事前定義ロールの説明

Google Distributed Cloud(GDC)エアギャップ アプライアンスには、チームメンバーに割り当てることができる次の事前定義ロールがあります。

IO ロール

IO には、クラスタと組織のライフサイクルを管理する権限があります。チームメンバーに割り当てることができる事前定義ロールは次のとおりです。

  • セキュリティ管理者: 組織インフラストラクチャ クラスタ内の権限とポリシーを作成、更新、削除します。このロールには、組織とプロジェクトのリソースへのアクセス権がありません。
  • APPLSTOR デバッガ: アプライアンス ストレージのデバッグにアクセスします。
  • APPLSTOR モニター: アプライアンス ストレージをモニタリングするためのアクセス権。
  • APPLSTOR シークレット ローテータ: アプライアンス ストレージ シークレットをローテーションする権限。
  • AuditLoggingTarget Creator: 組織インフラストラクチャ クラスタに AuditLoggingTarget カスタム リソースを作成します。
  • AuditLoggingTarget エディタ: 組織インフラストラクチャ クラスタ内の AuditLoggingTarget カスタム リソースを編集します。
  • AuditLoggingTarget 閲覧者: 組織のインフラストラクチャ クラスタ内の AuditLoggingTarget カスタム リソースを表示します。
  • AuditLoggingTarget IO 作成者: プロジェクト Namespace に AuditLoggingTarget カスタム リソースを作成します。
  • AuditLoggingTarget IO 編集者: プロジェクト Namespace の AuditLoggingTarget カスタム リソースを編集します。
  • AuditLoggingTarget IO 閲覧者: プロジェクト Namespace の AuditLoggingTarget カスタム リソースを表示します。
  • 監査ログ バックアップ復元作成者: バックアップ転送ジョブ構成を作成し、監査ログを復元します。
  • 監査ログ バックアップ復元エディタ: バックアップ転送ジョブの構成を編集し、監査ログを復元します。
  • 監査ログ インフラストラクチャ バケット閲覧者: インフラストラクチャ監査ログのバックアップ バケットを表示します。
  • AIS 管理者: GKE Identity Service(AIS)の Pod と Deployment に対する読み取り / 書き込みアクセス権があります。
  • AIS デバッガ: 軽減策のために AIS リソースに対する読み取り / 書き込みアクセス権があります。
  • AIS モニター: iam-system Namespace の AIS リソースに対する読み取りアクセス権があります。
  • AuthzPDP デバッガ: 緩和とデバッグのために、認可ポリシーの決定ポイント(PDP)リソースに対する読み取り / 書き込みアクセス権があります。
  • Cert Manager System Cluster Debugger: cert-manager 関連のリソースを管理します。
  • Dashboard Creator: 組織インフラストラクチャ クラスタに Dashboard カスタム リソースを作成します。
  • Dashboard Editor: 組織インフラストラクチャ クラスタの Dashboard カスタム リソースを編集します。
  • ダッシュボード閲覧者: 組織インフラストラクチャ クラスタの Dashboard カスタム リソースを表示します。
  • Dashboard IO Creator: プロジェクト Namespace に Dashboard カスタム リソースを作成します。
  • Dashboard IO Editor: プロジェクト Namespace の Dashboard カスタム リソースを編集します。
  • Dashboard IO Viewer: プロジェクト Namespace の Dashboard カスタム リソースを表示します。
  • AuditLoggingTarget カスタム リソースのデバッグ: obs-system Namespace でモニタリングします。
  • DNS 管理者: DNS ファイルを更新します。
  • DNS デバッガ: すべての DNS リソースに対する読み取り / 書き込み権限があります。
  • DNS モニター: すべての DNS リソースに対する読み取り権限があります。
  • DNS Suffix Viewer: DNS サフィックスの ConfigMap を表示します。
  • 緊急 SSH 認証情報管理者: 緊急アクセス権限を持ち、組織インフラストラクチャ クラスタの SSH ノードを使用します。
  • FluentBit 作成者: 組織のインフラストラクチャ クラスタに FluentBit カスタム リソースを作成します。
  • FluentBit エディタ: 組織のインフラストラクチャ クラスタで FluentBit カスタム リソースを編集します。
  • FluentBit 閲覧者: 組織インフラストラクチャ クラスタの FluentBit カスタム リソースを表示します。
  • FluentBit IO 作成者: プロジェクト Namespace に FluentBit カスタム リソースを作成します。
  • FluentBit IO エディタ: プロジェクトの Namespace で FluentBit カスタム リソースを編集します。
  • FluentBit IO Viewer: プロジェクト Namespace の FluentBit カスタム リソースを表示します。
  • Gatekeeper 管理者: デプロイを再起動してシークレットにパッチを適用する権限があります。
  • Grafana Debugger: obs-system Namespace の Grafana リソースに対する管理者アクセス権を付与します。
  • Grafana 閲覧者: 組織インフラストラクチャ クラスタのシステム Namespace の Grafana インスタンスにアクセスする権限を付与します。
  • ハードウェア管理者: スイッチ、ラック、サーバーなどのハードウェア リソースに対する完全アクセス権を持ちます。
  • HDWR 管理者: ハードウェア関連のリソースに対する完全アクセス権を持ちます。
  • HWDR 閲覧者: ハードウェア関連リソースに対する読み取り専用アクセス権があります。
  • Infra PKI Debugger: インフラストラクチャ PKI 証明書発行者と認証局を構成する権限があります。
  • Interconnect 管理者: Interconnect リソースに対する管理者権限があります。
  • Kiali 管理者: Istio サービス メッシュをデバッグするために Kiali ダッシュボードにアクセスする権限を付与します。
  • KUB IPAM Debugger: CIDRClaim カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • KUB Monitor: KUB のすべてのリソースに対する読み取り専用権限があります。
  • LogCollector Creator: 組織のインフラストラクチャ クラスタに LogCollector カスタム リソースを作成します。
  • LogCollector 編集者: 組織のインフラストラクチャ クラスタで LogCollector カスタム リソースを編集します。
  • LogCollector 閲覧者: 組織のインフラストラクチャ クラスタで LogCollector カスタム リソースを表示します。
  • LogCollector IO Creator: プロジェクトの Namespace に LogCollector カスタム リソースを作成します。
  • LogCollector IO 編集者: プロジェクト Namespace の LogCollector カスタム リソースを編集します。
  • LogCollector IO 閲覧者: プロジェクト Namespace の LogCollector カスタム リソースを表示します。
  • LoggingRule Creator: 組織のインフラストラクチャ クラスタに LoggingRule カスタム リソースを作成します。
  • LoggingRule エディタ: 組織のインフラストラクチャ クラスタで LoggingRule カスタム リソースを編集します。
  • LoggingRule 閲覧者: 組織インフラストラクチャ クラスタの LoggingRule カスタム リソースを表示します。
  • LoggingRule IO 作成者: プロジェクト Namespace に LoggingRule カスタム リソースを作成します。
  • LoggingRule IO エディタ: プロジェクト Namespace の LoggingRule カスタム リソースを編集します。
  • LoggingRule IO 閲覧者: プロジェクト Namespace の LoggingRule カスタム リソースを表示します。
  • LoggingTarget IO 作成者: プロジェクト Namespace に LoggingTarget カスタム リソースを作成します。
  • LoggingTarget IO 編集者: プロジェクト Namespace の LoggingTarget カスタム リソースを編集します。
  • LoggingTarget IO 閲覧者: プロジェクト Namespace の LoggingTarget カスタム リソースを表示します。
  • ログクエリ API のクエリ実行者: ログをクエリするためにログクエリ API にアクセスします。
  • MonitoringRule 作成者: 組織のインフラストラクチャ クラスタに MonitoringRule カスタム リソースを作成します。
  • MonitoringRule エディタ: 組織のインフラストラクチャ クラスタで MonitoringRule カスタム リソースを編集します。
  • MonitoringRule 閲覧者: 組織インフラストラクチャ クラスタ内の MonitoringRule カスタム リソースを表示します。
  • MonitoringRule IO 作成者: プロジェクト Namespace に MonitoringRule カスタム リソースを作成します。
  • MonitoringRule IO 編集者: プロジェクト Namespace の MonitoringRule カスタム リソースを編集します。
  • MonitoringRule IO Viewer: プロジェクト Namespace の MonitoringRule カスタム リソースを表示します。
  • MonitoringTarget Creator: 組織インフラストラクチャ クラスタに MonitoringTarget カスタム リソースを作成します。
  • MonitoringTarget 編集者: 組織のインフラストラクチャ クラスタで MonitoringTarget カスタム リソースを編集します。
  • MonitoringTarget 閲覧者: 組織のインフラストラクチャ クラスタで MonitoringTarget カスタム リソースを表示します。
  • MonitoringTarget IO 作成者: プロジェクト Namespace に MonitoringTarget カスタム リソースを作成します。
  • MonitoringTarget IO 編集者: プロジェクト Namespace の MonitoringTarget カスタム リソースを編集します。
  • MonitoringTarget IO 閲覧者: プロジェクト Namespace の MonitoringTarget カスタム リソースを表示します。
  • オブザーバビリティ管理者: obs-system Namespace 内のオブジェクトに対する読み取り / 書き込みアクセス権があります。
  • オブザーバビリティ管理者デバッガ: obs-system Namespace のオブザーバビリティ リソースに対するクラスタ固有の管理者アクセス権があります。このロールは、組織インフラストラクチャ クラスタ内のアクセスに対するきめ細かい制御を付与します。
  • オブザーバビリティ デバッガ: obs-system Namespace のオブザーバビリティ リソースに対する完全アクセス権があります。
  • ObservabilityPipeline 作成者: 組織のインフラストラクチャ クラスタに ObservabilityPipeline カスタム リソースを作成します。
  • ObservabilityPipeline エディタ: 組織インフラストラクチャ クラスタで ObservabilityPipeline カスタム リソースを編集します。
  • ObservabilityPipeline 閲覧者: 組織インフラストラクチャ クラスタの ObservabilityPipeline カスタム リソースを表示します。
  • ObservabilityPipeline IO 作成者: プロジェクト Namespace に ObservabilityPipeline カスタム リソースを作成します。
  • ObservabilityPipeline IO 編集者: プロジェクト Namespace の ObservabilityPipeline カスタム リソースを編集します。
  • ObservabilityPipeline IO 閲覧者: プロジェクトの Namespace で ObservabilityPipeline カスタム リソースを表示します。
  • オブザーバビリティ システム デバッガ: obs-system Namespace のオブザーバビリティ リソースに対する組織全体の管理者アクセス権があります。このロールは、オブザーバビリティ管理者のアクセス権の一元管理を許可します。
  • オブザーバビリティ閲覧者: obs-system Namespace 内のオブジェクトを表示するための読み取り専用アクセス権があります。
  • OCLCM Debugger: OCLCM オブジェクトのデバッグに対する読み取りおよび書き込みアクセス権があります。
  • OCLCM 閲覧者: OCLCM オブジェクトを表示するための読み取り専用アクセス権があります。
  • 組織管理者: 組織の作成と削除を行い、組織のライフサイクルを管理します。
  • 組織システム アーティファクト管理管理者: システム Namespace のすべての Harbor プロジェクトのリソースに対する管理者権限があります。
  • PERF 管理者モニター: PERF バケット、サービス アカウント、シークレットに対する読み取り権限があります。
  • PERF 管理リソースのメンテナンス担当者: すべての仮想マシン(VM)、VM ディスク、VM 外部アクセス、VM リクエスト、バケット、プロジェクト サービス アカウント、AEAD 鍵、署名鍵、PERF サービス アカウントに対する読み取り / 書き込みアクセス権があります。
  • PERF Debugger: プロジェクト Namespace のジョブに対する読み取り / 書き込みアクセス権があります。
  • PERF システム モニター: プロジェクト Namespace 内のすべての Pod、PERF ConfigMap、Cron ジョブに対する読み取り専用アクセス権を持ちます。
  • PERF システム リソースのメンテナー: プロジェクト Namespace 内のすべてのサービスに対する読み取り / 書き込みアクセス権があります。
  • PNET デバッガ: すべての PNET リソースに対する読み取り / 書き込み権限を持ちます。
  • PNET モニター: すべての PNET リソースに対する読み取り専用権限があります。
  • PNET Secret Debugger: ネットワーク スイッチの認証情報にアクセスできます。
  • PSPF デバッガ: プロジェクト Namespace のジョブに対する読み取り / 書き込み権限があります。
  • PSPF モニター: PSPF リソースをモニタリングします。
  • ポリシー管理者: 組織のポリシー テンプレートを管理し、制約へのフルアクセス権を持ちます。
  • Project Cortex Alertmanager Editor: プロジェクト Namespace の Cortex Alertmanager インスタンスを編集します。
  • Project Cortex Alertmanager Viewer: プロジェクト Namespace の Cortex Alertmanager インスタンスを表示します。
  • Project Cortex Prometheus Viewer: プロジェクト Namespace で Cortex Prometheus インスタンスを表示します。
  • プロジェクトの Grafana 閲覧者: プロジェクトの Namespace で Grafana インスタンスを表示します。
  • リモート ロガー管理者: remote-logger リソースに対する完全アクセス権を持ちます。
  • リモート ロガー閲覧者: remote-logger リソースに対する読み取り専用アクセス権があります。
  • Root Cortex Alertmanager Editor: 組織のインフラストラクチャ クラスタで Cortex Alertmanager インスタンスを編集する権限を付与します。
  • Root Cortex Alertmanager 閲覧者: 組織のインフラストラクチャ クラスタの Cortex Alertmanager インスタンスにアクセスする権限を付与します。
  • Root Cortex Prometheus 閲覧者: 組織インフラストラクチャ クラスタの Cortex Prometheus インスタンスにアクセスする権限を付与します。
  • ルート セッション管理者: 組織のインフラストラクチャ クラスタで取り消しオペレーションを実行するアクセス権を付与します。
  • セキュリティ閲覧者: セキュリティ管理者がアクセスできるすべてのリソースに対する読み取り専用アクセス権を持ちます。
  • SSH Infra Debugger: SSH インフラストラクチャ シークレットに対する読み取り / 書き込み権限があります。
  • システム アーティファクト管理管理者: システム Namespace のすべての Harbor プロジェクトのリソースに対する管理者権限があります。
  • システム アーティファクト管理シークレット管理者: シークレット リソースに対する管理者アクセス権を持ち、レジストリ ミラー構成を管理します。
  • システム Artifact Registry Harbor 管理者: Harbor プロジェクトに対する管理者権限があります。
  • System Artifact Registry Harbor Read: Harbor プロジェクトに対する読み取り専用アクセス権を持ちます。
  • システム Artifact Registry Harbor ReadWrite: Harbor プロジェクトに対する読み取り / 書き込みアクセス権があります。
  • システム Artifact Registry デバッガ: すべての Harbor リソースに対する読み取り / 書き込みアクセス権があります。
  • システム Artifact Registry モニター: 組織のインフラストラクチャ クラスタ内の Harbor リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • システム クラスタ管理者: 組織のインフラストラクチャ クラスタ内の権限とポリシーに対する読み取り / 書き込みアクセス権を持ちます。このロールは組織レベルでアクセスできます。
  • システム クラスタ DNS デバッガ: 組織インフラストラクチャ クラスタ内の任意の権限に対する作成と読み取りのアクセス権があります。
  • システム クラスタ Vertex AI デバッガ: Vertex AI プラットフォームへのフルアクセス権があります。
  • システム クラスタ閲覧者: 組織のインフラストラクチャ クラスタ内のすべての権限とポリシーに対する読み取り / 書き込みアクセス権があります。
  • システム プロジェクトの VirtualMachine 管理者: システム プロジェクトの VM を管理する権限があります。
  • Tenable Nessus 管理者: Tenable.sc アプリケーションと Nessus アプリケーションを管理するネットワーキング コンポーネントに対する読み取り / 書き込みアクセス権があります。
  • Transfer Appliance Request Admin: プラットフォーム管理者(PA)が作成した Transfer Appliance リクエストを管理します。転送アプライアンスを使用すると、大容量ストレージ サーバーを使用して、大量のデータを迅速かつ安全に GDC のエアギャップ アプライアンスに転送できます。
  • 信頼バンドル ルート モニター: 信頼バンドルに対する読み取りアクセス権があります。
  • UNET CLI 組織管理者モニター: UNET リソースに対する作成権限と読み取り権限を持ち、組織インフラストラクチャ クラスタで gdcloud system network コマンドを実行します。
  • UNET CLI Root Admin Monitor: UNET リソースに対する作成権限と読み取り権限を持ち、組織のインフラストラクチャ クラスタで gdcloud system network コマンドを実行します。
  • UNET CLI システム モニター: UNET リソースに対する作成権限と読み取り権限を持ち、組織のインフラストラクチャ クラスタで gdcloud system network コマンドを実行します。
  • UNET CLI ユーザー モニター: ユーザー クラスタで gdcloud system network コマンドを実行する UNET リソースに対する権限があります。
  • Upgrade Appliance Admin: アプライアンスのアップグレードを実行するための読み取り / 書き込み権限、組織へのアクセス権、OrganizationUpgrade への読み取り専用アクセス権を持ちます。
  • Debugger をアップグレードする: 組織インフラストラクチャ クラスタのアップグレード リソースに対する読み取り / 書き込み権限があります。
  • ユーザー クラスタ デバッガ: ユーザー クラスタの問題をデバッグして軽減するための完全なアクセス権があります。
  • ユーザー クラスタ DNS デバッガ: ユーザー クラスタで作成権限と読み取り権限を持ちます。
  • UI Debugger: UI デプロイを再起動する権限があります。
  • VAISEARCH Secret Rotator: Vertex AI Search のシークレットをローテーションする権限があります。
  • VPN Debugger For Management Plane API server: Management API サーバーの VPN に関連するすべてのリソースに対する読み取り / 書き込み権限があります。
  • VPN Debugger For Org Perimeter Cluster: Perimeter Cluster 内の VPN に関連するすべてのリソースに対する読み取り / 書き込み権限を持ちます。
  • Web TLS 証明書デバッガ: Istio web-tls 証明書とシークレットに対する読み取り / 書き込みアクセス権があります。

PA のロール

プラットフォーム管理者(PA)は、組織レベルのリソースとプロジェクトのライフサイクル管理を管理します。チームメンバーには、次の事前定義ロールを割り当てることができます。

  • 組織の IAM 管理者: 組織内の権限と許可ポリシーを作成、更新、削除します。
  • AI Platform 管理者: 事前トレーニング済みサービスを管理する権限を付与します。
  • 監査ログ プラットフォーム復元バケット作成者: プラットフォーム監査ログを復元するためのバックアップ バケットを作成します。
  • 監査ログ プラットフォーム バケット閲覧者: プラットフォーム監査ログのバックアップ バケットを表示します。
  • バケット管理者: 組織とプロジェクト内のストレージ バケットと、それらのバケット内のオブジェクトを管理します。
  • バケット管理者(グローバル): 組織とプロジェクト内の単一ゾーン バケットと、それらのバケット内のオブジェクトを管理します。
  • バケット オブジェクト管理者: 組織内のバケットに対する読み取り専用アクセス権と、これらのバケット内のオブジェクトに対する読み取り / 書き込みアクセス権を持ちます。
  • バケット オブジェクト管理者(グローバル): 組織とそのプロジェクト内のデュアルゾーン バケットに対する読み取り専用権限と、それらのバケット内のオブジェクトに対する読み取り / 書き込み権限を持ちます。
  • バケット オブジェクト閲覧者: 組織内のバケットとそれらのバケット内のオブジェクトに対する読み取り専用アクセス権があります。
  • バケット オブジェクト閲覧者(グローバル): 組織とそのプロジェクト内のデュアルゾーン バケットに対する読み取り専用アクセス権と、それらのバケット内のオブジェクトに対する読み取り専用アクセス権を持ちます。
  • Dashboard PA Creator: 組織全体に対して Dashboard カスタム リソースを作成します。
  • Dashboard PA Editor: 組織全体の Dashboard カスタム リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • Dashboard PA Viewer: 組織全体の Dashboard カスタム リソースに対する読み取り専用アクセス権を持ちます。
  • フローログ管理者: ネットワーク トラフィック メタデータのロギング用のフローログ リソースを管理します。
  • フローログ閲覧者: フローログ構成に対する読み取り専用アクセス権を付与します。
  • GDCH Restrict By Attributes Policy Admin: GDCHRestrictByAttributes 制約に対する完全なアクセス権があります。
  • GDCH 制限付きサービス ポリシー管理者: 組織のポリシー テンプレートを管理し、制約に対する完全なアクセス権を持ちます。組織またはプロジェクトのポリシーを適用またはロールバックします。
  • IdP 連携管理者: ID プロバイダを構成するための完全アクセス権があります。
  • Infra PKI 管理者: インフラストラクチャ PKI 証明書発行者と認証局を構成する権限があります。
  • Interconnect 管理者: Interconnect リソースに対する管理者権限があります。
  • ログクエリ API クエリ実行者: ログクエリ API から監査ログまたはオペレーション ログのエンドポイントにアクセスして、プロジェクトのログを表示する読み取り専用権限があります。
  • LoggingRule PA Creator: 組織全体に対して LoggingRule カスタム リソースを作成します。
  • LoggingRule PA 編集者: 組織全体の LoggingRule カスタム リソースを編集します。
  • LoggingRule PA 閲覧者: 組織全体の LoggingRule カスタム リソースを表示します。
  • LoggingTarget PA Creator: 組織全体に対して LoggingTarget カスタム リソースを作成します。
  • LoggingTarget PA 編集者: 組織全体の LoggingTarget カスタム リソースを編集します。
  • LoggingTarget PA 閲覧者: 組織全体の LoggingTarget カスタム リソースを表示します。
  • MonitoringRule PA 作成者: 組織全体に対して MonitoringRule カスタム リソースを作成します。
  • MonitoringRule PA 編集者: 組織全体の MonitoringRule リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • MonitoringRule PA 閲覧者: 組織全体の MonitoringRule カスタム リソースに対する読み取り専用アクセス権があります。
  • MonitoringTarget PA 作成者: 組織全体の MonitoringTarget カスタム リソースを作成します。
  • MonitoringTarget PA 編集者: 組織全体の MonitoringTarget カスタム リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • MonitoringTarget PA 閲覧者: 組織全体の MonitoringTarget カスタム リソースに対する読み取り専用アクセス権があります。
  • MP OCLCM Debugger: OCLCM 関連オブジェクトをデバッグします。
  • MP OCLCM Viewer: OCLCM 関連オブジェクトを表示します。
  • ObservabilityPipeline PA Creator: 組織全体に対して ObservabilityPipeine カスタム リソースを作成します。
  • ObservabilityPipeline PA 編集者: 組織全体の ObservabilityPipeine カスタム リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • ObservabilityPipeline PA 閲覧者: 組織全体の ObservabilityPipeline カスタム リソースに対する読み取り専用アクセス権を持ちます。
  • 組織セッション管理者: 取り消しコマンドにアクセスできます。この Role にバインドされたユーザーは、認証と認可の ACL に追加されます。
  • 組織の Grafana 閲覧者: Grafana モニタリング インスタンスのダッシュボードで、組織関連のオブザーバビリティ データを可視化します。
  • 組織の IAM 閲覧者: 組織の IAM 管理者がアクセスできるすべてのリソースに対する読み取り専用アクセス権を持ちます。
  • 組織アップグレード管理者: 組織のメンテナンスの時間枠を変更します。メンテナンスの時間枠は、組織の作成時に自動的に作成されます。
  • 組織アップグレード閲覧者: メンテナンスの時間枠を表示します。
  • プロジェクト バケット管理者: プロジェクトのデュアルゾーン バケットと、それらのバケット内のオブジェクトを管理します。
  • プロジェクト バケット オブジェクト管理者: プロジェクト内のデュアルゾーン バケットに対する読み取り専用権限と、それらのバケット内のオブジェクトに対する読み取り / 書き込み権限があります。
  • プロジェクト バケット オブジェクト閲覧者: プロジェクト内のデュアルゾーン バケットに対する読み取り専用権限と、それらのバケット内のオブジェクトに対する読み取り専用権限があります。
  • プロジェクト作成者: 新しいプロジェクトを作成します。
  • プロジェクト編集者: プロジェクトを削除します。
  • SIEM エクスポート組織の作成者: SIEMOrgForwarder カスタム リソースを作成します。
  • SIEM エクスポート組織編集者: SIEMOrgForwarder カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • SIEM Export Org Viewer: SIEMOrgForwarder カスタム リソースを表示するための読み取り専用アクセス権を持ちます。
  • Transfer Appliance リクエスト作成者: 大容量ストレージ サーバーを使用して、大量のデータを GDC のエアギャップ アプライアンスに迅速かつ安全に転送できる転送アプライアンス リクエストを読み取り、作成できます。
  • ユーザー クラスタ管理者: ユーザー クラスタの作成、更新、削除を行い、ユーザー クラスタのライフサイクルを管理します。
  • ユーザー クラスタ CRD ビューア: ユーザー クラスタ内のカスタム リソース定義(CRD)への読み取り専用アクセス。
  • ユーザー クラスタ デベロッパー: ユーザー クラスタでクラスタ管理者の権限を持ちます。
  • ユーザー クラスタ ノード閲覧者: ユーザー クラスタで読み取り専用のクラスタ管理者権限を持ちます。
  • VPN 管理者: VPN 関連のすべてのリソースに対する読み取り / 書き込み権限を持ちます。
  • VPN 閲覧者: VPN 関連のすべてのリソースに対する読み取り権限があります。

AO のロール

アプリケーション オペレータ(AO)は、プラットフォーム管理者(PA)組織内の開発チームのメンバーです。AO はプロジェクト レベルのリソースとやり取りします。チームメンバーには、次の事前定義ロールを割り当てることができます。

  • プロジェクト IAM 管理者: プロジェクトの IAM 許可ポリシーを管理します。
  • AI OCR デベロッパー: 光学式文字認識サービスにアクセスして、画像内のテキストを検出します。
  • AI Speech Developer: Speech-to-Text サービスにアクセスして、音声を認識し、音声を文字に変換します。
  • AI Translation デベロッパー: Vertex AI Translation サービスにアクセスしてテキストを翻訳します。
  • Artifact Management Admin: プロジェクト Namespace 内のすべての Harbor プロジェクトのリソースに対する管理者権限があります。
  • Artifact Management Editor: プロジェクト Namespace 内のすべての Harbor プロジェクトのリソースに対する読み取り / 書き込みアクセス権を持ちます。
  • Certificate Authority Service 管理者: プロジェクト内の認証局と証明書リクエストを管理する権限があります。
  • Certificate Service 管理者: プロジェクト内の証明書と証明書発行者を管理する権限があります。
  • ダッシュボード編集者: Dashboard カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • ダッシュボード閲覧者: Dashboard カスタム リソースに対する読み取り専用アクセス権があります。
  • Harbor インスタンス管理者: プロジェクト内の Harbor インスタンスを管理するための完全なアクセス権を持ちます。
  • Harbor インスタンス閲覧者: プロジェクト内の Harbor インスタンスを表示する読み取り専用アクセス権があります。
  • Harbor プロジェクト作成者: Harbor インスタンス プロジェクトを管理する権限があります。
  • K8s ネットワーク ポリシー管理者: Kubernetes クラスタのネットワーク ポリシーを管理します。
  • LoggingRule 作成者: プロジェクト Namespace に LoggingRule カスタム リソースを作成します。
  • LoggingRule エディタ: プロジェクト Namespace の LoggingRule カスタム リソースを編集します。
  • LoggingRule 閲覧者: プロジェクト Namespace の LoggingRule カスタム リソースを表示します。
  • LoggingTarget Creator: プロジェクト Namespace に LoggingTarget カスタム リソースを作成します。
  • LoggingTarget エディタ: プロジェクト Namespace の LoggingTarget カスタム リソースを編集します。
  • LoggingTarget 閲覧者: プロジェクト Namespace の LoggingTarget カスタム リソースを表示します。
  • ロードバランサ管理者: プロジェクト Namespace 内のすべてのロードバランサ リソースに対する読み取り / 書き込み権限を持ちます。
  • MonitoringRule 編集者: MonitoringRule リソースに対する読み取り / 書き込みアクセス権があります。
  • MonitoringRule 閲覧者: MonitoringRule カスタム リソースに対する読み取り専用アクセス権があります。
  • MonitoringTarget 編集者: MonitoringTarget カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • MonitoringTarget 閲覧者: MonitoringTarget カスタム リソースに対する読み取り専用アクセス権があります。
  • NAT 閲覧者: Kubernetes クラスタのデプロイに対する読み取り専用アクセス権があります。
  • Namespace 管理者: プロジェクト Namespace 内のすべてのリソースを管理します。
  • ObservabilityPipeline 編集者: ObservabilityPipeine カスタム リソースに対する読み取り / 書き込みアクセス権があります。
  • ObservabilityPipeline 閲覧者: ObservabilityPipeline カスタム リソースに対する読み取り専用アクセス権があります。
  • プロジェクト バケット管理者: バケット内のストレージ バケットとオブジェクトを管理します。
  • プロジェクト バケット オブジェクト管理者: プロジェクト内のバケットに対する読み取り専用アクセス権と、それらのバケット内のオブジェクトに対する読み取り / 書き込みアクセス権があります。
  • プロジェクト バケット オブジェクト閲覧者: プロジェクト内のバケットと、そのバケット内のオブジェクトに対する読み取り専用アクセス権があります。
  • Project Cortex Alertmanager Editor: プロジェクト Namespace の Cortex Alertmanager インスタンスを編集する権限を付与します。
  • Project Cortex Alertmanager Viewer: プロジェクト Namespace の Cortex Alertmanager インスタンスにアクセスする権限を付与します。
  • Project Cortex Prometheus Viewer: プロジェクト Namespace の Cortex Prometheus インスタンスにアクセスする権限を付与します。
  • プロジェクト Grafana 閲覧者: フリート管理クラスタのプロジェクト Namespace の Grafana インスタンスにアクセスします。
  • プロジェクト NetworkPolicy 管理者: プロジェクト Namespace のプロジェクト ネットワーク ポリシーを管理します。
  • プロジェクト閲覧者: プロジェクト Namespace 内のすべてのリソースに対する読み取り専用アクセス権を持ちます。
  • プロジェクト VirtualMachine 管理者: プロジェクト名前空間の VM を管理します。
  • プロジェクト VirtualMachine Image 管理者: プロジェクト Namespace の VM イメージを管理します。
  • Secret 管理者: プロジェクト内の Kubernetes Secret を管理します。
  • Secret 閲覧者: プロジェクト内の Kubernetes Secret を表示します。
  • サービス構成管理者: プロジェクト Namespace 内のサービス構成に対する読み取り / 書き込みアクセス権があります。
  • サービス構成閲覧者: プロジェクト Namespace 内のサービス構成に対する読み取りアクセス権があります。
  • ボリューム レプリケーション管理者: ボリューム レプリケーション リソースを管理します。
  • Workbench Notebooks 管理者: プロジェクト Namespace 内のすべてのノートブック リソースに対する読み取り / 書き込みアクセス権を取得します。
  • Workbench Notebooks 閲覧者: プロジェクト Namespace 内のすべてのノートブック リソースへの読み取り専用アクセス権を取得し、Vertex AI Workbench ユーザー インターフェースを表示します。
  • ワークロード閲覧者: プロジェクト内のワークロードに対する読み取りアクセス権があります。

一般的なロール

次の事前定義された共通ロールは、すべての認証済みユーザーに適用されます。

  • AI Platform 閲覧者: 事前トレーニング済みサービスを表示する権限を付与します。
  • DNS サフィックス ビューア: ドメイン ネーム サービス(DNS)サフィックス構成マップにアクセスします。
  • フローログ管理者: すべてのフローログ リソースに対する読み取り / 書き込みアクセス権を持ちます。
  • フローログ閲覧者: すべてのフローログ リソースに対する読み取り専用アクセス権があります。
  • プロジェクト検出閲覧者: 認証されたすべてのユーザーにプロジェクト ビューへの読み取りアクセス権を付与します。
  • 公開イメージ閲覧者: Namespace vm-images の公開 VM イメージに対するすべての認証済みユーザーの読み取りアクセス権があります。
  • システム Artifact Registry anthos-creds シークレット モニター: anthos-creds Namespace のシークレットに対する読み取り専用アクセス権を持ちます。
  • システム Artifact Registry gpc-system シークレット モニター: gpc-system Namespace のシークレットに対する読み取り専用アクセス権を持ちます。
  • システム Artifact Registry harbor-system Secret モニター: harbor-system Namespace の Secret への読み取り専用アクセス権があります。
  • 仮想マシンタイプの閲覧者: クラスタ スコープの仮想マシンタイプに対する読み取りアクセス権があります。
  • VM タイプ閲覧者: 管理クラスタの事前定義された仮想マシンタイプに対する読み取りアクセス権があります。