適用
APPLSTOR 監控器	`ClusterRoleBinding`	`asmconfigs`：取得、列出	不適用	不適用
APPLSTOR 密鑰輪替器	`RoleBinding`	`Object storage secrets`：取得、修補	不適用	不適用
AuditLoggingTarget IO Creator	`ClusterRoleBinding`	`AuditLoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
AuditLoggingTarget IO 編輯者	`ClusterRoleBinding`	`AuditLoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
AuditLoggingTarget IO Viewer	`ClusterRoleBinding`	`AuditLoggingTarget` 自訂資源：讀取	不適用	不適用
稽核記錄備份還原編輯器	`ClusterRoleBinding`	備份 bucket：讀取和寫入	不適用	不適用
稽核記錄基礎架構值區檢視者	`ClusterRoleBinding`	備份值區：讀取	不適用	不適用
資訊主頁建立者	`ClusterRoleBinding`	`Dashboard` 自訂資源：取得、列出、監看、建立	不適用	不適用
Dashboard IO Creator	`ClusterRoleBinding`	`Dashboard` 自訂資源：讀取及寫入	不適用	不適用
AuthzPDP Debugger	`RoleBinding`	`AuthzPDP` 服務：讀取及更新 DNS 部署作業：讀取、修補及更新	不適用	不適用
Cert Manager 系統叢集偵錯工具	`OrganizationRoleBinding`	憑證、憑證要求、簽發者、叢集簽發者、驗證、訂單：取得、列出、監控、更新、修補、刪除及建立	不適用	不適用
資訊主頁 IO 編輯者	`ClusterRoleBinding`	`Dashboard` 自訂資源：讀取及寫入	不適用	不適用
資訊主頁 IO 檢視者	`ClusterRoleBinding`	`Dashboard` 自訂資源：讀取	不適用	不適用
偵錯 AuditLoggingTarget 自訂資源	`RoleBinding`	DNS 註冊：取得、列出 `Audit logging targets`：取得、列出、更新、刪除、修補	不適用	不適用
DNS 管理員	`ClusterRoleBinding`	DNS 檔案和安全金鑰：建立、讀取、更新及刪除 `DNSRegistration` 自訂資源 (CR)：建立、讀取及更新 DNS 服務和解析程式：讀取及更新	不適用	不適用
DNS 偵錯工具	`ClusterRoleBinding`	Configmap 和密鑰：建立、讀取及刪除 DNS 註冊：建立及讀取服務：讀取及更新 Deployment 和 Deployment 記錄：讀取、修補及更新 Pod：建立及讀取 Pod 記錄：讀取	不適用	不適用
DNS 監控器	`ClusterRoleBinding`	不適用	Configmap、密鑰、DNS 註冊 API、DNS 服務、DNS 部署作業：讀取	不適用
DNS 尾碼檢視者	`ClusterRoleBinding`	不適用	DNS 尾碼 configmap：讀取	不適用
緊急 SSH 憑證管理員	`RoleBinding`	不適用	`EmergencySshCredentials`：建立、讀取及修補	不適用
FluentBit IO Creator	`ClusterRoleBinding`	`FluentBit` 自訂資源：讀取及寫入	不適用	不適用
FluentBit IO 編輯器	`ClusterRoleBinding`	`FluentBit` 自訂資源：讀取及寫入	不適用	不適用
FluentBit IO 檢視者	`ClusterRoleBinding`	`FluentBit` 自訂資源：讀取	不適用	不適用
守門員管理員	`RoleBinding`	部署作業：讀取及修補密鑰：讀取、修補及更新	不適用	不適用
Grafana Debugger	`ProjectRoleBinding`	應用程式、部署作業、有狀態集和 Pod：讀取、更新、刪除及修補	應用程式、部署作業、有狀態集和 Pod：讀取、更新、刪除及修補	不適用
Grafana 檢視者	`RoleBinding`	`GrafanaSystem` 和 Grafana：讀取及寫入	不適用	不適用
硬體管理員	`ClusterRoleBinding`	硬體相關 CRD：讀取和寫入	不適用	不適用
HWDR 管理員	`ClusterRoleBinding`	HWDR 裝置：讀取及刪除備份方案、Pod、記錄：讀取	不適用	不適用
HWDR 檢視者	`ClusterRoleBinding`	不適用	備份方案：讀取	不適用
基礎架構 PKI 偵錯工具	`RoleBinding`	不適用	PKI 憑證簽發者和憑證授權單位：取得、列出、監控、建立、更新、刪除、修補 PKI 密鑰：取得、列出	不適用
互連網路管理員	`ClusterRoleBinding`	不適用	互連網路連結和連結群組：取得、列出、監控、建立、更新、刪除、修補	不適用
Kiali 管理員	`RoleBinding`	不適用	`Istio authorization`：讀取及寫入	不適用
KUB IPAM Debugger	`ClusterRoleBinding`	IPAM 資源：讀取及寫入	不適用	不適用
KUB Monitor	`ClusterRoleBinding`	KUB 資源：閱讀	不適用	不適用
LogCollector IO Creator	`ClusterRoleBinding`	`LogCollector` 自訂資源：讀取及寫入	不適用	不適用
LogCollector IO Editor	`ClusterRoleBinding`	`LogCollector` 自訂資源：讀取及寫入	不適用	不適用
LogCollector IO Viewer	`ClusterRoleBinding`	`LogCollector` 自訂資源：讀取	不適用	不適用
LoggingRule IO Creator	`ClusterRoleBinding`	`LoggingRule` 自訂資源：讀取及寫入	不適用	不適用
LoggingRule IO Editor	`ClusterRoleBinding`	`LoggingRule` 自訂資源：讀取及寫入	不適用	不適用
LoggingRule IO Viewer	`ClusterRoleBinding`	`LoggingRule` 自訂資源：讀取	不適用	不適用
LoggingTarget IO Creator	`ClusterRoleBinding`	`LoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
LoggingTarget IO 編輯者	`ClusterRoleBinding`	`LoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
LoggingTarget IO Viewer	`ClusterRoleBinding`	`LoggingTarget` 自訂資源：讀取	不適用	不適用
Log Query API Querier	`ClusterRoleBinding`	Log Query API 專案記錄：讀取	不適用	不適用
MonitoringRule IO 建立者	`ClusterRoleBinding`	`MonitoringRule` 自訂資源：讀取及寫入	不適用	不適用
MonitoringRule IO 編輯者	`ClusterRoleBinding`	`MonitoringRule` 自訂資源：讀取及寫入	不適用	不適用
MonitoringRule IO 檢視者	`ClusterRoleBinding`	`MonitoringRule` 自訂資源：讀取	不適用	不適用
監控目標創作者	`ClusterRoleBinding`	`MonitoringTarget` 自訂資源：取得、列出、監看、建立	不適用	不適用
MonitoringTarget IO Creator	`ClusterRoleBinding`	`MonitoringTarget` 自訂資源：讀取及寫入	不適用	不適用
MonitoringTarget IO 編輯者	`ClusterRoleBinding`	`MonitoringTarget` 自訂資源：讀取及寫入	不適用	不適用
MonitoringTarget IO 檢視者	`ClusterRoleBinding`	`MonitoringTarget` 自訂資源：讀取	不適用	不適用
ObservabilityPipeline IO Creator	`ClusterRoleBinding`	`ObservabilityPipeline` 自訂資源：讀取及寫入	不適用	不適用
ObservabilityPipeline IO 編輯者	`ClusterRoleBinding`	`ObservabilityPipeline` 自訂資源：讀取及寫入	不適用	不適用
ObservabilityPipeline IO 檢視者	`ClusterRoleBinding`	`ObservabilityPipeline` 自訂資源：讀取	不適用	不適用
Observability 管理員	`RoleBinding`	`obs-system` 命名空間：讀取 Anthos 稽核記錄轉送器和 Anthos 記錄轉送器：更新、修補及刪除	`obs-system` 命名空間：讀取 `audit-logs-loki`、`loki`、`cortex`、`anthos-audit-logs-forwarder`、`anthos-log-forwarder`：更新、修補及刪除	不適用
可觀測性偵錯工具	`OrganizationRoleBinding`	部署作業、有狀態集、Daemon 集、密鑰、ConfigMap：讀取、建立、刪除、修補及更新憑證：讀取	不適用	不適用
可觀測性系統偵錯工具	`OrganizationRoleBinding`	部署作業、有狀態集、Daemon 集、密鑰、ConfigMap：讀取、建立、刪除、修補及更新憑證：讀取	不適用	不適用
Observability 檢視者	`RoleBinding`	`obs-system` 命名空間：讀取	`obs-system` 命名空間：讀取	不適用
OCLCM Debugger	`ClusterRoleBinding`	`oclcm-debugger`：元件：建立及讀取元件推出和子元件：讀取、修補及更新子元件覆寫：建立、讀取、更新及修補	`oclcm-debugger-root`：元件：建立及讀取元件推出和子元件：讀取、修補及更新子元件覆寫：建立、讀取、更新及修補	不適用
OCLCM 檢視者	`ClusterRoleBinding`	`oclcm-viewer`：元件、元件推出、子元件、子元件覆寫：讀取	`oclcm-viewer-root`：元件、元件推出、子元件和子元件覆寫：讀取	不適用
機構管理員	`ClusterRoleBinding`	機構自訂資源 (CR)：讀取和寫入機構升級和發布中繼資料：讀取	不適用	不適用
機構系統構件管理管理員	`RoleBinding`	Harbor 專案：管理員、讀取、寫入、查看、建立及刪除 Harbor 使用者憑證：讀取、建立及刪除	不適用	不適用
PERF Admin Monitor	`RoleBinding`	PERF 值區、服務帳戶和密鑰：讀取	不適用	不適用
PERF 管理員資源維護人員	`RoleBinding`	虛擬機器資源、buckets、角色、角色繫結、專案服務帳戶和 KMS 金鑰：讀取和刪除服務帳戶和密鑰：讀取	不適用	不適用
PERF Debugger	`ProjectRoleBinding`	`Jobs`：建立、讀取及刪除 `CronJobs` 和 `ConfigMap`：建立、讀取、修補及刪除	不適用	不適用
PERF 系統監控工具	`ProjectRoleBinding`	Pod、configmap、Cron 工作：讀取	不適用	不適用
PERF 系統資源維護人員	`ProjectRoleBinding`	服務和服務帳戶：讀取及刪除工作和 Cron 工作：讀取	不適用	不適用
PNET Debugger	`ClusterRoleBinding`	不適用	PNET 部署作業和部署作業記錄：讀取、修補及更新 Pod、Pod 記錄、子網路聲明和交換器：讀取	不適用
PNET Monitor	`ClusterRoleBinding`	不適用	PNET 部署作業、部署作業記錄、Pod、Pod 記錄、子網路聲明和交換器：讀取	不適用
PNET Secret Debugger	`RoleBinding`	不適用	PNET 密鑰：取得、列出、監看、建立、更新、修補、刪除	不適用
PSPF Debugger	`RoleBinding`	不適用	PSPF 部署作業：取得、列出、監看、建立、更新、修補、刪除 PSPF 部署記錄、Pod、Pod 記錄：取得、列出、監看	不適用
PSPF 監控	`RoleBinding`	不適用	PSPF 部署記錄、Pod、Pod 記錄：取得、列出、監看	不適用
政策管理員	`ClusterRoleBinding`	限制：建立、編輯及刪除	不適用	不適用
遠端記錄器管理員	`RoleBinding`	部署作業：讀取、更新、修補及刪除	部署作業：讀取、更新、修補及刪除	不適用
Remote Logger Viewer	`RoleBinding`	部署作業：讀取	部署作業：讀取	不適用
Root Cortex Alertmanager 編輯者	`RoleBinding`	不適用	Cortex Alertmanager、記錄規則和監控規則自訂資源：建立、刪除、讀取、修補及更新	不適用
Root Cortex Alertmanager 檢視者	`RoleBinding`	不適用	Cortex Alertmanager、記錄規則和監控規則自訂資源：讀取	不適用
根 Cortex Prometheus 檢視器	`RoleBinding`	不適用	Cortex 系統和 Cortex Prometheus：請參閱	不適用
根工作階段管理員	`RoleBinding`	不適用	Istio 資源管理工具：建立、讀取、更新、刪除及修補	不適用
安全性檢視者	`ClusterRoleBinding`	`RoleBinding` 和 `ClusterRoleBinding`：讀取 `Role` 和 `ClusterRole`：讀取 GKE Identity Service 自訂資源 (CR)：讀取	不適用	不適用
Service Now 管理員	`RoleBinding`	`Dnsregistrations`、`Projectnetworkpolicies`、`Virtualservices`、`Envoyfilters`、`Destinationrules`、`Monitoringtargets`、`Monitoringrules` 和 `Dashboards`：讀取和寫入	不適用	不適用
Service Now 管理員	`ProjectRoleBinding`	不適用	服務、設定對應、Pod 記錄和密鑰：讀取和寫入	不適用
SSH 基礎架構偵錯工具	`ProjectRoleBinding`	不適用	SSH 密鑰：取得、列出、監看、修補、更新、建立、刪除	不適用
系統構件管理管理員	`RoleBinding`	`HarborProjects`：管理員、建立、讀取、寫入、刪除及檢視	Harbor 專案和使用者憑證：建立、刪除及讀取 `HarborProjects`：管理員、讀取、寫入發布構件：建立、刪除、更新及讀取 `image-label-map` configmap：建立、刪除、更新及讀取伺服器、信任儲存區 configmap：讀取	不適用
系統構件管理密鑰管理員	`RoleBinding`	不適用	叢集內登錄檔：讀取升級登錄檔鏡像：建立、讀取、更新及刪除	不適用
系統構件登錄檔 Harbor 管理員	`RoleBinding`	Harbor 專案：建立、讀取、更新、修補及刪除	Harbor 專案：建立、讀取、更新、修補及刪除	不適用
系統叢集管理員	`OrganizationRoleBinding`	不適用	系統叢集：建立、刪除、更新及讀取	不適用
系統 Artifact Registry Harbor 讀取權	`RoleBinding`	不適用	Harbor 專案：讀取	不適用
System Artifact Registry Harbor ReadWrite	`RoleBinding`	不適用	Harbor 專案：建立、讀取及寫入	不適用
系統 Artifact Registry 偵錯工具	`ClusterRoleBinding`	不適用	Harbor 叢集、密鑰、發布政策、手動發布和 ConfigMap：建立、讀取、更新、修補及刪除 PVC、Pod 和 Harbor 機器人帳戶：建立、讀取及刪除發布中繼資料、機構、資料庫叢集、Harbor 專案、憑證、伺服器和叢集：讀取資料庫和 CRD：讀取和刪除部署作業：讀取、更新、修補及刪除永久磁碟區：讀取、更新及修補	不適用
系統構件登錄檔監控	`ClusterRoleBinding`	不適用	Harbor 叢集、密鑰和 CRD：讀取	不適用
系統叢集 DNS 偵錯工具	`OrganizationRoleBinding`	不適用	部署作業和部署作業記錄：讀取 Pod：建立及讀取	不適用
系統叢集 UNET 偵錯工具	`OrganizationRoleBinding`	Configmaps：取得、建立及更新部署作業、部署作業記錄、Daemon 集和 Daemon 集記錄：取得、修補及更新 Pod 和 Pod 記錄：取得、讀取、建立及刪除服務、網路政策和 Cilium：取得、讀取、建立、更新及刪除流量記錄和流量記錄狀態：取得、讀取、建立、修補、更新及刪除	不適用	不適用
系統叢集 UNET 監控	`OrganizationRoleBinding`	專案、專案網路政策、ConfigMap、密鑰、憑證、套件、部署作業、常駐程式集、具狀態集、Pod、Pod 記錄、服務、端點、端點切片、網路政策、網路記錄、網路、網路介面、網路、虛擬機器、虛擬機器執行個體、叢集 CIDR 設定、流量記錄、流量記錄狀態、BGP 對等互連、BGP 通告路由、BGP 接收路由、BGP 工作階段、BGP 負載平衡器、輸出 NAT 政策、網路閘道群組、網路閘道節點、扁平 IP 模式、多叢集連線設定、VPN 通道、流量轉送、ConfigMap 轉送器、密鑰轉送器、健康狀態檢查、節點集區聲明、節點集區和外掛程式設定：取得及讀取	不適用	不適用
系統叢集檢視者	`OrganizationRoleBinding`	不適用	系統叢集：讀取及寫入	不適用
Tenable Nessus 管理員	`RoleBinding`	用於管理 Nessus 的網路元件：讀取和寫入	不適用	不適用
Tenable Nessus 管理員	`ProjectRoleBinding`	用於管理 Nessus 的網路元件：讀取和寫入	不適用	不適用
Transfer Appliance 申請管理員	`ClusterRoleBinding`	`Transferappliancerequests`：讀取及寫入	不適用	不適用
信任組合根監控	`RoleBinding`	`Config maps`：取得、列出、觀看	不適用	不適用
UI 偵錯工具	`ClusterRoleBinding`	後端 UI 伺服器：讀取、修補、更新	不適用	不適用
UNET CLI 機構管理員監控器	`ClusterRoleBinding`	網路資源、密鑰、ConfigMap、Cilium 端點、VM、VM 執行階段、叢集和命名空間：讀取 Pod：讀取及建立	不適用	不適用
UNET CLI Root Admin Monitor	`ClusterRoleBinding`	不適用	網路資源、祕密、ConfigMap、Cilium 端點和命名空間：讀取 Pod：讀取及建立	不適用
UNET CLI 系統監控工具	`OrganizationRoleBinding`	不適用	網路資源、祕密、ConfigMap、Cilium 端點、VM、VM 執行階段、部署作業、叢集、命名空間、CRD：讀取 Pod：讀取及建立	不適用
UNET CLI 使用者監控	`OrganizationRoleBinding`	不適用	網路資源、密鑰、ConfigMap、Cilium 端點、虛擬機器 (VM)、VM 執行階段、部署作業、叢集、命名空間、CRD：讀取 Pod：讀取及建立	不適用
升級設備管理員	`ClusterRoleBinding`	SubcomponentOverrides：取得、列出、建立、更新及修補	Organization：Get、list、update、patch 和 watch OrganizationUpgrade：取得	不適用
升級 Debugger	`OrganizationRoleBinding`	不適用	升級資源：建立、讀取、更新、刪除及修補 Harbor 專案：Harbor-admin	不適用
使用者叢集 DNS 偵錯工具	`OrganizationRoleBinding`	不適用	Deployment、Deployment 記錄、Pod、Pod 記錄：讀取 Pod：建立	不適用
使用者叢集偵錯工具	`OrganizationRoleBinding`	不適用	使用者叢集：取得、讀取、建立、更新、修補及刪除	不適用
使用者叢集 UNET 偵錯工具	`OrganizationRoleBinding`	不適用	Configmap：取得、更新及讀取部署作業、部署作業記錄、Daemon 集和 Daemon 集記錄：取得、讀取、修補及更新 Pod 和 Pod 記錄：取得、讀取、建立及刪除服務、cilium 和網路政策：取得、讀取、建立、更新及刪除流量記錄和流量記錄狀態：取得、讀取、建立、修補、更新及刪除	不適用
使用者叢集 UNET 監控器	`OrganizationRoleBinding`	不適用	專案、專案網路政策、ConfigMap、祕密、憑證、憑證簽發者、套件、部署作業、常駐程式集、具狀態集、Pod、Pod 記錄、服務、端點、端點切片、網路政策、網路記錄、Cilium、網路、網路介面、虛擬機器、虛擬機器執行個體、網路、叢集 CIDR 設定、扁平 IP 模式、ConfigMap 轉送器、祕密轉送器、健康狀態檢查、節點集區聲明、節點集區、外掛程式設定、流量記錄和流量記錄狀態、BGP 對等互連、BGP 播送的路由、BGP 收到的路由、BGP 工作階段、BGP 負載平衡器、輸出 NAT 政策、網路閘道群組、網路閘道節點、扁平 IP 模式、多叢集連線設定、VPN 通道和流量導向：取得及讀取	不適用
VAISEARCH Secret Rotator	`ProjectRoleBinding`	不適用	Vertex AI Search 密鑰：取得、列出、觀看、刪除	不適用
管理平面 API 伺服器的 VPN 偵錯工具	`RoleBinding`	不適用	`VPNGateway`：建立、讀取、寫入 `PeerGateway`：建立、讀取、寫入 `VPNBGPPeer`：建立、讀取、寫入 `VPNTunnel`：建立、讀取、寫入	不適用
適用於邊界叢集的 VPN Debugger	`RoleBinding`	不適用	`NetworkGatewayNodes`：建立、讀取、寫入 `NetworkGatewayGroups`：建立、讀取、寫入 `BGPAdvertisedRoutes`：建立、讀取、寫入 `BGPReceivedRoutes`：建立、讀取、寫入 `BGPPeers`：建立、讀取、寫入 `BGPSessions`：建立、讀取、寫入 `VPNTunnels`：建立、讀取、寫入 `TrafficSteering`：建立、讀取、寫入	不適用
網站 TLS 憑證偵錯工具	`RoleBinding`	不適用	密鑰和 PKI 憑證：取得、列出、監控、更新、修補、建立、刪除	不適用

PA 角色、預先定義的身分與存取權角色

PA persona
名稱	Kubernetes 資源名稱	初始管理員	等級	類型
機構 IAM 管理員	`organization-iam-admin`	是	機構	`ClusterRole`
AI 平台管理員	`ai-platform-admin`	是	機構	`ClusterRole`
稽核記錄平台還原 Bucket 建立者	`audit-logs-platform-restore-bucket-creator`	否	機構	`Role`
稽核記錄平台 Bucket 檢視者	`audit-logs-platform-bucket-viewer`	否	機構	`Role`
Bucket 管理員	`bucket-admin`	否	機構	`ClusterRole`
Bucket 物件管理員	`bucket-object-admin`	否	機構	`ClusterRole`
Bucket 物件檢視者	`bucket-object-viewer`	否	機構	`ClusterRole`
Bucket 管理員	`global-bucket-admin`	否	機構	`ClusterRole`
Bucket 物件管理員	`global-bucket-object-admin`	否	機構	`ClusterRole`
Bucket 物件檢視者	`global-bucket-object-viewer`	否	機構	`ClusterRole`
資訊主頁 PA 建立者	`dashboard-pa-creator`	否	機構	`ClusterRole`
資訊主頁 PA 編輯者	`dashboard-pa-editor`	否	機構	`ClusterRole`
資訊主頁 PA 檢視者	`dashboard-pa-viewer`	否	機構	`ClusterRole`
Flow Log Admin	`flowlog-admin`	否	機構	`ClusterRole`
流程記錄檢視器	`flowlog-viewer`	否	機構	`ClusterRole`
GDCH Restrict By Attributes Policy Admin	`gdchrestrictbyattributes-policy-admin`	否	機構	`ClusterRole`
GDCH Restricted Service Policy 管理員	`gdchrestrictedservice-policy-admin`	否	機構	`ClusterRole`
IdP 聯盟管理員	`idp-federation-admin`	否	機構	`Role`
Infra PKI 管理員	`infra-pki-admin`	否	專案	`Role`
互連網路管理員	`interconnect-admin-mp`	否	機構	`ClusterRole`
Log Query API Querier	`log-query-api-querier`	否	專案	`Role`
LoggingRule PA Creator	`loggingrule-pa-creator`	否	機構	`ClusterRole`
LoggingRule PA Viewer	`loggingrule-pa-viewer`	否	機構	`ClusterRole`
LoggingRule PA Editor	`loggingrule-pa-editor`	否	機構	`ClusterRole`
LoggingTarget PA Creator	`loggingtarget-pa-creator`	否	機構	`ClusterRole`
LoggingTarget PA 檢視器	`loggingtarget-pa-viewer`	否	機構	`ClusterRole`
LoggingTarget PA 編輯者	`loggingtarget-pa-editor`	否	機構	`ClusterRole`
MonitoringRule PA 建立者	`monitoringrule-pa-creator`	否	機構	`ClusterRole`
MonitoringRule PA 檢視者	`monitoringrule-pa-viewer`	否	機構	`ClusterRole`
MonitoringRule PA 編輯者	`monitoringrule-pa-editor`	否	機構	`ClusterRole`
MonitoringTarget PA Creator	`monitoringtarget-pa-creator`	否	機構	`ClusterRole`
MonitoringTarget PA 檢視者	`monitoringtarget-pa-viewer`	否	機構	`ClusterRole`
MonitoringTarget PA 編輯者	`monitoringtarget-pa-editor`	否	機構	`ClusterRole`
MP OCLCM Debugger	`mp-oclcm-debugger`	否	機構	`ClusterRole`
MP OCLCM 檢視者	`mp-oclcm-viewer`	否	機構	`ClusterRole`
ObservabilityPipeline PA Creator	`observabilitypipeline-pa-creator`	否	機構	`ClusterRole`
ObservabilityPipeline PA 檢視者	`observabilitypipeline-pa-viewer`	否	機構	`ClusterRole`
ObservabilityPipeline PA 編輯者	`observabilitypipeline-pa-editor`	否	機構	`ClusterRole`
機構網路政策管理員	`org-network-policy-admin`	否	機構	`Role`
機構工作階段管理員	`org-session-admin`	否	機構	`Role`
機構 Grafana 檢視者	`organization-grafana-viewer`	否	機構	`ClusterRole`
機構 IAM 檢視者	`organization-iam-viewer`	否	機構	`ClusterRole`
機構升級管理員	`organization-upgrade-admin`	否	機構	`ClusterRole`
機構升級檢視者	`organization-upgrade-viewer`	否	機構	`ClusterRole`
專案 Bucket 管理員	`global-project-bucket-admin`	否	機構	`Project`
專案值區物件管理員	`project-bucket-object-admin`	否	機構	`Project`
專案 Bucket 物件檢視者	`global-project-bucket-object-viewer`	否	機構	`Project`
專案建立者	`project-creator`	否	機構	`ClusterRole`
專案編輯者	`project-editor`	否	機構	`ClusterRole`
SIEM 匯出機構建立者	`siemexport-org-creator`	否	專案	`Role`
SIEM 匯出機構編輯者	`siemexport-org-editor`	否	專案	`Role`
SIEM 匯出項目機構檢視者	`siemexport-org-viewer`	否	專案	`Role`
Transfer Appliance 申請建立者	`transfer-appliance-request-creator`	否	機構	`ClusterRole`
使用者叢集管理員	`user-cluster-admin`	否	機構	`ClusterRole`
使用者叢集 CRD 檢視者	`user-cluster-crd-viewer`	否	機構	`OrganizationRole`
使用者叢集開發人員	`user-cluster-developer`	否	機構	`OrganizationRole`
使用者節點檢視者	`user-cluster-node-viewer`	否	機構	`OrganizationRole`
VPN 管理員	`vpn-admin`	否	專案	`Role`
VPN 檢視者	`vpn-viewer`	否	專案	`Role`

PA 角色、預先定義的身分和存取權角色

PA persona
名稱	繫結類型	Management API 伺服器權限	Kubernetes 叢集權限	呈報至
機構 IAM 管理員	`ClusterRoleBinding`	`RoleBinding`、`ClusterRoleBinding`、`Role`、`ClusterRole`、`ProjectRole`、`OrganizationClusterRole`、`ProjectRoleBinding` 和 `OrganizationClusterRoleBinding`：建立、讀取、更新及刪除列出專案命名空間	不適用	專案 IAM 管理員和所有其他 PA 角色
AI Platform 管理員	`ClusterRoleBinding`	預先訓練的服務：建立、讀取、更新及刪除	不適用	不適用
稽核記錄平台還原 Bucket 建立者	`ClusterRoleBinding`	備份 bucket：讀取和寫入	不適用	不適用
稽核記錄平台 Bucket 檢視者	`ClusterRoleBinding`	備份 bucket：讀取	不適用	不適用
Bucket 管理員	`ClusterRoleBinding`	值區和物件：讀取和寫入	不適用	不適用
Bucket 物件管理員	`ClusterRoleBinding`	值區：讀取物件：讀取及寫入	不適用	不適用
Bucket 物件檢視者	`ClusterRoleBinding`	值區和物件：讀取	不適用	不適用
資訊主頁 PA 建立者	`ClusterRoleBinding`	`Dashboard` 自訂資源：讀取及寫入	不適用	不適用
資訊主頁 PA 編輯者	`ClusterRoleBinding`	`Dashboard` 自訂資源：讀取及寫入	不適用	不適用
資訊主頁 PA 檢視者	`ClusterRoleBinding`	`Dashboard` 自訂資源：讀取	不適用	不適用
Flow Log Admin	`ClusterRoleBinding`	流量記錄資源：讀取及寫入	不適用	不適用
流程記錄檢視器	`ClusterRoleBinding`	流量記錄資源：讀取	不適用	不適用
GDCH Restrict By Attributes Policy Admin	`ClusterRoleBinding`	GDCH 受限屬性政策：建立、編輯及刪除	不適用	不適用
GDCH Restricted Service Policy Manager	`ClusterRoleBinding`	GDCH 受限服務政策：建立、編輯及刪除	不適用	不適用
IdP 聯盟管理員	`RoleBinding`	身分提供者設定和密鑰：建立、讀取、更新、修補及刪除	不適用	不適用
Infra PKI 管理員	`RoleBinding`	不適用	PKI 憑證簽發者和憑證授權單位：取得、列出、監控、建立、更新、刪除、修補 PKI 密鑰：取得、列出	不適用
互連網路管理員	`ClusterRoleBinding`	不適用	互連網路連結和連結群組：取得、列出、監控、建立、更新、刪除、修補	不適用
Log Query API Querier	`RoleBinding`	Log Query API 專案記錄：讀取	不適用	不適用
LoggingRule PA Creator	`ClusterRoleBinding`	`LoggingRule` 自訂資源：讀取及寫入	不適用	不適用
LoggingRule PA Editor	`ClusterRoleBinding`	`LoggingRule` 自訂資源：讀取及寫入	不適用	不適用
LoggingRule PA Viewer	`ClusterRoleBinding`	`LoggingRule` 自訂資源：讀取	不適用	不適用
LoggingTarget PA Creator	`ClusterRoleBinding`	`LoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
LoggingTarget PA 編輯者	`ClusterRoleBinding`	`LoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
LoggingTarget PA 檢視器	`ClusterRoleBinding`	`LoggingTarget` 自訂資源：讀取	不適用	不適用
MonitoringRule PA 建立者	`ClusterRoleBinding`	`MonitoringRule` 自訂資源：讀取及寫入	不適用	不適用
MonitoringRule PA 編輯者	`ClusterRoleBinding`	`MonitoringRule` 自訂資源：讀取及寫入	不適用	不適用
MonitoringRule PA 檢視者	`ClusterRoleBinding`	`MonitoringRule` 自訂資源：讀取	不適用	不適用
MonitoringTarget PA Creator	`ClusterRoleBinding`	`MonitoringTarget` 自訂資源：讀取及寫入	不適用	不適用
MonitoringTarget PA 編輯者	`ClusterRoleBinding`	`MonitoringTarget` 自訂資源：讀取及寫入	不適用	不適用
MonitoringTarget PA 檢視者	`ClusterRoleBinding`	`MonitoringTarget` 自訂資源：讀取	不適用	不適用
MP OCLCM Debugger	`ClusterRoleBinding`	元件：取得、列出、建立 ComponentOverrides、SubcomponentOverrides：取得、列出、建立、更新、修補 ComponentRollouts、Subcomponents：取得、列出、更新、修補	不適用	不適用
MP OCLCM 檢視者	`ClusterRoleBinding`	元件、ComponentOverrides、SubcomponentOverrides、ComponentRollouts、Subcomponents：取得、列出	不適用	不適用
ObservabilityPipeline PA Creator	`ClusterRoleBinding`	`ObservabilityPipeline` 自訂資源：讀取及寫入	不適用	不適用
ObservabilityPipeline PA 編輯者	`ClusterRoleBinding`	`ObservabilityPipeline` 自訂資源：讀取及寫入	不適用	不適用
ObservabilityPipeline PA 檢視者	`ClusterRoleBinding`	`ObservabilityPipeline` 自訂資源：讀取	不適用	不適用
機構網路政策管理員	`RoleBinding`	`OrganizationNetworkPolicy` `platform` 命名空間：建立、讀取、更新及刪除	不適用	不適用
機構工作階段管理員	`RoleBinding`	Istio 授權資源：建立、讀取、更新及刪除	不適用	不適用
機構 Grafana 檢視者	`RoleBinding`	`GrafanaSystem` 和 Grafana：讀取及寫入	不適用	不適用
機構 IAM 檢視者	`ClusterRoleBinding`	角色型存取權控管 (RBAC) 物件：讀取 `OrganizationClusterRole` 和 `OrganizationClusterRoleBinding`：讀取	不適用	不適用
機構升級管理員	`ClusterRoleBinding`	維護期間：取得、列出、監看、更新及修補	不適用	不適用
機構升級檢視者	`ClusterRoleBinding`	維護期間：取得、列出及觀看	不適用	不適用
專案建立者	`ClusterRoleBinding`	專案自訂資源 (CR)：讀取和建立機群 CR：讀取和建立叢集：讀取	不適用	不適用
專案編輯者	`ClusterRoleBinding`	專案自訂資源 (CR)：讀取、刪除、修補、更新及查看機群 CR：讀取及刪除叢集 CR：讀取	不適用	不適用
SIEM 匯出機構建立者	`RoleBinding`	`SIEMOrgForwarder` 自訂資源和密鑰：取得、建立及讀取	不適用	不適用
SIEM 匯出機構編輯者	`RoleBinding`	`SIEMOrgForwarder` 自訂資源和密鑰：取得、讀取、更新、刪除及修補	不適用	不適用
SIEM 匯出項目機構檢視者	`RoleBinding`	`SIEMOrgForwarder` 自訂資源和密鑰：讀取	不適用	不適用
Transfer Appliance 申請建立者	`ClusterRoleBinding`	`TransferApplianceRequest` 自訂資源 (CR)：讀取及建立	不適用	不適用
使用者叢集管理員	`ClusterRoleBinding`	`AddressPoolClaims`：建立、讀取、更新及刪除 `UserClusterUpgrade`：讀取及寫入 `UserClusterMetadata`、`ClusterBgpRouters`、`InventoryMachines` 和專案自訂資源 (CR)：讀取 `CidrClaims`：建立、讀取、更新及刪除 `Namespace`：建立及刪除 `ClusterCidrConfigs` 和叢集：建立、讀取、更新、修補及刪除 `NodeUpgrades`：讀取、建立、修補及更新 `HarborClusters`、`Projects`、`UserClusterUpgradeRequests`：讀取	`Clusters` 和 `NodePoolClaims`：讀取及寫入 `NodePools`、`MachineClasses`、`VirtualMachineTypes` 和 `ClusterInfos`：讀取	不適用
使用者叢集 CRD 檢視者	`OrganizationRoleBinding`	不適用	`CustomResourceDefinitions`：已讀	不適用
使用者叢集開發人員	`OrganizationRoleBinding`	不適用	叢集：讀取及寫入	不適用
使用者叢集節點檢視者	`OrganizationRoleBinding`	不適用	叢集：讀取	不適用
VPN 管理員	`RoleBinding`	不適用	`VPNGateway`：建立、讀取、寫入 `PeerGateway`：建立、讀取、寫入 `VPNBGPPeer`：建立、讀取、寫入 `VPNTunnel`：建立、讀取、寫入	不適用
VPN 檢視者	`RoleBinding`	不適用	`VPNGateway`：已讀 `PeerGateway`：已讀 `VPNBGPPeer`：已讀 `VPNTunnel`：已讀	不適用

AO Persona、預先定義的身分與存取權角色

AO 角色
名稱	Kubernetes 資源名稱	初始管理員	等級	類型
專案 IAM 管理員	`project-iam-admin`	是	「Project」(專案)	`Role`
AI OCR 開發人員	`ai-ocr-developer`	否	「Project」(專案)	`Role`
AI 平台檢視者	`ai-platform-viewer`	否	「Project」(專案)	`Role`
AI Speech 開發人員	`ai-speech-developer`	否	「Project」(專案)	`Role`
AI 翻譯開發人員	`ai-translation-developer`	否	「Project」(專案)	`Role`
構件管理管理員	`artifact-management-admin`	否	專案	`Role`
構件管理編輯者	`artifact-management-editor`	否	專案	`Role`
憑證授權單位服務管理員	`certificate-authority-service-admin`	否	專案	`Role`
憑證服務管理員	`certificate-service-admin`	否	專案	`Role`
資訊主頁編輯器	`dashboard-editor`	否	專案	`Role`
資訊主頁檢視者	`dashboard-viewer`	否	專案	`Role`
Harbor 執行個體管理員	`harbor-instance-admin`	否	專案	`Role`
Harbor 執行個體檢視者	`harbor-instance-viewer`	否	專案	`Role`
Harbor 專案建立者	`harbor-project-creator`	否	專案	`Role`
K8s 網路政策管理員	`k8s-networkpolicy-admin`	否	專案	`ProjectRole`
負載平衡器管理員	`load-balancer-admin`	否	專案	`ProjectRole`
LoggingRule Creator	`loggingrule-creator`	否	「Project」(專案)	`Role`
LoggingRule 編輯器	`loggingrule-editor`	否	「Project」(專案)	`Role`
LoggingRule Viewer	`loggingrule-viewer`	否	「Project」(專案)	`Role`
LoggingTarget Creator	`loggingtarget-creator`	否	「Project」(專案)	`Role`
LoggingTarget 編輯器	`loggingtarget-editor`	否	「Project」(專案)	`Role`
LoggingTarget 檢視器	`loggingtarget-viewer`	否	「Project」(專案)	`Role`
MonitoringRule 編輯者	`monitoringrule-editor`	否	「Project」(專案)	`Role`
MonitoringRule 檢視者	`monitoringrule-viewer`	否	「Project」(專案)	`Role`
MonitoringTarget 編輯者	`monitoringtarget-editor`	否	「Project」(專案)	`Role`
MonitoringTarget 檢視者	`monitoringtarget-viewer`	否	「Project」(專案)	`Role`
命名空間管理員	`namespace-admin`	否	「Project」(專案)	`ProjectRole`
NAT 檢視器	`nat-viewer`	否	「Project」(專案)	`ProjectRole`
ObservabilityPipeline 編輯者	`observabilitypipeline-editor`	否	「Project」(專案)	`Role`
ObservabilityPipeline 檢視者	`observabilitypipeline-viewer`	否	「Project」(專案)	`Role`
專案 Bucket 管理員	`project-bucket-admin`	否	「Project」(專案)	`Role`
專案值區物件管理員	`project-bucket-object-admin`	否	「Project」(專案)	`Role`
專案 Bucket 物件檢視者	`project-bucket-object-viewer`	否	「Project」(專案)	`Role`
Project Cortex Alertmanager 編輯者	`project-cortex-alertmanager-editor`	否	「Project」(專案)	`Role`
Project Cortex Alertmanager 檢視者	`project-cortex-alertmanager-viewer`	否	「Project」(專案)	`Role`
Project Cortex Prometheus Viewer	`project-cortex-prometheus-viewer`	否	「Project」(專案)	`Role`
專案 Grafana 檢視者	`project-grafana-viewer`	否	專案	`Role`
專案 NetworkPolicy 管理員	`project-networkpolicy-admin`	否	「Project」(專案)	`Role`
專案檢視者	`project-viewer`	否	「Project」(專案)	`Role`
專案 VirtualMachine 管理員	`project-vm-admin`	否	「Project」(專案)	`Role`
專案 VirtualMachine 映像檔管理員	`project-vm-image-admin`	否	「Project」(專案)	`Role`
密鑰管理員	`secret-admin`	否	專案	`Role`
Secret 檢視者	`secret-viewer`	否	專案	`Role`
服務設定管理員	`service-configuration-admin`	否	專案	`Role`
服務設定檢視者	`service-configuration-viewer`	否	專案	`Role`
Workbench Notebooks 管理員	`workbench-notebooks-admin`	否	專案	`Role`
磁碟區複製管理員	`app-volume-replication-admin`	否	叢集	`Role`
Workbench 筆記本檢視者	`workbench-notebooks-viewer`	否	專案	`Role`
工作負載檢視者	`workload-viewer`	否	專案	`Role`

AO 角色、預先定義的身分和存取權角色

AO 角色
名稱	繫結類型	Management API 伺服器權限	Kubernetes 叢集權限	呈報至
專案 IAM 管理員	`RoleBinding`	`RoleBinding`、`ClusterRoleBinding`、`Role`、`ClusterRole`、`ProjectRole`、`ProjectClusterRole`、`ProjectRoleBinding` 和 `ProjectClusterRoleBinding`：建立、讀取、更新、刪除及繫結 `ProjectServiceAccount`：建立、讀取、更新及刪除列出專案命名空間	不適用	所有其他 AO 角色
AI OCR 開發人員	`RoleBinding`	OCR 資源：讀取及寫入	不適用	不適用
AI Speech 開發人員	`RoleBinding`	語音資源：讀取及寫入	不適用	不適用
AI 翻譯開發人員	`RoleBinding`	翻譯資源：讀取及寫入	不適用	不適用
構件管理管理員	`RoleBinding`	`HarborProjects`：管理員、建立、讀取、寫入、刪除及檢視	不適用	不適用
構件管理編輯者	`RoleBinding`	`HarborProjects`：讀取、寫入及檢視	不適用	不適用
憑證授權單位服務管理員	`RoleBinding`	憑證授權單位和憑證要求：取得、列出、監控、更新、建立、刪除及修補	不適用	不適用
憑證服務管理員	`RoleBinding`	憑證和憑證核發機構：取得、列出、監控、更新、建立、刪除及修補	不適用	不適用
資訊主頁編輯器	`RoleBinding`	`Dashboard` 自訂資源：取得、讀取、建立、更新、刪除及修補	不適用	不適用
資訊主頁檢視者	`RoleBinding`	`Dashboard`：取得及讀取	不適用	不適用
Harbor 執行個體管理員	`RoleBinding`	Harbor 執行個體：建立、讀取、更新、刪除及修補	不適用	不適用
Harbor 執行個體檢視者	`RoleBinding`	Harbor 執行個體：讀取	不適用	不適用
Harbor 專案建立者	`RoleBinding`	Harbor 執行個體專案：建立、取得及監看	不適用	不適用
K8s NetworkPolicy 管理員	`ProjectRoleBinding`	不適用	`NetworkPolicy` 資源：建立、讀取、取得、更新、刪除及修補	不適用
負載平衡器管理員	`RoleBinding`	不適用	`Backend`：取得、觀看、列出、建立、修補、更新及刪除 `HealthCheck`：取得、觀看、列出、建立、修補、更新及刪除 `BackendService`：取得、觀看、列出、建立、修補、更新及刪除 `ForwardingRuleExternal`：取得、觀看、列出、建立、修補、更新及刪除 `ForwardingRuleInternal`：取得、觀看、列出、建立、修補、更新及刪除	不適用
LoggingRule Creator	`RoleBinding`	`LoggingRule` 自訂資源：建立、讀取、更新、刪除及修補	不適用	不適用
LoggingRule 編輯器	`RoleBinding`	`LoggingRule` 自訂資源：建立、讀取、更新、刪除及修補	不適用	不適用
LoggingRule Viewer	`RoleBinding`	`LoggingRule` 自訂資源：讀取	不適用	不適用
LoggingTarget Creator	`RoleBinding`	`LoggingTarget` 自訂資源：建立、讀取、更新、刪除及修補	不適用	不適用
LoggingTarget 編輯器	`RoleBinding`	`LoggingTarget` 自訂資源：建立、讀取、更新、刪除及修補	不適用	不適用
LoggingTarget 檢視器	`RoleBinding`	`LoggingTarget` 自訂資源：讀取	不適用	不適用
MonitoringRule 編輯者	`RoleBinding`	`MonitoringRule` 自訂資源：建立、讀取、更新、刪除及修補	不適用	不適用
MonitoringRule 檢視者	`RoleBinding`	`MonitoringRule` 自訂資源：讀取	不適用	不適用
MonitoringTarget 編輯者	`RoleBinding`	`MonitoringTarget` 自訂資源：建立、讀取、更新、刪除及修補	不適用	不適用
MonitoringTarget 檢視者	`RoleBinding`	`MonitoringTarget` 自訂資源：讀取	不適用	不適用
命名空間管理員	`ProjectRoleBinding`	不適用	所有資源：專案命名空間的讀寫權限	不適用
NAT 檢視器	`ProjectRoleBinding`	不適用	部署作業：取得及讀取	不適用
ObservabilityPipeline 編輯者	`RoleBinding`	`ObservabilityPipeline` 資源：取得、讀取、建立、更新、刪除及修補	不適用	不適用
ObservabilityPipeline 檢視者	`RoleBinding`	`ObservabilityPipeline` 資源：取得及閱讀	不適用	不適用
專案 Bucket 管理員	`RoleBinding`	值區：在專案命名空間中讀取及寫入	不適用	不適用
專案值區物件管理員	`RoleBinding`	值區：讀取物件：讀取及寫入	不適用	不適用
專案 Bucket 物件檢視者	`RoleBinding`	值區和物件：讀取	不適用	不適用
Project Cortex Alertmanager 編輯者	`RoleBinding`	Cortex 系統和 Cortex Alertmanager：讀取及寫入	不適用	不適用
Project Cortex Alertmanager 檢視者	`RoleBinding`	Cortex 系統和 Cortex Alertmanager：請參閱	不適用	不適用
Project Cortex Prometheus Viewer	`RoleBinding`	Cortex 系統和 Cortex Prometheus：請參閱	不適用	不適用
專案 Grafana 檢視者	`RoleBinding`	Grafana 系統和 Grafana：讀取和寫入	不適用	不適用
專案 NetworkPolicy 管理員	`RoleBinding`	專案網路政策：在專案命名空間中讀取及寫入	不適用	不適用
專案檢視者	`RoleBinding`	專案命名空間中的所有資源：讀取	不適用	不適用
專案 VirtualMachine 管理員	`RoleBinding`	虛擬機器、磁碟、存取要求、外部存取、備份要求、備份、還原要求、刪除備份要求、還原和密碼重設要求：讀取、建立、更新及刪除重新啟動虛擬機器：放置虛擬機器映像檔、備份方案和備份方案範本：讀取	不適用	不適用
專案 VirtualMachine 映像檔管理員	`RoleBinding`	VM 映像檔：請參閱 VM 映像檔匯入作業：讀取及寫入值區：建立「vm-images-bucket」Bucket：讀取和寫入	不適用	不適用
密鑰管理員	`RoleBinding`	Kubernetes Secret：讀取、建立、更新、刪除及修補	不適用	不適用
Secret 檢視者	`RoleBinding`	Kubernetes 密鑰：讀取	不適用	不適用
服務設定管理員	`RoleBinding`	`ServiceConfigurations`：讀取及寫入	不適用	不適用
服務設定檢視者	`RoleBinding`	`ServiceConfigurations`：已讀	不適用	不適用
磁碟區複製管理員	`ClusterRoleBinding`	`Volume failovers, volume relationship replicas`：建立、取得、列出、觀看、刪除	不適用	不適用
Workbench Notebooks 管理員	`RoleBinding`	不適用	專案命名空間中的 Notebook 自訂資源 (CR)：建立、讀取、更新及刪除 `ClusterInfo` 物件：讀取	不適用
Workbench 筆記本檢視者	`RoleBinding`	不適用	專案命名空間中的 Notebook 自訂資源 (CR)：讀取	不適用
工作負載檢視者	`ProjectRoleBinding`	不適用	專案命名空間中的 Pod 自訂資源：讀取專案命名空間中的部署作業自訂資源：讀取	不適用

常見的預先定義身分與存取權角色

常見角色
名稱	Kubernetes 資源名稱	初始管理員	等級	類型
AI 平台檢視者	`ai-platform-viewer`	否	專案	`Role`
DNS 尾碼檢視者	`dnssuffix-viewer`	否	機構	`Role`
Flow Log Admin	`flowlog-admin`	否	機構	`ClusterRole`
流程記錄檢視器	`flowlog-viewer`	否	專案	`ClusterRole`
專案探索檢視者	`projectdiscovery-viewer`	否	「Project」(專案)	`ClusterRole`
公開圖片檢視器	`public-image-viewer`	否	機構	`Role`
系統 Artifact Registry anthos-creds 密鑰監控	`sar-anthos-creds-secret-monitor`	否	機構	`Role`
系統 Artifact Registry gpc-system 密鑰監控	`sar-gpc-system-secret-monitor`	否	機構	`Role`
系統 Artifact Registry harbor-system 密鑰監控	`sar-harbor-system-secret-monitor`	否	機構	`Role`
虛擬機器類型檢視者	`virtualmachinetype-viewer`	否	機構	`OrganizationRole`
VM Type Viewer	`vmtype-viewer`	否	機構	`Role`

常見的預先定義身分與存取權角色

常見角色
名稱	繫結類型	管理員叢集權限	Kubernetes 叢集權限	呈報至
AI 平台檢視者	`RoleBinding`	預先訓練的服務：讀取	不適用	不適用
DNS 尾碼檢視者	`ClusterRoleBinding`	DNS 尾碼設定對應：讀取	不適用	不適用
Flow Log Admin	`ClusterRoleBinding`	流量記錄資源：取得及讀取	流量記錄資源：取得及讀取	不適用
流程記錄檢視器	`ClusterRoleBinding`	流量記錄資源：建立、取得、讀取、修補、更新及刪除	流量記錄資源：建立、取得、讀取、修補、更新及刪除	不適用
專案探索檢視者	`ClusterRoleBinding`	專案：讀取	不適用	不適用
公開圖片檢視器	`RoleBinding`	VM 映像檔：請參閱	不適用	不適用
系統 Artifact Registry anthos-creds 密鑰監控	`RoleBinding`	`anthos-creds` 密鑰：取得及讀取	`anthos-creds` 密鑰：取得及讀取	不適用
系統 Artifact Registry gpc-system 密鑰監控	`RoleBinding`	`gpc-system` 密鑰：取得及讀取	`gpc-system` 密鑰：取得及讀取	不適用
系統 Artifact Registry harbor-system 密鑰監控	`RoleBinding`	`harbor-system` 密鑰：取得及讀取	`harbor-system` 密鑰：取得及讀取	不適用
虛擬機器類型檢視者	`OrganizationRoleBinding`	不適用	VM 類型：讀取	不適用
VM Type Viewer	`ClusterRoleBinding`	VM 類型：讀取	不適用	不適用