Beschreibungen vordefinierter Rollen

Für die Google Distributed Cloud-Appliance (GDC) mit Air Gap sind die folgenden vordefinierten Rollen verfügbar, die Sie Teammitgliedern zuweisen können:

IO-Rollen

IOs haben Berechtigungen zum Verwalten des Clusters und des Lebenszyklus der Organisation. Das sind die vordefinierten Rollen, die Sie Teammitgliedern zuweisen können:

  • Sicherheitsadministrator: Erstellt, aktualisiert und löscht alle Berechtigungen und Richtlinien im Organisationsinfrastrukturcluster. Diese Rolle hat keinen Zugriff auf Organisations- und Projektressourcen.
  • APPLSTOR-Debugger: Zugriff auf den Speicher von Geräten für die Fehlerbehebung.
  • APPLSTOR monitor: Zugriff zum Überwachen des Appliance-Speichers.
  • APPLSTOR secret rotator: Zugriff zum Rotieren von Appliance-Speicher-Secrets.
  • AuditLoggingTarget Creator: Erstellen Sie benutzerdefinierte AuditLoggingTarget-Ressourcen im Infrastrukturcluster der Organisation.
  • AuditLoggingTarget Editor: Bearbeiten Sie benutzerdefinierte AuditLoggingTarget-Ressourcen im Infrastrukturcluster der Organisation.
  • AuditLoggingTarget Viewer: AuditLoggingTarget-benutzerdefinierte Ressourcen im Infrastrukturcluster der Organisation ansehen.
  • AuditLoggingTarget IO Creator: Erstellt benutzerdefinierte AuditLoggingTarget-Ressourcen im Projekt-Namespace.
  • AuditLoggingTarget IO Editor: Bearbeiten Sie benutzerdefinierte AuditLoggingTarget-Ressourcen im Projekt-Namespace.
  • AuditLoggingTarget IO Viewer: AuditLoggingTarget-Benutzerressourcen im Projekt-Namespace ansehen.
  • Audit Logs Backup Restore Creator: Erstellen Sie eine Sicherungsübertragungsjob-Konfiguration und stellen Sie Audit-Logs wieder her.
  • Audit Logs Backup Restore Editor: Die Konfiguration des Sicherungsübertragungsjobs bearbeiten und Audit-Logs wiederherstellen.
  • Audit Logs Infra Bucket Viewer: Back-up-Buckets von Infrastruktur-Audit-Logs ansehen.
  • AIS Admin: Hat Lese- und Schreibzugriff auf GKE Identity Service-Pods (AIS) und -Deployments.
  • AIS Debugger: Hat Lese- und Schreibzugriff auf AIS-Ressourcen zur Risikominderung.
  • AIS Monitor: Hat Lesezugriff auf AIS-Ressourcen im Namespace iam-system.
  • AuthzPDP Debugger: Hat Lese- und Schreibzugriff auf Ressourcen des Autorisierungsrichtlinien-Entscheidungspunkts (Policy Decision Point, PDP) für die Fehlerbehebung.
  • Cert Manager System Cluster Debugger: Verwaltet cert-manager-bezogene Ressourcen.
  • Dashboard Creator: Erstellen Sie benutzerdefinierte Dashboard-Ressourcen im Infrastrukturcluster der Organisation.
  • Dashboard Editor: Bearbeiten Sie benutzerdefinierte Dashboard-Ressourcen im Infrastrukturcluster der Organisation.
  • Dashboard Viewer: Kann Dashboard benutzerdefinierte Ressourcen im Infrastrukturcluster der Organisation aufrufen.
  • Dashboard IO Creator: Erstellt benutzerdefinierte Dashboard-Ressourcen im Namespace des Projekts.
  • Dashboard IO Editor: Bearbeiten Sie benutzerdefinierte Dashboard-Ressourcen im Projekt-Namespace.
  • Dashboard IO Viewer: Dashboard benutzerdefinierte Ressourcen im Namespace des Projekts ansehen.
  • Benutzerdefinierte Ressource „AuditLoggingTarget“ debuggen: Überwachen Sie den Namespace obs-system.
  • DNS-Administrator: Aktualisiert DNS-Dateien.
  • DNS Debugger: Hat Lese- und Schreibberechtigungen für alle DNS-Ressourcen.
  • DNS Monitor: Hat Leseberechtigungen für alle DNS-Ressourcen.
  • DNS Suffix Viewer (DNS-Suffix-Viewer): Zeigt die DNS-Suffix-ConfigMap an.
  • Emergency SSH Creds Admin: Hat Notfallzugriffsberechtigungen und verwendet den SSH-Knoten im Organisationsinfrastrukturcluster.
  • FluentBit Creator: Erstellt benutzerdefinierte FluentBit-Ressourcen im Infrastrukturcluster der Organisation.
  • FluentBit Editor: Bearbeiten Sie benutzerdefinierte FluentBit-Ressourcen im Infrastrukturcluster der Organisation.
  • FluentBit Viewer: FluentBit-benutzerdefinierte Ressourcen im Infrastrukturcluster der Organisation ansehen.
  • FluentBit IO Creator: Erstellt benutzerdefinierte FluentBit-Ressourcen im Projekt-Namespace.
  • FluentBit IO Editor: Bearbeiten Sie benutzerdefinierte FluentBit-Ressourcen im Projekt-Namespace.
  • FluentBit IO Viewer: FluentBit-benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • Gatekeeper-Administrator: Hat Zugriff zum Neustarten von Deployments und zum Patchen von Secrets.
  • Grafana Debugger: Gewährt Administratorzugriff auf Grafana-Ressourcen im Namespace obs-system.
  • Grafana Viewer: Gewährt Berechtigungen für den Zugriff auf die Grafana-Instanz im System-Namespace des Organisationsinfrastrukturclusters.
  • Hardware-Administrator: Hat vollständigen Zugriff auf Hardwareressourcen wie Switches, Racks und Server.
  • HDWR Admin: Hat vollständigen Zugriff auf hardwarebezogene Ressourcen.
  • HWDR Viewer: Hat Lesezugriff auf hardwarebezogene Ressourcen.
  • Infra PKI Debugger: Hat Zugriff zum Konfigurieren eines Ausstellers und einer Zertifizierungsstelle für Infra-PKI-Zertifikate.
  • Interconnect-Administrator: Hat Administratorzugriff auf Interconnect-Ressourcen.
  • Kiali-Administrator: Gewährt Berechtigungen für den Zugriff auf das Kiali-Dashboard zum Debuggen des Istio-Service Mesh.
  • KUB IPAM Debugger: Hat Lese- und Schreibzugriff für benutzerdefinierte CIDRClaim-Ressourcen.
  • KUB Monitor: Hat Lesezugriff auf alle Ressourcen in KUB.
  • LogCollector Creator: Erstellen Sie benutzerdefinierte LogCollector-Ressourcen im Infrastrukturcluster der Organisation.
  • LogCollector-Bearbeiter: Bearbeiten Sie benutzerdefinierte LogCollector-Ressourcen im Infrastrukturcluster der Organisation.
  • LogCollector-Betrachter: Kann benutzerdefinierte LogCollector-Ressourcen im Infrastrukturcluster der Organisation aufrufen.
  • LogCollector IO Creator: Erstellt LogCollector benutzerdefinierte Ressourcen im Projekt-Namespace.
  • LogCollector IO Editor: Bearbeiten Sie benutzerdefinierte LogCollector-Ressourcen im Projekt-Namespace.
  • LogCollector IO Viewer: LogCollector benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • LoggingRule Creator: Erstellt benutzerdefinierte LoggingRule-Ressourcen im Infrastrukturcluster der Organisation.
  • LoggingRule Editor: Bearbeiten Sie benutzerdefinierte LoggingRule-Ressourcen im Infrastrukturcluster der Organisation.
  • LoggingRule Viewer: LoggingRule-benutzerdefinierte Ressourcen im Infrastrukturcluster der Organisation ansehen.
  • LoggingRule IO Creator: Erstellt LoggingRule benutzerdefinierte Ressourcen im Projekt-Namespace.
  • LoggingRule IO Editor: Bearbeiten Sie benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace.
  • LoggingRule IO Viewer: LoggingRule-benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • LoggingTarget IO Creator: Erstellt LoggingTarget benutzerdefinierte Ressourcen im Projekt-Namespace.
  • LoggingTarget IO Editor: Bearbeiten Sie benutzerdefinierte LoggingTarget-Ressourcen im Projekt-Namespace.
  • LoggingTarget IO Viewer: LoggingTarget-benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • Log Query API Querier: Zugriff auf die Log Query API zum Abfragen von Logs.
  • MonitoringRule Creator: Kann benutzerdefinierte MonitoringRule-Ressourcen im Infrastrukturcluster der Organisation erstellen.
  • MonitoringRule Editor: Bearbeiten Sie benutzerdefinierte MonitoringRule-Ressourcen im Infrastrukturcluster der Organisation.
  • MonitoringRule Viewer: MonitoringRule-benutzerdefinierte Ressourcen im Infrastrukturcluster der Organisation ansehen.
  • MonitoringRule IO Creator: Erstellt MonitoringRule benutzerdefinierte Ressourcen im Projekt-Namespace.
  • MonitoringRule IO Editor: Bearbeiten Sie benutzerdefinierte MonitoringRule-Ressourcen im Projekt-Namespace.
  • MonitoringRule IO Viewer: MonitoringRule-benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • MonitoringTarget Creator: Erstellt benutzerdefinierte MonitoringTarget-Ressourcen im Infrastrukturcluster der Organisation.
  • MonitoringTarget Editor: Bearbeiten Sie benutzerdefinierte MonitoringTarget-Ressourcen im Infrastrukturcluster der Organisation.
  • MonitoringTarget Viewer: MonitoringTarget-Benutzerressourcen im Infrastrukturcluster der Organisation ansehen.
  • MonitoringTarget IO Creator: Erstellen Sie benutzerdefinierte MonitoringTarget-Ressourcen im Projekt-Namespace.
  • MonitoringTarget IO Editor: Bearbeiten Sie benutzerdefinierte MonitoringTarget-Ressourcen im Projekt-Namespace.
  • MonitoringTarget IO Viewer: MonitoringTarget benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • Observability Admin: Hat Lese-/Schreibzugriff auf Objekte im Namespace obs-system.
  • Observability Admin Debugger: Hat clusterspezifischen Administratorzugriff auf Observability-Ressourcen im Namespace obs-system. Mit dieser Rolle lässt sich der Zugriff innerhalb des Infrastrukturclusters der Organisation detailliert steuern.
  • Observability Debugger: Hat vollen Zugriff auf Observability-Ressourcen im Namespace obs-system.
  • ObservabilityPipeline Creator: Erstellt ObservabilityPipeline benutzerdefinierte Ressourcen im Infrastrukturcluster der Organisation.
  • ObservabilityPipeline Editor: Bearbeiten Sie benutzerdefinierte ObservabilityPipeline-Ressourcen im Infrastrukturcluster der Organisation.
  • ObservabilityPipeline Viewer: ObservabilityPipeline-Benutzerdefinierte Ressourcen im Infrastrukturcluster der Organisation ansehen.
  • ObservabilityPipeline IO Creator: Erstellt benutzerdefinierte ObservabilityPipeline-Ressourcen im Projekt-Namespace.
  • ObservabilityPipeline IO Editor: Bearbeiten Sie benutzerdefinierte ObservabilityPipeline-Ressourcen im Projekt-Namespace.
  • ObservabilityPipeline IO Viewer: ObservabilityPipeline-Benutzerressourcen im Projekt-Namespace ansehen.
  • Observability System Debugger: Hat organisationsweiten Administratorzugriff auf Observability-Ressourcen im Namespace obs-system. Mit dieser Rolle kann der Administratorzugriff für die Observability zentral verwaltet werden.
  • Observability Viewer (Betrachter für Observability): Hat schreibgeschützten Zugriff zum Aufrufen von Objekten im Namespace obs-system.
  • OCLCM Debugger: Hat Lese- und Schreibzugriff zum Debuggen von OCLCM-Objekten.
  • OCLCM-Betrachter: Hat Lesezugriff zum Anzeigen von OCLCM-Objekten.
  • Organisationsadministrator: Erstellt und löscht Organisationen und verwaltet den Lebenszyklus der Organisation.
  • Administrator für die Verwaltung von Systemartefakten der Organisation: Hat Administratorzugriff auf Ressourcen in allen Harbor-Projekten im System-Namespace.
  • PERF Admin Monitor: Hat Leseberechtigung für PERF-Buckets, Dienstkonten und Secrets.
  • PERF Admin Resource Maintainer: Hat Lese- und Schreibzugriff auf alle VMs, VM-Festplatten, externen VM-Zugriffe, VM-Anfragen, Buckets, Projekt-Dienstkonten, AEAD-Schlüssel, Signierschlüssel und PERF-Dienstkonten.
  • PERF Debugger: Hat Lese- und Schreibzugriff für Jobs im Projekt-Namespace.
  • PERF System Monitor: Hat Lesezugriff auf alle Pods, PERF-ConfigMaps und Cron-Jobs im Projekt-Namespace.
  • PERF System Resource Maintainer: Hat Lese- und Schreibzugriff auf alle Dienste im Projekt-Namespace.
  • PNET Debugger: Hat Lese- und Schreibberechtigungen für alle PNET-Ressourcen.
  • PNET Monitor: Hat Lesezugriff auf alle PNET-Ressourcen.
  • PNET Secret Debugger: Hat Zugriff auf die Anmeldedaten für Netzwerk-Switches.
  • PSPF Debugger: Hat Lese- und Schreibberechtigungen für Jobs im Projekt-Namespace.
  • PSPF Monitor: Überwacht PSPF-Ressourcen.
  • Administrator für Organisationsrichtlinien: Verwaltet Richtlinienvorlagen für die Organisation und hat vollen Zugriff auf Einschränkungen.
  • Project Cortex Alertmanager Editor: Bearbeiten Sie die Cortex Alertmanager-Instanz im Projekt-Namespace.
  • Project Cortex Alertmanager Viewer: Zeigt die Cortex Alertmanager-Instanz im Projekt-Namespace an.
  • Project Cortex Prometheus Viewer: Hier können Sie die Cortex Prometheus-Instanz im Projekt-Namespace ansehen.
  • Project Grafana Viewer: Die Grafana-Instanz im Namespace des Projekts ansehen.
  • Remote Logger-Administrator: Hat vollständigen Zugriff auf remote-logger-Ressourcen.
  • Remote Logger Viewer (Betrachter für Remote-Logger): Hat Lesezugriff auf remote-logger-Ressourcen.
  • Root Cortex Alertmanager Editor: Gewährt Berechtigungen zum Bearbeiten der Cortex Alertmanager-Instanz im Infrastrukturcluster der Organisation.
  • Root Cortex Alertmanager Viewer: Gewährt Berechtigungen für den Zugriff auf die Cortex Alertmanager-Instanz im Infrastrukturcluster der Organisation.
  • Root Cortex Prometheus Viewer: Gewährt Berechtigungen für den Zugriff auf die Cortex Prometheus-Instanz im Infrastrukturcluster der Organisation.
  • Root Session Admin: Gewährt Zugriff zum Ausführen von Widerrufsvorgängen im Infrastrukturcluster der Organisation.
  • Security Viewer (Sicherheitsbetrachter): Hat Lesezugriff auf alle Ressourcen, auf die der Sicherheitsadministrator Zugriff hat.
  • SSH Infra Debugger: Hat Lese- und Schreibzugriff auf SSH-Infra-Secrets.
  • System Artifact Management Admin: Hat Administratorzugriff auf Ressourcen in allen Harbor-Projekten im System-Namespace.
  • System Artifact Management Secrets Admin: Hat Administratorzugriff auf Secret-Ressourcen, um Registry-Mirror-Konfigurationen zu verwalten.
  • System Artifact Registry Harbor Admin: Hat Administratorzugriff auf Harbor-Projekte.
  • System Artifact Registry Harbor Read: Hat Lesezugriff auf Harbor-Projekte.
  • System Artifact Registry Harbor ReadWrite: Hat Lese- und Schreibzugriff auf Harbor-Projekte.
  • System Artifact Registry Debugger: Hat Lese- und Schreibzugriff auf alle Harbor-Ressourcen.
  • System Artifact Registry Monitor: Hat Lese- und Schreibzugriff auf Harbor-Ressourcen im Infrastrukturcluster der Organisation.
  • System Cluster Admin (Systemcluster-Administrator): Hat Lese- und Schreibzugriff auf alle Berechtigungen und Richtlinien im Infrastrukturcluster der Organisation. Diese Rolle hat Zugriff auf Organisationsebene.
  • System Cluster DNS Debugger: Hat Lese- und Schreibzugriff auf alle Berechtigungen im Infrastrukturcluster der Organisation.
  • System Cluster Vertex AI Debugger: Hat vollen Zugriff auf die Vertex AI-Plattform.
  • System Cluster Viewer: Hat Lese-/Schreibzugriff auf alle Berechtigungen und Richtlinien im Infrastrukturcluster der Organisation.
  • System Project VirtualMachine Admin: Hat Zugriff zum Verwalten von VMs in Systemprojekten.
  • Tenable Nessus Admin: Hat Lese- und Schreibzugriff auf Netzwerkkomponenten, die die Anwendungen Tenable.sc und Nessus verwalten.
  • Transfer Appliance Request Admin: Verwaltet Transfer Appliance-Anfragen, die von einem Plattformadministrator (Platform Administrator, PA) erstellt wurden. Mit einer Transfer Appliance können Sie schnell und sicher große Datenmengen über einen Speicherserver mit hoher Kapazität auf die GDC-Appliance übertragen, die nicht mit dem Internet verbunden ist.
  • Trust Bundle Root Monitor (Trust-Bundle-Root-Monitor): Hat Lesezugriff auf Trust-Bundles.
  • UNET CLI Org Admin Monitor: Hat Berechtigungen zum Erstellen und Lesen für UNET-Ressourcen, um gdcloud system network-Befehle im Infrastrukturcluster der Organisation auszuführen.
  • UNET CLI Root Admin Monitor: Hat Berechtigungen zum Erstellen und Lesen für UNET-Ressourcen, um gdcloud system network-Befehle im Infrastrukturcluster der Organisation auszuführen.
  • UNET CLI System Monitor: Hat Berechtigungen zum Erstellen und Lesen für UNET-Ressourcen, um gdcloud system network-Befehle für Cluster der Organisationsinfrastruktur auszuführen.
  • UNET CLI User Monitor: Hat Berechtigungen für UNET-Ressourcen, um gdcloud system network-Befehle für Nutzercluster auszuführen.
  • Appliance-Administrator aktualisieren: Hat Lese- und Schreibberechtigungen zum Ausführen von Upgrades auf Appliances, Zugriff auf die Organisation und schreibgeschützten Zugriff auf OrganizationUpgrade.
  • Debugger aktualisieren: Hat Lese-/Schreibberechtigungen für Upgrade-Ressourcen im Infrastrukturcluster der Organisation.
  • User Cluster Debugger: Hat vollen Zugriff, um Probleme in Nutzerclustern zu beheben und zu minimieren.
  • User Cluster DNS Debugger: Hat Erstellungs- und Leseberechtigungen in Nutzerclustern.
  • UI Debugger: Hat Berechtigungen zum Neustarten von UI-Bereitstellungen.
  • VAISEARCH Secret Rotator: Hat Berechtigungen zum Rotieren von Secrets für Vertex AI Search.
  • VPN Debugger For Management Plane API server: Hat Lese- und Schreibberechtigungen für alle Ressourcen, die sich auf das VPN auf dem Management API-Server beziehen.
  • VPN Debugger For Org Perimeter Cluster: Hat Lese- und Schreibberechtigungen für alle Ressourcen, die sich auf das VPN im Perimeter-Cluster beziehen.
  • Web-TLS-Zertifikat-Debugger: Hat Lese- und Schreibzugriff auf das Istio-Web-TLS-Zertifikat und das Secret.

PA-Rollen

Plattformadministratoren verwalten Ressourcen auf Organisationsebene und den Projektlebenszyklus. Sie können den Teammitgliedern die folgenden vordefinierten Rollen zuweisen:

  • IAM-Administrator der Organisation:Erstellt, aktualisiert und löscht alle Berechtigungen und Zulassungsrichtlinien innerhalb der Organisation.
  • AI Platform-Administrator: Berechtigungen zum Verwalten vortrainierter Dienste erteilen.
  • Audit Logs Platform Restore Bucket Creator:Erstellt Sicherungs-Buckets zum Wiederherstellen der Plattform-Audit-Logs.
  • Audit Logs Platform Bucket Viewer:Sicherungs-Buckets von Plattform-Audit-Logs ansehen.
  • Bucket-Administrator:Verwaltet Speicher-Buckets in Organisationen und Projekten sowie die Objekte in diesen Buckets.
  • Bucket-Administrator (global): Verwaltet Single-Zone-Buckets in der Organisation und in Projekten sowie die Objekte in diesen Buckets.
  • Bucket Object Admin:Hat Lesezugriff auf Buckets in einer Organisation und Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Bucket-Objekt-Administrator (global): Hat Lesezugriff auf Dual-Zone-Buckets in der Organisation und ihren Projekten sowie Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Bucket Object Viewer (Bucket-Objektbetrachter): Hat Lesezugriff auf Buckets in einer Organisation und die Objekte in diesen Buckets.
  • Bucket-Objekt-Betrachter (global): Hat Lesezugriff auf Dual-Zone-Buckets in der Organisation und ihren Projekten sowie Lesezugriff auf die Objekte in diesen Buckets.
  • Dashboard PA Creator: Erstellt Dashboard benutzerdefinierte Ressourcen für die gesamte Organisation.
  • Dashboard PA Editor (Bearbeiter von Dashboard-PA): Hat Lese- und Schreibzugriff auf Dashboard benutzerdefinierte Ressourcen für die gesamte Organisation.
  • Dashboard PA Viewer: Hat Lesezugriff auf Dashboard-Benutzerressourcen für die gesamte Organisation.
  • Flow Log Admin: Verwaltet Flow-Log-Ressourcen zum Protokollieren von Metadaten zum Netzwerkverkehr.
  • Betrachter von Flusslogs: Bietet Lesezugriff auf Flusslogkonfigurationen.
  • GDCH Restrict By Attributes Policy Admin:Hat vollen Zugriff auf die Einschränkung GDCHRestrictByAttributes.
  • Administrator für die Richtlinie für eingeschränkte Dienste von GDCH:Verwaltet Richtlinienvorlagen für die Organisation und hat vollen Zugriff auf Einschränkungen. Wendet Richtlinien für eine Organisation oder ein Projekt an oder macht sie rückgängig.
  • IdP Federation Admin (Administrator für IdP-Föderation): Hat vollen Zugriff zum Konfigurieren von Identitätsanbietern.
  • Infra PKI Admin: Hat Zugriff zum Konfigurieren eines Ausstellers und einer Zertifizierungsstelle für Infra-PKI-Zertifikate.
  • Interconnect-Administrator: Hat Administratorzugriff auf Interconnect-Ressourcen.
  • Log Query API Querier: Hat schreibgeschützten Zugriff, um den Audit-Log- oder Betriebslog-Endpunkt über die Log Query API zu erreichen und Logs für ein Projekt anzusehen.
  • LoggingRule PA Creator: Erstellt LoggingRule benutzerdefinierte Ressourcen für die gesamte Organisation.
  • LoggingRule PA Editor: Bearbeitet LoggingRule-benutzerdefinierte Ressourcen für die gesamte Organisation.
  • LoggingRule PA Viewer: Kann LoggingRule benutzerdefinierte Ressourcen für die gesamte Organisation aufrufen.
  • LoggingTarget PA Creator: Erstellt benutzerdefinierte LoggingTarget-Ressourcen für die gesamte Organisation.
  • LoggingTarget PA Editor: Bearbeitet benutzerdefinierte LoggingTarget-Ressourcen für die gesamte Organisation.
  • LoggingTarget PA Viewer: Zeigt LoggingTarget benutzerdefinierte Ressourcen für die gesamte Organisation an.
  • MonitoringRule PA Creator: Erstellt MonitoringRule benutzerdefinierte Ressourcen für die gesamte Organisation.
  • MonitoringRule PA Editor: Hat Lese- und Schreibzugriff auf MonitoringRule-Ressourcen für die gesamte Organisation.
  • MonitoringRule PA Viewer: Hat Lesezugriff auf MonitoringRule-Benutzerressourcen für die gesamte Organisation.
  • MonitoringTarget PA Creator: Erstellt MonitoringTarget benutzerdefinierte Ressourcen für die gesamte Organisation.
  • MonitoringTarget PA Editor: Hat Lese- und Schreibzugriff auf MonitoringTarget benutzerdefinierte Ressourcen für die gesamte Organisation.
  • MonitoringTarget PA Viewer (Betrachter von MonitoringTarget-PA): Hat Lesezugriff auf MonitoringTarget benutzerdefinierte Ressourcen für die gesamte Organisation.
  • MP OCLCM Debugger: Hiermit können Sie OCLCM-bezogene Objekte debuggen.
  • MP OCLCM Viewer: Zeigt OCLCM-bezogene Objekte an.
  • ObservabilityPipeline PA Creator: Erstellt benutzerdefinierte ObservabilityPipeine-Ressourcen für die gesamte Organisation.
  • ObservabilityPipeline PA Editor: Hat Lese- und Schreibzugriff auf ObservabilityPipeine benutzerdefinierte Ressourcen für die gesamte Organisation.
  • ObservabilityPipeline PA Viewer: Hat Lesezugriff auf ObservabilityPipeline-benutzerdefinierte Ressourcen für die gesamte Organisation.
  • Sitzungsadministrator der Organisation: Hat Zugriff auf den Befehl zum Widerrufen. Nutzer, die an diese Role gebunden sind, werden den ACLs für die Authentifizierung und Autorisierung hinzugefügt.
  • Grafana Viewer für Organisationen:Visualisieren Sie organisationsbezogene Observability-Daten in Dashboards der Grafana-Monitoring-Instanz.
  • Organization IAM Viewer (IAM-Betrachter der Organisation): Hat Lesezugriff auf alle Ressourcen, auf die der IAM-Administrator der Organisation Zugriff hat.
  • Administrator für Organisationsupgrades:Ändert Wartungsfenster für eine Organisation. Wartungsfenster werden automatisch bei der Erstellung der Organisation erstellt.
  • Betrachter für Organisationsupgrades:Kann Wartungsfenster ansehen.
  • Project Bucket Admin (Projekt-Bucket-Administrator): Verwaltet die Buckets mit zwei Zonen eines Projekts sowie die Objekte in diesen Buckets.
  • Projekt-Bucket-Objektadministrator:Hat Lesezugriff auf Dual-Zone-Buckets in einem Projekt sowie Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Project Bucket Object Viewer:Hat Lesezugriff auf Dual-Zone-Buckets in einem Projekt sowie Lesezugriff auf die Objekte in diesen Buckets.
  • Projektersteller:Erstellt neue Projekte.
  • Projektbearbeiter:Löscht Projekte.
  • SIEM Export Org Creator: Erstellt SIEMOrgForwarder benutzerdefinierte Ressourcen.
  • SIEM Export Org Editor (SIEM Export Org-Bearbeiter): Hat Lese- und Schreibzugriff auf benutzerdefinierte SIEMOrgForwarder-Ressourcen.
  • SIEM Export Org Viewer (SIEM Export Org-Betrachter) Hat Lesezugriff auf benutzerdefinierte SIEMOrgForwarder-Ressourcen.
  • Transfer Appliance Request Creator:Kann Transfer Appliance-Anfragen lesen und erstellen. So können Sie große Datenmengen schnell und sicher über einen Speicherserver mit hoher Kapazität auf eine GDC-Appliance mit Air Gap übertragen.
  • Nutzercluster-Administrator:Erstellt, aktualisiert und löscht den Nutzercluster und verwaltet den Lebenszyklus des Nutzerclusters.
  • User Cluster CRD Viewer: Schreibgeschützter Zugriff auf benutzerdefinierte Ressourcendefinitionen (Custom Resource Definitions, CRDs) in einem Nutzercluster.
  • Nutzercluster-Entwickler:Hat Cluster-Administratorberechtigungen in Nutzerclustern.
  • User Cluster Node Viewer:Hat Cluster-Administratorberechtigungen mit Lesezugriff in Nutzerclustern.
  • VPN-Administrator:Hat Lese- und Schreibberechtigungen für alle VPN-bezogenen Ressourcen.
  • VPN-Betrachter:Hat Leseberechtigungen für alle VPN-bezogenen Ressourcen.

AO-Rollen

Ein Anwendungsoperator (Application Operator, AO) ist Mitglied des Entwicklungsteams in der Organisation des Plattformadministrators (Platform Administrator, PA). AOs interagieren mit Ressourcen auf Projektebene. Sie können Teammitgliedern die folgenden vordefinierten Rollen zuweisen:

  • Projekt-IAM-Administrator:Verwaltet die IAM-Zulassungsrichtlinien von Projekten.
  • AI OCR Developer: Zugriff auf den Dienst zur optischen Zeichenerkennung, um Text in Bildern zu erkennen.
  • AI Speech Developer: Zugriff auf den Speech-to-Text-Dienst zur Spracherkennung und Audiotranskription.
  • AI Translation Developer: Zugriff auf den Vertex AI Translation-Dienst zum Übersetzen von Text.
  • Artifact Management Admin: Hat Administratorzugriff auf Ressourcen in allen Harbor-Projekten im Projekt-Namespace.
  • Artifact Management Editor: Hat Lese- und Schreibzugriff auf Ressourcen in allen Harbor-Projekten im Projekt-Namespace.
  • Certificate Authority Service-Administrator: Hat Zugriff zum Verwalten von Zertifizierungsstellen und Zertifikatsanfragen in seinem Projekt.
  • Certificate Service Admin (Administrator des Zertifikatdienstes): Hat Zugriff zum Verwalten von Zertifikaten und Zertifikatausstellern in seinem Projekt.
  • Dashboard Editor (Dashboard-Bearbeiter): Hat Lese- und Schreibzugriff auf benutzerdefinierte Dashboard-Ressourcen.
  • Dashboard-Betrachter: Hat Lesezugriff auf benutzerdefinierte Dashboard-Ressourcen.
  • Harbor-Instanzadministrator: Hat vollständigen Zugriff zum Verwalten von Harbor-Instanzen in einem Projekt.
  • Harbor Instance Viewer (Harbor-Instanzbetrachter): Hat schreibgeschützten Zugriff zum Anzeigen von Harbor-Instanzen in einem Projekt.
  • Harbor Project Creator: Hat Zugriff zum Verwalten von Harbor-Instanzprojekten.
  • K8s Network Policy Admin: Verwaltet Netzwerkrichtlinien in Kubernetes-Clustern.
  • LoggingRule Creator: Erstellt benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace.
  • LoggingRule Editor: Bearbeitet benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace.
  • LoggingRule Viewer: Zeigt benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace an.
  • LoggingTarget Creator: Erstellt benutzerdefinierte LoggingTarget-Ressourcen im Namespace des Projekts.
  • LoggingTarget Editor: Bearbeitet benutzerdefinierte LoggingTarget-Ressourcen im Projekt-Namespace.
  • LoggingTarget Viewer: Zeigt LoggingTarget-benutzerdefinierte Ressourcen im Projekt-Namespace an.
  • Load Balancer Admin: Hat Lese- und Schreibberechtigungen für alle Load-Balancer-Ressourcen im Projekt-Namespace.
  • MonitoringRule Editor (Bearbeiter von Monitoring-Regeln): Hat Lese- und Schreibzugriff auf MonitoringRule-Ressourcen.
  • MonitoringRule Viewer (Betrachter von Monitoring-Regeln): Hat schreibgeschützten Zugriff auf benutzerdefinierte MonitoringRule-Ressourcen.
  • MonitoringTarget Editor (MonitoringTarget-Bearbeiter): Hat Lese- und Schreibzugriff auf MonitoringTarget-Benutzerressourcen.
  • MonitoringTarget Viewer (Betrachter von MonitoringTarget): Hat Lesezugriff auf MonitoringTarget-Benutzerressourcen.
  • NAT Viewer (NAT-Betrachter): Hat Lesezugriff auf Deployments in Kubernetes-Clustern.
  • Namespace-Administrator: Verwaltet alle Ressourcen im Projekt-Namespace.
  • ObservabilityPipeline Editor: Hat Lese- und Schreibzugriff auf benutzerdefinierte ObservabilityPipeine-Ressourcen.
  • ObservabilityPipeline Viewer (Betrachter für ObservabilityPipeline): Hat Lesezugriff auf benutzerdefinierte ObservabilityPipeline-Ressourcen.
  • Project Bucket Admin (Projekt-Bucket-Administrator): Verwaltet die Speicher-Buckets und Objekte in Buckets.
  • Project Bucket Object Admin (Projekt-Bucket-Objektadministrator): Hat Lesezugriff auf Buckets in einem Projekt und Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Project Bucket Object Viewer: Hat Lesezugriff auf Buckets in einem Projekt und die Objekte in diesen Buckets.
  • Project Cortex Alertmanager Editor: Gewährt Berechtigungen zum Bearbeiten der Cortex Alertmanager-Instanz im Projekt-Namespace.
  • Project Cortex Alertmanager Viewer: Gewährt Berechtigungen für den Zugriff auf die Cortex Alertmanager-Instanz im Projekt-Namespace.
  • Project Cortex Prometheus Viewer: Gewährt Berechtigungen für den Zugriff auf die Cortex Prometheus-Instanz im Projekt-Namespace.
  • Project Grafana Viewer: Greift auf die Grafana-Instanz im Projekt-Namespace des Flottenadministratorclusters zu.
  • Project NetworkPolicy Admin:Verwaltet die Projekt-NetworkPolicies im Projekt-Namespace.
  • Projektbetrachter:Hat schreibgeschützten Zugriff auf alle Ressourcen in Projekt-Namespaces.
  • Project VirtualMachine Admin: Verwaltet VMs im Projekt-Namespace.
  • Project VirtualMachine Image Admin: Verwaltet VM-Images im Projekt-Namespace.
  • Secret Admin: Verwaltet Kubernetes-Secrets in Projekten.
  • Secret-Betrachter: Zeigt Kubernetes-Secrets in Projekten an.
  • Service Configuration Admin: Hat Lese- und Schreibzugriff auf Dienstkonfigurationen in einem Projekt-Namespace.
  • Service Configuration Viewer: Hat Lesezugriff auf Dienstkonfigurationen in einem Projekt-Namespace.
  • Volume Replication Admin (Administrator für Volume-Replikation): Verwaltet Ressourcen für die Volume-Replikation.
  • Workbench Notebooks-Administrator: Lese- und Schreibzugriff auf alle Notebook-Ressourcen in einem Projektnamespace.
  • Workbench Notebooks Viewer: Lesezugriff auf alle Notebook-Ressourcen in einem Projektnamespace und Zugriff auf die Vertex AI Workbench-Benutzeroberfläche.
  • Workload Viewer (Arbeitslastbetrachter): Hat Lesezugriff auf Arbeitslasten in einem Projekt.

Häufige Rollen

Die folgenden vordefinierten allgemeinen Rollen gelten für alle authentifizierten Nutzer:

  • AI Platform-Betrachter: Gewährt Berechtigungen zum Aufrufen vortrainierter Dienste.
  • DNS Suffix Viewer: Greift auf die Konfigurationszuordnung für das DNS-Suffix (Domain Name Service) zu.
  • Flow Log Admin (Flow-Log-Administrator): Hat Lese- und Schreibzugriff auf alle Flow-Log-Ressourcen.
  • Flow Log Viewer (Flow-Log-Betrachter): Hat Lesezugriff auf alle Flow-Log-Ressourcen.
  • Project Discovery Viewer: Hat Lesezugriff für alle authentifizierten Nutzer auf die Projektansicht.
  • Public Image Viewer: Hat Lesezugriff für alle authentifizierten Nutzer auf die öffentlichen VM-Images im Namespace vm-images.
  • System Artifact Registry anthos-creds secret Monitor: Hat schreibgeschützten Zugriff auf Secrets im Namespace anthos-creds.
  • System Artifact Registry gpc-system secret Monitor: Hat schreibgeschützten Zugriff auf Secrets im Namespace gpc-system.
  • System Artifact Registry harbor-system secret Monitor: Hat schreibgeschützten Zugriff auf Secrets im Namespace harbor-system.
  • Virtual Machine Type Viewer: Hat Lesezugriff auf virtuelle Maschinentypen auf Clusterebene.
  • VM Type Viewer: Hat Lesezugriff auf die vordefinierten VM-Typen in den Administratorclustern.