Descriptions des rôles prédéfinis

L'appliance Google Distributed Cloud (GDC) sous air gap propose les rôles prédéfinis suivants que vous pouvez attribuer aux membres de votre équipe :

Rôles IO

Les IO sont autorisés à gérer le cycle de vie du cluster et de l'organisation. Voici les rôles prédéfinis que vous pouvez attribuer aux membres de l'équipe :

  • Administrateur de sécurité : crée, met à jour et supprime les autorisations et les règles dans le cluster d'infrastructure de l'organisation. Ce rôle n'a pas accès aux ressources de l'organisation ni du projet.
  • Débogueur APPLSTOR : accès au débogage du stockage de l'appliance.
  • APPLSTOR monitor : accès à la surveillance du stockage des appliances.
  • Rotateur de secrets APPLSTOR : accès pour faire tourner les secrets de stockage de l'appliance.
  • Créateur AuditLoggingTarget : créez des ressources personnalisées AuditLoggingTarget dans le cluster d'infrastructure de l'organisation.
  • Éditeur AuditLoggingTarget : modifiez les ressources personnalisées AuditLoggingTarget dans le cluster d'infrastructure de l'organisation.
  • Lecteur AuditLoggingTarget : affichez les ressources personnalisées AuditLoggingTarget dans le cluster d'infrastructure de l'organisation.
  • Créateur AuditLoggingTarget IO : créez des ressources AuditLoggingTarget personnalisées dans l'espace de noms du projet.
  • Éditeur IO AuditLoggingTarget : modifiez les ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet.
  • Lecteur AuditLoggingTarget IO : affiche les ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet.
  • Créateur de sauvegarde et de restauration des journaux d'audit : créez une configuration de job de transfert de sauvegarde et restaurez les journaux d'audit.
  • Éditeur de sauvegarde et de restauration des journaux d'audit : modifiez la configuration du job de transfert de sauvegarde et restaurez les journaux d'audit.
  • Lecteur de buckets d'infrastructure de journaux d'audit : permet d'afficher les buckets de sauvegarde des journaux d'audit de l'infrastructure.
  • Administrateur AIS : dispose d'un accès en lecture et en écriture aux pods et déploiements GKE Identity Service (AIS).
  • Débogueur AIS : dispose d'un accès en lecture et en écriture aux ressources AIS pour la mitigation.
  • AIS Monitor : dispose d'un accès en lecture aux ressources AIS dans l'espace de noms iam-system.
  • Débogueur AuthzPDP : accès en lecture et en écriture aux ressources du point de décision de la stratégie d'autorisation (PDP) pour la résolution des problèmes et le débogage.
  • Débogueur du cluster système Cert Manager : gère les ressources associées à cert-manager.
  • Créateur de tableaux de bord : créez des ressources personnalisées Dashboard dans le cluster d'infrastructure de l'organisation.
  • Éditeur de tableaux de bord : modifiez les ressources personnalisées Dashboard dans le cluster d'infrastructure de l'organisation.
  • Lecteur de tableaux de bord : permet d'afficher les ressources personnalisées Dashboard dans le cluster d'infrastructure de l'organisation.
  • Créateur Dashboard IO : créez des ressources personnalisées Dashboard dans l'espace de noms du projet.
  • Éditeur d'E/S du tableau de bord : modifiez les ressources personnalisées Dashboard dans l'espace de noms du projet.
  • Lecteur Dashboard IO : affiche les ressources personnalisées Dashboard dans l'espace de noms du projet.
  • Déboguer la ressource personnalisée AuditLoggingTarget : surveillez l'espace de noms obs-system.
  • Administrateur DNS : met à jour les fichiers DNS.
  • Débogueur DNS : dispose d'autorisations en lecture et en écriture sur toutes les ressources DNS.
  • Lecteur DNS : dispose d'autorisations de lecture sur toutes les ressources DNS.
  • DNS Suffix Viewer (Afficheur de suffixe DNS) : affiche la configmap du suffixe DNS.
  • Administrateur des identifiants SSH d'urgence : dispose d'autorisations d'accès d'urgence et utilise le nœud SSH dans le cluster d'infrastructure de l'organisation.
  • Créateur FluentBit : créez des ressources personnalisées FluentBit dans le cluster d'infrastructure de l'organisation.
  • Éditeur FluentBit : modifiez les ressources personnalisées FluentBit dans le cluster d'infrastructure de l'organisation.
  • Lecteur FluentBit : affichez les ressources personnalisées FluentBit dans le cluster d'infrastructure de l'organisation.
  • Créateur FluentBit IO : créez des ressources personnalisées FluentBit dans l'espace de noms du projet.
  • Éditeur FluentBit IO : modifiez les ressources personnalisées FluentBit dans l'espace de noms du projet.
  • FluentBit IO Viewer : affichez les ressources personnalisées FluentBit dans l'espace de noms du projet.
  • Administrateur Gatekeeper : peut redémarrer les déploiements et corriger les secrets.
  • Débogueur Grafana : accorde un accès administrateur aux ressources Grafana dans l'espace de noms obs-system.
  • Lecteur Grafana : accorde des autorisations pour accéder à l'instance Grafana dans l'espace de noms système du cluster d'infrastructure de l'organisation.
  • Administrateur du matériel : dispose d'un accès complet aux ressources matérielles telles que les commutateurs, les racks et les serveurs.
  • Administrateur HDWR : dispose d'un accès complet aux ressources liées au matériel.
  • Lecteur HWDR : dispose d'un accès en lecture seule aux ressources liées au matériel.
  • Débogueur PKI d'infrastructure : permet de configurer un émetteur de certificats et une autorité de certification PKI d'infrastructure.
  • Administrateur Interconnect : dispose d'un accès administrateur aux ressources d'interconnexion.
  • Administrateur Kiali : accorde des autorisations pour accéder au tableau de bord Kiali afin de déboguer le maillage de services Istio.
  • Débogueur KUB IPAM : accès en lecture et en écriture pour les ressources personnalisées CIDRClaim.
  • KUB Monitor : dispose d'autorisations en lecture seule pour toutes les ressources de KUB.
  • Créateur LogCollector : créez des ressources personnalisées LogCollector dans le cluster d'infrastructure de l'organisation.
  • Éditeur LogCollector : permet de modifier les ressources personnalisées LogCollector dans le cluster d'infrastructure de l'organisation.
  • Lecteur LogCollector : affiche les ressources personnalisées LogCollector dans le cluster d'infrastructure de l'organisation.
  • Créateur IO LogCollector : créez des ressources personnalisées LogCollector dans l'espace de noms du projet.
  • Éditeur LogCollector IO : permet de modifier les ressources personnalisées LogCollector dans l'espace de noms du projet.
  • Lecteur LogCollector IO : affichez les ressources personnalisées LogCollector dans l'espace de noms du projet.
  • Créateur de LoggingRule : créez des ressources personnalisées LoggingRule dans le cluster d'infrastructure de l'organisation.
  • Éditeur LoggingRule : modifiez les ressources personnalisées LoggingRule dans le cluster d'infrastructure de l'organisation.
  • Lecteur LoggingRule : affichez les ressources personnalisées LoggingRule dans le cluster d'infrastructure de l'organisation.
  • Créateur d'IO LoggingRule : créez des ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Éditeur IO LoggingRule : modifiez les ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • LoggingRule IO Viewer : affichez les ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Créateur d'IO LoggingTarget : créez des ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Éditeur IO LoggingTarget : modifiez les ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Lecteur LoggingTarget IO : affiche les ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Requêteur de l'API Log Query : accédez à l'API Log Query pour interroger les journaux.
  • Créateur de règles de surveillance : permet de créer des ressources MonitoringRule personnalisées dans le cluster d'infrastructure de l'organisation.
  • Éditeur MonitoringRule : modifiez les ressources personnalisées MonitoringRule dans le cluster d'infrastructure de l'organisation.
  • Lecteur MonitoringRule : affiche les ressources personnalisées MonitoringRule dans le cluster d'infrastructure de l'organisation.
  • Créateur d'IO MonitoringRule : créez des ressources personnalisées MonitoringRule dans l'espace de noms du projet.
  • Éditeur IO MonitoringRule : modifiez les ressources personnalisées MonitoringRule dans l'espace de noms du projet.
  • Lecteur MonitoringRule IO : affichez les ressources personnalisées MonitoringRule dans l'espace de noms du projet.
  • MonitoringTarget Creator : créez des ressources personnalisées MonitoringTarget dans le cluster d'infrastructure de l'organisation.
  • Éditeur MonitoringTarget : modifiez les ressources personnalisées MonitoringTarget dans le cluster d'infrastructure de l'organisation.
  • Lecteur MonitoringTarget : affichez les ressources personnalisées MonitoringTarget dans le cluster d'infrastructure de l'organisation.
  • Créateur d'IO MonitoringTarget : créez des ressources personnalisées MonitoringTarget dans l'espace de noms du projet.
  • Éditeur IO MonitoringTarget : modifiez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet.
  • Lecteur IO MonitoringTarget : affichez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet.
  • Administrateur de l'observabilité : dispose d'un accès en lecture et en écriture aux objets de l'espace de noms obs-system.
  • Débogueur d'administrateur d'observabilité : dispose d'un accès administrateur spécifique au cluster aux ressources d'observabilité dans l'espace de noms obs-system. Ce rôle permet de contrôler précisément les accès au sein du cluster d'infrastructure de l'organisation.
  • Débogueur d'observabilité : dispose d'un accès complet aux ressources d'observabilité dans l'espace de noms obs-system.
  • Créateur ObservabilityPipeline : créez des ressources ObservabilityPipeline personnalisées dans le cluster d'infrastructure de l'organisation.
  • Éditeur ObservabilityPipeline : modifiez les ressources personnalisées ObservabilityPipeline dans le cluster d'infrastructure de l'organisation.
  • Lecteur ObservabilityPipeline : permet d'afficher les ressources ObservabilityPipeline personnalisées dans le cluster d'infrastructure de l'organisation.
  • Créateur d'E/S ObservabilityPipeline : créez des ressources ObservabilityPipeline personnalisées dans l'espace de noms du projet.
  • Éditeur ObservabilityPipeline IO : modifiez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet.
  • Lecteur IO ObservabilityPipeline : affiche les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet.
  • Débogueur du système d'observabilité : dispose d'un accès administrateur à l'ensemble de l'organisation aux ressources d'observabilité dans l'espace de noms obs-system. Ce rôle permet de gérer de manière centralisée l'accès administrateur à l'observabilité.
  • Lecteur Observability : dispose d'un accès en lecture seule pour afficher les objets dans l'espace de noms obs-system.
  • Débogueur OCLCM : accès en lecture et en écriture pour déboguer les objets OCLCM.
  • Lecteur OCLCM : dispose d'un accès en lecture seule pour afficher les objets OCLCM.
  • Administrateur de l'organisation : crée et supprime des organisations, et gère leur cycle de vie.
  • Administrateur de la gestion des artefacts système de l'organisation : dispose d'un accès administrateur aux ressources de tous les projets Harbor dans l'espace de noms système.
  • Administrateur PERF Monitor : dispose d'une autorisation de lecture sur les buckets, les comptes de service et les secrets PERF.
  • Responsable des ressources d'administration PERF : dispose d'un accès en lecture et en écriture à toutes les machines virtuelles (VM), aux disques de VM, aux accès externes aux VM, aux requêtes de VM, aux buckets, aux comptes de service de projet, aux clés AEAD, aux clés de signature et aux comptes de service PERF.
  • Débogueur PERF : dispose d'un accès en lecture et en écriture pour les jobs dans l'espace de noms du projet.
  • PERF System Monitor : dispose d'un accès en lecture seule à tous les pods, configmaps et jobs cron PERF dans l'espace de noms du projet.
  • Responsable des ressources système PERF : dispose d'un accès en lecture et en écriture à tous les services de l'espace de noms du projet.
  • Débogueur PNET : dispose d'autorisations en lecture et en écriture sur toutes les ressources PNET.
  • PNET Monitor : dispose d'autorisations en lecture seule sur toutes les ressources PNET.
  • Débogueur de secrets PNET : a accès aux identifiants du commutateur réseau.
  • Débogueur PSPF : dispose d'autorisations de lecture et d'écriture pour les jobs dans l'espace de noms du projet.
  • PSPF Monitor : surveille les ressources PSPF.
  • Administrateur des règles : gère les modèles de règles pour l'organisation et dispose d'un accès complet aux contraintes.
  • Éditeur Alertmanager Project Cortex : modifiez l'instance Alertmanager Cortex dans l'espace de noms du projet.
  • Lecteur Project Cortex Alertmanager : permet d'afficher l'instance Cortex Alertmanager dans l'espace de noms du projet.
  • Visionneuse Prometheus Project Cortex : affichez l'instance Cortex Prometheus dans l'espace de noms du projet.
  • Lecteur Grafana du projet : affiche l'instance Grafana dans l'espace de noms du projet.
  • Administrateur de l'enregistreur à distance : dispose d'un accès complet aux ressources remote-logger.
  • Lecteur Remote Logger : dispose d'un accès en lecture seule aux ressources remote-logger.
  • Éditeur Root Cortex Alertmanager : accorde des autorisations pour modifier l'instance Cortex Alertmanager sur le cluster d'infrastructure de l'organisation.
  • Lecteur Root Cortex Alertmanager : accorde des autorisations pour accéder à l'instance Cortex Alertmanager sur le cluster d'infrastructure de l'organisation.
  • Lecteur Prometheus Cortex racine : accorde l'autorisation d'accéder à l'instance Cortex Prometheus sur le cluster d'infrastructure de l'organisation.
  • Administrateur de session racine : accorde l'accès pour effectuer des opérations de révocation dans le cluster d'infrastructure de l'organisation.
  • Lecteur de sécurité : dispose d'un accès en lecture seule à toutes les ressources auxquelles l'Administrateur de sécurité a accès.
  • Débogueur d'infrastructure SSH : dispose d'un accès en lecture et en écriture aux secrets de l'infrastructure SSH.
  • Administrateur de la gestion des artefacts système : dispose d'un accès administrateur aux ressources de tous les projets Harbor dans l'espace de noms système.
  • Administrateur des secrets de gestion des artefacts système : dispose d'un accès administrateur aux ressources secrètes pour gérer les configurations de miroir de registre.
  • Administrateur Harbor System Artifact Registry : dispose d'un accès administrateur aux projets Harbor.
  • System Artifact Registry Harbor Read : dispose d'un accès en lecture seule aux projets Harbor.
  • System Artifact Registry Harbor ReadWrite : accès en lecture et en écriture aux projets Harbor.
  • Débogueur du registre d'artefacts système : accès en lecture et en écriture à toutes les ressources Harbor.
  • Moniteur System Artifact Registry : dispose d'un accès en lecture et en écriture aux ressources Harbor dans le cluster d'infrastructure de l'organisation.
  • Administrateur de cluster système : dispose d'un accès en lecture et en écriture à toutes les autorisations et tous les règlements du cluster d'infrastructure de l'organisation. Ce rôle a accès au niveau de l'organisation.
  • Débogueur DNS du cluster système : dispose d'un accès en création et en lecture à toutes les autorisations du cluster d'infrastructure de l'organisation.
  • Débogueur Vertex AI du cluster système : accès complet à la plate-forme Vertex AI.
  • Lecteur de cluster système : dispose d'un accès en lecture et en écriture à toutes les autorisations et à tous les règlements du cluster d'infrastructure de l'organisation.
  • Administrateur VirtualMachine du projet système : a accès à la gestion des VM dans les projets système.
  • Administrateur Tenable Nessus : dispose d'un accès en lecture et en écriture aux composants réseau qui gèrent les applications Tenable.sc et Nessus.
  • Administrateur des demandes Transfer Appliance : gère les demandes Transfer Appliance créées par un administrateur de plate-forme. Un serveur Transfer Appliance vous permet de transférer rapidement et de manière sécurisée de grandes quantités de données vers l'appliance GDC isolée à l'aide d'un serveur de stockage haute capacité.
  • Moniteur racine du bundle de confiance : dispose d'un accès en lecture aux bundles de confiance.
  • UNET CLI Org Admin Monitor : dispose des autorisations de création et de lecture sur les ressources UNET pour exécuter les commandes gdcloud system network dans le cluster d'infrastructure de l'organisation.
  • UNET CLI Root Admin Monitor : dispose des autorisations de création et de lecture sur les ressources UNET pour exécuter les commandes gdcloud system network dans le cluster d'infrastructure de l'organisation.
  • UNET CLI System Monitor : dispose des autorisations de création et de lecture sur les ressources UNET pour exécuter les commandes gdcloud system network sur les clusters d'infrastructure de l'organisation.
  • UNET CLI User Monitor : dispose des autorisations sur les ressources UNET pour exécuter les commandes gdcloud system network sur les clusters utilisateur.
  • Mettre à niveau l'administrateur de l'appliance : dispose d'autorisations de lecture et d'écriture pour effectuer des mises à niveau sur les appliances, d'un accès à l'organisation et d'un accès en lecture seule à OrganizationUpgrade.
  • Mettre à niveau Debugger : dispose d'autorisations de lecture et d'écriture sur les ressources de mise à niveau dans le cluster d'infrastructure de l'organisation.
  • Débogueur de cluster d'utilisateur : dispose d'un accès complet pour déboguer et résoudre les problèmes dans les clusters d'utilisateur.
  • Débogueur DNS du cluster d'utilisateur : dispose des autorisations de création et de lecture dans les clusters d'utilisateur.
  • Débogueur d'UI : dispose des autorisations nécessaires pour redémarrer les déploiements d'UI.
  • VAISEARCH Secret Rotator : dispose des autorisations nécessaires pour alterner les secrets pour Vertex AI Search.
  • Débogueur VPN pour le serveur de l'API du plan de gestion : dispose des autorisations de lecture et d'écriture sur toutes les ressources liées au VPN dans le serveur de l'API Management.
  • Débogueur VPN pour le cluster du périmètre de l'organisation : dispose d'autorisations de lecture et d'écriture sur toutes les ressources liées au VPN dans le cluster du périmètre.
  • Débogueur de certificat TLS Web : accès en lecture et en écriture au certificat et au secret TLS Web d'Istio.

Rôles PA

Les administrateurs de plate-forme (AP) gèrent les ressources au niveau de l'organisation et la gestion du cycle de vie des projets. Vous pouvez attribuer les rôles prédéfinis suivants aux membres de l'équipe :

  • Administrateur IAM de l'organisation : crée, modifie et supprime les autorisations et les stratégies d'autorisation au sein de l'organisation.
  • Administrateur AI Platform : accorde des autorisations pour gérer les services pré-entraînés.
  • Créateur de buckets de restauration de la plate-forme de journaux d'audit : créez des buckets de sauvegarde pour restaurer les journaux d'audit de la plate-forme.
  • Lecteur de buckets de plate-forme pour les journaux d'audit : permet d'afficher les buckets de sauvegarde des journaux d'audit de la plate-forme.
  • Administrateur de bucket : gère les buckets de stockage dans les organisations et les projets, ainsi que les objets qu'ils contiennent.
  • Administrateur de bucket (global) : gère les buckets à zone unique au sein de l'organisation et des projets, ainsi que les objets de ces buckets.
  • Administrateur d'objets de bucket : dispose d'un accès en lecture seule aux buckets d'une organisation et d'un accès en lecture et en écriture aux objets de ces buckets.
  • Administrateur des objets Bucket (global) : dispose d'un accès en lecture seule aux buckets à double zone de l'organisation et de ses projets, ainsi qu'en lecture et écriture aux objets de ces buckets.
  • Lecteur d'objets de bucket : dispose d'un accès en lecture seule aux buckets d'une organisation et aux objets qu'ils contiennent.
  • Lecteur d'objets de bucket (global) : accès en lecture seule aux buckets à double zone de l'organisation et de ses projets, ainsi qu'aux objets de ces buckets.
  • Créateur de tableaux de bord PA : crée des ressources personnalisées Dashboard pour l'ensemble de l'organisation.
  • Éditeur de tableau de bord PA : dispose d'un accès en lecture et en écriture aux ressources personnalisées Dashboard pour l'ensemble de l'organisation.
  • Lecteur de tableaux de bord PA : dispose d'un accès en lecture seule aux ressources personnalisées Dashboard pour l'ensemble de l'organisation.
  • Administrateur des journaux de flux : gère les ressources des journaux de flux pour enregistrer les métadonnées du trafic réseau.
  • Lecteur de journaux de flux : fournit un accès en lecture seule aux configurations des journaux de flux.
  • Administrateur des règles "Restreindre par attributs" de GDCH : dispose d'un accès complet à la contrainte GDCHRestrictByAttributes.
  • Administrateur des règles de service restreint GDCH : gère les modèles de règles pour l'organisation et dispose d'un accès complet aux contraintes. Applique ou restaure les règles pour une organisation ou un projet.
  • Administrateur de la fédération IdP : dispose d'un accès complet pour configurer les fournisseurs d'identité.
  • Administrateur PKI d'infrastructure : a accès à la configuration d'un émetteur de certificats et d'une autorité de certification PKI d'infrastructure.
  • Administrateur Interconnect : dispose d'un accès administrateur aux ressources d'interconnexion.
  • Requêteur de l'API Log Query : dispose d'un accès en lecture seule pour accéder au point de terminaison des journaux d'audit ou opérationnels à partir de l'API Log Query afin d'afficher les journaux d'un projet.
  • Créateur de règles de journalisation PA : crée des ressources personnalisées LoggingRule pour l'ensemble de l'organisation.
  • Éditeur de règles de journalisation PA : modifie les ressources personnalisées LoggingRule pour l'ensemble de l'organisation.
  • Lecteur PA LoggingRule : affiche les ressources personnalisées LoggingRule pour l'ensemble de l'organisation.
  • Créateur de PA LoggingTarget : crée des ressources personnalisées LoggingTarget pour l'ensemble de l'organisation.
  • Éditeur PA LoggingTarget : modifie les ressources personnalisées LoggingTarget pour l'ensemble de l'organisation.
  • Lecteur de journaux de cibles PA : affiche les ressources personnalisées LoggingTarget pour l'ensemble de l'organisation.
  • Créateur de règles de surveillance PA : crée des ressources personnalisées MonitoringRule pour l'ensemble de l'organisation.
  • Éditeur de règles de surveillance PA : accès en lecture et en écriture aux ressources MonitoringRule pour l'ensemble de l'organisation.
  • Lecteur de règles MonitoringRule PA : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringRule pour l'ensemble de l'organisation.
  • Créateur de PA MonitoringTarget : crée des ressources personnalisées MonitoringTarget pour l'ensemble de l'organisation.
  • Éditeur de PA MonitoringTarget : accès en lecture et en écriture aux ressources personnalisées MonitoringTarget pour l'ensemble de l'organisation.
  • Lecteur MonitoringTarget PA : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringTarget pour l'ensemble de l'organisation.
  • MP OCLCM Debugger : débogue les objets liés à OCLCM.
  • Lecteur MP OCLCM : permet d'afficher les objets liés à OCLCM.
  • Créateur de pipelines d'observabilité PA : crée des ressources ObservabilityPipeine personnalisées pour l'ensemble de l'organisation.
  • Éditeur de l'analyse du pipeline d'observabilité : dispose d'un accès en lecture et en écriture aux ressources personnalisées ObservabilityPipeine pour l'ensemble de l'organisation.
  • Lecteur ObservabilityPipeline PA : dispose d'un accès en lecture seule aux ressources personnalisées ObservabilityPipeline pour l'ensemble de l'organisation.
  • Administrateur de session de l'organisation : a accès à la commande de révocation. Les utilisateurs associés à ce Role sont ajoutés aux LCA pour l'authentification et l'autorisation.
  • Lecteur Grafana de l'organisation : visualisez les données d'observabilité liées à l'organisation dans les tableaux de bord de l'instance de surveillance Grafana.
  • Lecteur IAM de l'organisation : dispose d'un accès en lecture seule à toutes les ressources auxquelles l'administrateur IAM de l'organisation a accès.
  • Administrateur de la mise à niveau de l'organisation : modifie les intervalles de maintenance d'une organisation. Les périodes de maintenance sont créées automatiquement lors de la création de l'organisation.
  • Lecteur de la mise à niveau de l'organisation : affiche les intervalles de maintenance.
  • Administrateur des buckets de projet : gère les buckets à double zone d'un projet, ainsi que les objets qu'ils contiennent.
  • Administrateur des objets du bucket de projet : dispose d'un accès en lecture seule aux buckets à double zone d'un projet, ainsi que d'un accès en lecture et en écriture aux objets de ces buckets.
  • Lecteur des objets du bucket de projet : dispose d'un accès en lecture seule aux buckets à double zone d'un projet, ainsi qu'aux objets de ces buckets.
  • Créateur de projet : crée des projets.
  • Éditeur de projet : supprime les projets.
  • Créateur d'organisation d'exportation SIEM : crée des ressources personnalisées SIEMOrgForwarder.
  • Éditeur d'organisation pour l'exportation SIEM : dispose d'un accès en lecture et en écriture aux ressources personnalisées SIEMOrgForwarder.
  • Lecteur de l'organisation d'exportation SIEM : dispose d'un accès en lecture seule pour afficher les ressources personnalisées SIEMOrgForwarder.
  • Créateur de demandes Transfer Appliance : peut lire et créer des demandes Transfer Appliance, qui vous permettent de transférer rapidement et de manière sécurisée de grandes quantités de données vers l'appliance GDC isolée à l'aide d'un serveur de stockage haute capacité.
  • Administrateur de cluster d'utilisateur : crée, met à jour et supprime le cluster d'utilisateur, et gère son cycle de vie.
  • Lecteur de CRD de cluster d'utilisateur : accès en lecture seule aux définitions de ressources personnalisées (CRD) dans un cluster d'utilisateur.
  • Développeur de clusters d'utilisateur : dispose d'autorisations d'administrateur de cluster dans les clusters d'utilisateur.
  • Lecteur de nœuds de cluster d'utilisateur : dispose d'autorisations d'administrateur de cluster en lecture seule dans les clusters d'utilisateur.
  • Administrateur VPN : dispose d'autorisations en lecture et en écriture sur toutes les ressources liées au VPN.
  • Lecteur VPN : dispose d'autorisations de lecture sur toutes les ressources liées au VPN.

Rôles AO

Un opérateur d'application (AO) est un membre de l'équipe de développement au sein de l'organisation de l'administrateur de plate-forme (PA). Les AO interagissent avec les ressources au niveau du projet. Vous pouvez attribuer les rôles prédéfinis suivants aux membres de l'équipe :

  • Administrateur IAM de projets : gère les règles d'autorisation IAM des projets.
  • Développeur AI OCR : accédez au service de reconnaissance optique des caractères pour détecter le texte dans les images.
  • Développeur AI Speech : accédez au service Speech-to-Text pour reconnaître la voix et transcrire l'audio.
  • Développeur de traduction par IA : accédez au service Vertex AI Translation pour traduire du texte.
  • Administrateur de la gestion des artefacts : dispose d'un accès administrateur aux ressources de tous les projets Harbor de l'espace de noms du projet.
  • Éditeur de gestion des artefacts : dispose d'un accès en lecture et en écriture aux ressources de tous les projets Harbor dans l'espace de noms du projet.
  • Administrateur Certificate Authority Service : a accès à la gestion des autorités de certification et des demandes de certificat dans son projet.
  • Administrateur du service de certificats : a accès à la gestion des certificats et des émetteurs de certificats dans son projet.
  • Éditeur de tableaux de bord : dispose d'un accès en lecture et en écriture aux ressources personnalisées Dashboard.
  • Lecteur de tableaux de bord : dispose d'un accès en lecture seule aux ressources personnalisées Dashboard.
  • Administrateur d'instance Harbor : dispose d'un accès complet pour gérer les instances Harbor dans un projet.
  • Lecteur d'instances Harbor : dispose d'un accès en lecture seule pour afficher les instances Harbor dans un projet.
  • Créateur de projet Harbor : a accès à la gestion des projets d'instance Harbor.
  • Administrateur de règles de réseau K8s : gère les règles de réseau dans les clusters Kubernetes.
  • Créateur de LoggingRule : crée des ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Éditeur LoggingRule : modifie les ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Lecteur LoggingRule : affiche les ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Créateur LoggingTarget : crée des ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Éditeur LoggingTarget : modifie les ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Lecteur LoggingTarget : affiche les ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Administrateur d'équilibreur de charge : dispose d'autorisations en lecture et en écriture sur toutes les ressources d'équilibreur de charge dans l'espace de noms du projet.
  • Éditeur de MonitoringRule : dispose d'un accès en lecture et en écriture aux ressources MonitoringRule.
  • Lecteur MonitoringRule : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringRule.
  • Éditeur MonitoringTarget : dispose d'un accès en lecture et en écriture aux ressources personnalisées MonitoringTarget.
  • Lecteur MonitoringTarget : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringTarget.
  • Lecteur NAT : dispose d'un accès en lecture seule aux déploiements dans les clusters Kubernetes.
  • Administrateur de l'espace de noms : gère toutes les ressources de l'espace de noms du projet.
  • Éditeur ObservabilityPipeline : dispose d'un accès en lecture et en écriture aux ressources personnalisées ObservabilityPipeine.
  • Lecteur ObservabilityPipeline : dispose d'un accès en lecture seule aux ressources personnalisées ObservabilityPipeline.
  • Administrateur de bucket de projet : gère les buckets de stockage et les objets qu'ils contiennent.
  • Administrateur d'objets de bucket de projet : dispose d'un accès en lecture seule aux buckets d'un projet et d'un accès en lecture et en écriture aux objets de ces buckets.
  • Lecteur des objets de bucket du projet : dispose d'un accès en lecture seule aux buckets d'un projet et aux objets qu'ils contiennent.
  • Éditeur Alertmanager Project Cortex : accorde les autorisations permettant de modifier l'instance Alertmanager Cortex dans l'espace de noms du projet.
  • Lecteur Project Cortex Alertmanager : accorde les autorisations permettant d'accéder à l'instance Cortex Alertmanager dans l'espace de noms du projet.
  • Lecteur Prometheus Project Cortex : accorde les autorisations permettant d'accéder à l'instance Prometheus Cortex dans l'espace de noms du projet.
  • Lecteur Grafana du projet : accède à l'instance Grafana dans l'espace de noms du projet du cluster d'administrateur de parc.
  • Administrateur NetworkPolicy de projet : gère les règles réseau du projet dans l'espace de noms du projet.
  • Lecteur du projet : dispose d'un accès en lecture seule à toutes les ressources des espaces de noms du projet.
  • Administrateur VirtualMachine du projet : gère les VM dans l'espace de noms du projet.
  • Administrateur d'images de machines virtuelles du projet : gère les images de VM dans l'espace de noms du projet.
  • Administrateur Secret : gère les secrets Kubernetes dans les projets.
  • Lecteur de secrets : permet d'afficher les secrets Kubernetes dans les projets.
  • Administrateur de la configuration du service : dispose d'un accès en lecture et en écriture aux configurations de service dans un espace de noms de projet.
  • Lecteur de configuration de service : dispose d'un accès en lecture aux configurations de service dans un espace de noms de projet.
  • Administrateur de la réplication de volumes : gère les ressources de réplication de volumes.
  • Administrateur de notebooks Workbench : accès en lecture et en écriture à toutes les ressources de notebook dans un espace de noms de projet.
  • Lecteur de notebooks Workbench : obtenez un accès en lecture seule à toutes les ressources de notebook dans un espace de noms de projet et affichez l'interface utilisateur Vertex AI Workbench.
  • Lecteur de charges de travail : dispose d'un accès en lecture aux charges de travail d'un projet.

Rôles courants

Les rôles communs prédéfinis suivants s'appliquent à tous les utilisateurs authentifiés :

  • Lecteur AI Platform : accorde l'autorisation d'afficher les services pré-entraînés.
  • DNS Suffix Viewer (Afficheur de suffixe DNS) : accède à la carte de configuration du suffixe du service de nom de domaine (DNS).
  • Administrateur des journaux de flux : dispose d'un accès en lecture et en écriture à toutes les ressources des journaux de flux.
  • Lecteur de journaux de flux : dispose d'un accès en lecture seule à toutes les ressources de journaux de flux.
  • Lecteur de découverte de projet : permet à tous les utilisateurs authentifiés d'accéder en lecture à la vue du projet.
  • Lecteur d'images publiques : dispose d'un accès en lecture pour tous les utilisateurs authentifiés sur les images de VM publiques dans l'espace de noms vm-images.
  • Surveillance du secret anthos-creds System Artifact Registry : dispose d'un accès en lecture seule aux secrets de l'espace de noms anthos-creds.
  • Surveillance du secret système Artifact Registry gpc-system : dispose d'un accès en lecture seule aux secrets de l'espace de noms gpc-system.
  • Surveillance du secret harbor-system System Artifact Registry : dispose d'un accès en lecture seule aux secrets de l'espace de noms harbor-system.
  • Lecteur de types de machines virtuelles : dispose d'un accès en lecture aux types de machines virtuelles à portée de cluster.
  • Lecteur de types de VM : dispose d'un accès en lecture aux types de machines virtuelles prédéfinis sur les clusters d'administrateur.