预定义角色说明

Google Distributed Cloud (GDC) 空气隔离设备具有以下预定义角色,您可以将这些角色分配给团队成员:

IO 角色

IO 有权管理集群和组织的生命周期。您可以向团队成员分配以下预定义角色:

  • 安全管理员:在组织基础架构集群中创建、更新和删除任何权限和政策。此角色无权访问组织和项目资源。
  • APPLSTOR 调试器:用于访问调试设备存储空间。
  • APPLSTOR 监控器:用于访问监控设备存储空间。
  • APPLSTOR secret rotator:用于轮替设备存储密钥的访问权限。
  • AuditLoggingTarget 创建者:在组织基础架构集群中创建 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget 编辑器:在组织基础架构集群中修改 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget Viewer:查看组织基础架构集群中的 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget IO Creator:在项目命名空间中创建 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget IO Editor:在项目命名空间中修改 AuditLoggingTarget 自定义资源。
  • AuditLoggingTarget IO Viewer:查看项目命名空间中的 AuditLoggingTarget 自定义资源。
  • 审核日志备份恢复创建者:创建备份转移作业配置并恢复审核日志。
  • 审核日志备份恢复编辑器:修改备份转移作业配置并恢复审核日志。
  • 审核日志基础架构存储分区查看者:查看基础架构审核日志的备份存储分区。
  • AIS Admin:对 GKE Identity Service (AIS) Pod 和部署具有读写访问权限。
  • AIS 调试器:拥有对 AIS 资源的读写权限,可用于缓解问题。
  • AIS 监控器:拥有对 iam-system 命名空间中 AIS 资源的读取权限。
  • AuthzPDP 调试器:拥有对授权政策决策点 (PDP) 资源的读写权限,可用于缓解和调试。
  • Cert Manager 系统集群调试器:管理与 cert-manager 相关的资源。
  • 信息中心创建者:在组织基础架构集群中创建 Dashboard 自定义资源。
  • 信息中心编辑器:在组织基础架构集群中修改 Dashboard 自定义资源。
  • Dashboard Viewer:查看组织基础架构集群中的 Dashboard 自定义资源。
  • 信息中心 IO 创建者:在项目命名空间中创建 Dashboard 自定义资源。
  • 信息中心 IO 编辑器:修改项目命名空间中的 Dashboard 自定义资源。
  • 信息中心 IO 查看器:查看项目命名空间中的 Dashboard 自定义资源。
  • 调试 AuditLoggingTarget 自定义资源:在 obs-system 命名空间中进行监控。
  • DNS 管理员:更新 DNS 文件。
  • DNS 调试器:拥有对所有 DNS 资源的读取和写入权限。
  • DNS Monitor:拥有对所有 DNS 资源的读取权限。
  • DNS 后缀查看器:查看 DNS 后缀 configmap。
  • 紧急 SSH 凭据管理员:拥有紧急访问权限,并使用组织基础架构集群中的 SSH 节点。
  • FluentBit Creator:在组织基础架构集群中创建 FluentBit 自定义资源。
  • FluentBit 编辑器:在组织基础架构集群中修改 FluentBit 自定义资源。
  • FluentBit 查看器:查看组织基础架构集群中的 FluentBit 自定义资源。
  • FluentBit IO Creator:在项目命名空间中创建 FluentBit 自定义资源。
  • FluentBit IO 编辑器:在项目命名空间中编辑 FluentBit 自定义资源。
  • FluentBit IO 查看器:查看项目命名空间中的 FluentBit 自定义资源。
  • Gatekeeper 管理员:有权重启部署和修补 Secret。
  • Grafana 调试器:授予管理员对 obs-system 命名空间中 Grafana 资源的访问权限。
  • Grafana Viewer:授予在组织基础架构集群的系统命名空间中访问 Grafana 实例的权限。
  • 硬件管理员:拥有对硬件资源(例如交换机、机架和服务器)的完整访问权限。
  • HDWR Admin:拥有对硬件相关资源的完整访问权限。
  • HWDR Viewer:拥有对硬件相关资源的只读权限。
  • Infra PKI 调试器:有权访问以配置基础架构 PKI 证书签发者和证书授权机构。
  • Interconnect Admin:拥有对互连资源的管理员访问权限。
  • Kiali Admin:授予访问 Kiali 信息中心的权限,以调试 Istio 服务网格。
  • KUB IPAM 调试器:对 CIDRClaim 自定义资源具有读写权限。
  • KUB Monitor:拥有对 KUB 中所有资源的只读权限。
  • LogCollector 创建者:在组织基础架构集群中创建 LogCollector 自定义资源。
  • LogCollector 编辑者:在组织基础架构集群中修改 LogCollector 自定义资源。
  • LogCollector Viewer:查看组织基础架构集群中的 LogCollector 自定义资源。
  • LogCollector IO Creator:在项目命名空间中创建 LogCollector 自定义资源。
  • LogCollector IO Editor:修改项目命名空间中的 LogCollector 自定义资源。
  • LogCollector IO Viewer:查看项目命名空间中的 LogCollector 自定义资源。
  • LoggingRule Creator:在组织基础架构集群中创建 LoggingRule 自定义资源。
  • LoggingRule Editor:在组织基础架构集群中修改 LoggingRule 自定义资源。
  • LoggingRule Viewer:查看组织基础架构集群中的 LoggingRule 自定义资源。
  • LoggingRule IO Creator:在项目命名空间中创建 LoggingRule 自定义资源。
  • LoggingRule IO 编辑器:在项目命名空间中修改 LoggingRule 自定义资源。
  • LoggingRule IO Viewer:查看项目命名空间中的 LoggingRule 自定义资源。
  • LoggingTarget IO Creator:在项目命名空间中创建 LoggingTarget 自定义资源。
  • LoggingTarget IO Editor:在项目命名空间中修改 LoggingTarget 自定义资源。
  • LoggingTarget IO Viewer:查看项目命名空间中的 LoggingTarget 自定义资源。
  • Log Query API Querier:访问 Log Query API 以查询日志。
  • MonitoringRule Creator:在组织基础架构集群中创建 MonitoringRule 自定义资源。
  • MonitoringRule Editor:在组织基础架构集群中修改 MonitoringRule 自定义资源。
  • MonitoringRule Viewer:查看组织基础架构集群中的 MonitoringRule 自定义资源。
  • MonitoringRule IO Creator:在项目命名空间中创建 MonitoringRule 自定义资源。
  • MonitoringRule IO 编辑器:在项目命名空间中编辑 MonitoringRule 自定义资源。
  • MonitoringRule IO Viewer:查看项目命名空间中的 MonitoringRule 自定义资源。
  • MonitoringTarget 创建者:在组织基础架构集群中创建 MonitoringTarget 自定义资源。
  • MonitoringTarget Editor:在组织基础架构集群中修改 MonitoringTarget 自定义资源。
  • MonitoringTarget Viewer:查看组织基础架构集群中的 MonitoringTarget 自定义资源。
  • MonitoringTarget IO Creator:在项目命名空间中创建 MonitoringTarget 自定义资源。
  • MonitoringTarget IO Editor:修改项目命名空间中的 MonitoringTarget 自定义资源。
  • MonitoringTarget IO Viewer:查看项目命名空间中的 MonitoringTarget 自定义资源。
  • 可观测性管理员:拥有对 obs-system 命名空间中对象的读写权限。
  • 可观测性管理员调试器:具有集群特定的管理员访问权限,可访问 obs-system 命名空间中的可观测性资源。此角色可对组织基础架构集群中的访问权限进行精细控制。
  • Observability Debugger:拥有对 obs-system 命名空间中 Observability 资源的完整访问权限。
  • ObservabilityPipeline Creator:在组织基础架构集群中创建 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline 编辑器:在组织基础架构集群中修改 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline Viewer:查看组织基础架构集群中的 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline IO Creator:在项目命名空间中创建 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline IO Editor:在项目命名空间中修改 ObservabilityPipeline 自定义资源。
  • ObservabilityPipeline IO Viewer:查看项目命名空间中的 ObservabilityPipeline 自定义资源。
  • 可观测性系统调试器:对 obs-system 命名空间中的可观测性资源具有组织范围的管理员访问权限。此角色可授予对可观测性管理员访问权限的集中式管理权限。
  • 可观测性查看者:拥有只读权限,可查看 obs-system 命名空间中的对象。
  • OCLCM 调试器:拥有对调试 OCLCM 对象的读写权限。
  • OCLCM 查看者:拥有只读权限,可查看 OCLCM 对象。
  • 组织管理员:创建和删除组织,并管理组织的生命周期。
  • 组织系统制品管理管理员:对系统命名空间中所有 Harbor 项目中的资源拥有管理员访问权限。
  • PERF 管理员监控器:对 PERF 存储分区、服务账号和密钥具有读取权限。
  • PERF Admin Resource Maintainer:对所有虚拟机 (VM)、VM 磁盘、VM 外部访问权限、VM 请求、存储分区、项目服务账号、AEAD 密钥、签名密钥和 PERF 服务账号具有读写权限。
  • PERF 调试器:对项目命名空间中的作业具有读写权限。
  • PERF 系统监控器:对项目命名空间中的所有 pod、PERF ConfigMap 和 cron 作业拥有只读权限。
  • PERF 系统资源维护者:对项目命名空间中的所有服务拥有读写权限。
  • PNET 调试器:拥有对所有 PNET 资源的读取和写入权限。
  • PNET 监控器:拥有对所有 PNET 资源的只读权限。
  • PNET Secret Debugger:有权访问网络交换机凭据。
  • PSPF 调试器:对项目命名空间中的作业具有读取和写入权限。
  • PSPF 监控器:监控 PSPF 资源。
  • 政策管理员:管理组织的政策模板,并拥有对限制条件的完全访问权限。
  • Project Cortex Alertmanager 编辑器:在项目命名空间中修改 Cortex Alertmanager 实例。
  • Project Cortex Alertmanager Viewer:查看项目命名空间中的 Cortex Alertmanager 实例。
  • Project Cortex Prometheus 查看器:查看项目命名空间中的 Cortex Prometheus 实例。
  • Project Grafana Viewer:查看项目命名空间中的 Grafana 实例。
  • 远程记录器管理员:拥有对 remote-logger 资源的完整访问权限。
  • Remote Logger Viewer:拥有对 remote-logger 资源的只读权限。
  • Root Cortex Alertmanager Editor:授予在组织基础架构集群上修改 Cortex Alertmanager 实例的权限。
  • Root Cortex Alertmanager Viewer:授予访问组织基础架构集群上的 Cortex Alertmanager 实例的权限。
  • Root Cortex Prometheus Viewer:授予访问组织基础架构集群上的 Cortex Prometheus 实例的权限。
  • Root Session Admin:授予在组织基础架构集群中执行撤消操作的权限。
  • 安全查看者:拥有对 Security Admin 有权访问的所有资源的只读权限。
  • SSH 基础架构调试器:对 SSH 基础架构密钥具有读写权限。
  • System Artifact Management Admin:对系统命名空间中的所有 Harbor 项目中的资源拥有管理员访问权限。
  • System Artifact Management Secrets Admin:拥有对 Secret 资源的管理员访问权限,可用于管理注册表镜像配置。
  • System Artifact Registry Harbor Admin:拥有对 Harbor 项目的管理员访问权限。
  • 系统制品注册表 Harbor 读取:拥有对 Harbor 项目的只读权限。
  • System Artifact Registry Harbor ReadWrite:拥有对 Harbor 项目的读取和写入权限。
  • System Artifact Registry Debugger:拥有对所有 Harbor 资源的读写权限。
  • 系统制品注册表监控器:对组织基础架构集群中的 Harbor 资源拥有读写权限。
  • 系统集群管理员:对组织基础架构集群中的任何权限和政策拥有读写访问权限。此角色在组织层级拥有访问权限。
  • 系统集群 DNS 调试器:对组织基础架构集群中的任何权限都具有创建和读取访问权限。
  • 系统集群 Vertex AI 调试器:对 Vertex AI 平台具有完全访问权限。
  • 系统集群查看者:对组织基础架构集群中的任何权限和政策拥有读写权限。
  • System Project VirtualMachine Admin:有权管理系统项目中的虚拟机。
  • Tenable Nessus Admin:对管理 Tenable.sc 和 Nessus 应用的网络组件具有读写权限。
  • Transfer Appliance 请求管理员:管理平台管理员 (PA) 创建的 Transfer Appliance 请求。借助 Transfer Appliance,您可以向 GDC 空气隔离设备租赁一台大容量存储服务器,这样便能快速安全地将大量数据转移到该设备。
  • Trust Bundle Root Monitor:拥有对信任包的读取权限。
  • UNET CLI 组织管理员监控器:对 UNET 资源具有创建和读取权限,可在组织基础架构集群中运行 gdcloud system network 命令。
  • UNET CLI Root Admin Monitor:对 UNET 资源具有创建和读取权限,可在组织基础架构集群中运行 gdcloud system network 命令。
  • UNET CLI 系统监控器:对 UNET 资源具有创建和读取权限,可在组织基础架构集群上运行 gdcloud system network 命令。
  • UNET CLI 用户监控器:拥有对 UNET 资源的权限,可在用户集群上运行 gdcloud system network 命令。
  • 升级设备管理员:拥有对设备执行升级操作的读写权限,可访问组织,并拥有对 OrganizationUpgrade 的只读权限。
  • 升级调试器:对组织基础架构集群中的升级资源具有读写权限。
  • 用户集群调试器:拥有完全访问权限,可调试和缓解用户集群中的问题。
  • 用户集群 DNS 调试器:在用户集群中具有创建和读取权限。
  • 界面调试器:有权重启界面部署。
  • VAISEARCH Secret Rotator:拥有轮替 Vertex AI Search 密钥的权限。
  • 管理平台 API 服务器的 VPN 调试器:对管理 API 服务器中与 VPN 相关的所有资源具有读取和写入权限。
  • 组织边界集群的 VPN 调试器:对边界集群中与 VPN 相关的所有资源拥有读取和写入权限。
  • Web TLS 证书调试器:对 Istio web-tls 证书和 Secret 具有读写权限。

PA 角色

平台管理员 (PA) 负责管理组织级资源和项目生命周期管理。您可以向团队成员分配以下预定义角色:

  • 组织 IAM 管理员:创建、更新和删除组织内的任何权限和允许政策。
  • AI Platform 管理员:授予管理预训练服务的权限。
  • Audit Logs Platform Restore Bucket Creator:创建备份存储分区以恢复平台审核日志。
  • 审核日志平台存储分区查看器:查看平台审核日志的备份存储分区。
  • 存储分区管理员:管理组织和项目中的存储分区以及这些存储分区中的对象。
  • 存储分区管理员(全局):管理组织和项目中的单区域存储分区,以及这些存储分区中的对象。
  • 存储分区对象管理员:对组织内的存储分区拥有只读权限,对这些存储分区中的对象拥有读写权限。
  • 存储分区对象管理员(全局)对组织及其项目中的双区域存储分区具有只读权限,对这些存储分区中的对象具有读写权限。
  • 存储分区对象查看者:拥有对组织内存储分区以及这些存储分区中对象的只读权限。
  • 存储分区对象查看者(全局)对组织及其项目中的双区域存储分区具有只读权限,对这些存储分区中的对象也具有只读权限。
  • 信息中心 PA 创建者:为整个组织创建 Dashboard 自定义资源。
  • 信息中心 PA 编辑者:拥有对整个组织的 Dashboard 自定义资源的读写权限。
  • 信息中心 PA 查看者:对整个组织的 Dashboard 自定义资源拥有只读权限。
  • 流日志管理员:管理流日志资源,用于记录网络流量元数据。
  • Flow Log Viewer:提供对流日志配置的只读访问权限。
  • GDCH 按属性限制政策管理员:对 GDCHRestrictByAttributes 限制具有完全访问权限。
  • GDCH 受限服务政策管理员:管理组织的政策模板,并拥有对限制条件的完整访问权限。为组织或项目应用或回滚政策。
  • IdP Federation Admin:拥有配置身份提供方的完整访问权限。
  • Infra PKI Admin:有权配置基础架构 PKI 证书签发者和证书授权机构。
  • Interconnect Admin:拥有对互连资源的管理员访问权限。
  • Log Query API Querier:拥有只读权限,可从 Log Query API 访问审核日志或操作日志端点,以查看项目的日志。
  • LoggingRule PA Creator:为整个组织创建 LoggingRule 自定义资源。
  • LoggingRule PA Editor:修改整个组织的 LoggingRule 自定义资源。
  • LoggingRule PA Viewer:查看整个组织的 LoggingRule 自定义资源。
  • LoggingTarget PA Creator:为整个组织创建 LoggingTarget 自定义资源。
  • LoggingTarget PA 编辑者:修改整个组织的 LoggingTarget 自定义资源。
  • LoggingTarget PA Viewer:查看整个组织的 LoggingTarget 自定义资源。
  • MonitoringRule PA Creator:为整个组织创建 MonitoringRule 自定义资源。
  • MonitoringRule PA Editor:拥有对整个组织的 MonitoringRule 资源的读写权限。
  • MonitoringRule PA Viewer:拥有对整个组织的 MonitoringRule 自定义资源的只读权限。
  • MonitoringTarget PA Creator:为整个组织创建 MonitoringTarget 自定义资源。
  • MonitoringTarget PA Editor:拥有对整个组织的 MonitoringTarget 自定义资源的读写权限。
  • MonitoringTarget PA Viewer:拥有对整个组织的 MonitoringTarget 自定义资源的只读权限。
  • MP OCLCM Debugger:调试与 OCLCM 相关的对象。
  • MP OCLCM Viewer:查看 OCLCM 相关对象。
  • ObservabilityPipeline PA Creator:为整个组织创建 ObservabilityPipeine 自定义资源。
  • ObservabilityPipeline PA Editor:拥有对整个组织的 ObservabilityPipeine 自定义资源的读写权限。
  • ObservabilityPipeline PA Viewer:对整个组织的 ObservabilityPipeline 自定义资源拥有只读权限。
  • 组织会话管理员:有权访问撤消命令。绑定到此 Role 的用户会添加到 ACL 中以进行身份验证和授权。
  • 组织 Grafana 查看者:在 Grafana 监控实例的信息中心内直观呈现组织相关可观测性数据。
  • 组织 IAM 查看者:对组织 IAM 管理员有权访问的所有资源拥有只读权限。
  • 组织升级管理员:修改组织的维护窗口。在创建组织期间,系统会自动创建维护期。
  • 组织升级查看者:查看维护窗口。
  • Project Bucket Admin:管理项目的双区域存储分区以及这些存储分区中的对象。
  • 项目存储分区对象管理员:对项目中的双区域存储分区具有只读权限,对这些存储分区中的对象具有读写权限。
  • 项目存储分区对象查看者:拥有对项目内双区域存储分区的只读权限,以及对这些存储分区中对象的只读权限。
  • Project Creator:创建新项目。
  • 项目编辑者:删除项目。
  • SIEM Export Org Creator:创建 SIEMOrgForwarder 自定义资源。
  • SIEM Export Org Editor:拥有对 SIEMOrgForwarder 自定义资源的读写权限。
  • SIEM Export Org Viewer 拥有查看 SIEMOrgForwarder 自定义资源的只读权限。
  • Transfer Appliance 请求创建者:可以读取和创建 Transfer Appliance 请求,让您能够使用大容量存储服务器快速安全地将大量数据转移到 GDC 空气隔离设备。
  • 用户集群管理员:创建、更新和删除用户集群,并管理用户集群的生命周期。
  • 用户集群 CRD 查看器:对用户集群中的自定义资源定义 (CRD) 具有只读访问权限。
  • 用户集群开发者:在用户集群中拥有集群管理员权限。
  • 用户集群节点查看者:在用户集群中拥有只读集群管理员权限。
  • VPN 管理员:拥有对所有 VPN 相关资源的读写权限。
  • VPN 查看者:拥有对所有 VPN 相关资源的读取权限。

AO 角色

应用运维人员 (AO) 是平台管理员 (PA) 组织内开发团队的成员。AO 会与项目级资源进行交互。您可以向团队成员分配以下预定义角色:

  • Project IAM Admin:管理项目的 IAM 许可政策。
  • AI OCR 开发者:访问光学字符识别服务以检测图片中的文本。
  • AI Speech Developer:访问 Speech-to-Text 服务以识别语音和转写音频。
  • AI Translation Developer:访问 Vertex AI Translation 服务以翻译文本。
  • 制品管理管理员:对项目命名空间中的所有 Harbor 项目中的资源拥有管理员访问权限。
  • Artifact Management Editor:拥有项目命名空间中所有 Harbor 项目的资源读写权限。
  • Certificate Authority Service Admin:有权管理其项目中的证书授权机构和证书请求。
  • Certificate Service Admin:有权管理其项目中的证书和证书签发者。
  • 信息中心编辑者:拥有对 Dashboard 自定义资源的读写权限。
  • Dashboard Viewer:拥有对 Dashboard 自定义资源的只读权限。
  • Harbor 实例管理员:拥有管理项目中的 Harbor 实例的完整权限。
  • Harbor 实例查看者:拥有只读权限,可查看项目中的 Harbor 实例。
  • Harbor Project Creator:有权管理 Harbor 实例项目。
  • K8s Network Policy Admin:管理 Kubernetes 集群中的网络政策。
  • LoggingRule 创建者:在项目命名空间中创建 LoggingRule 自定义资源。
  • LoggingRule 编辑器:用于修改项目命名空间中的 LoggingRule 自定义资源。
  • LoggingRule Viewer:查看项目命名空间中的 LoggingRule 自定义资源。
  • LoggingTarget 创建者:在项目命名空间中创建 LoggingTarget 自定义资源。
  • LoggingTarget 编辑器:用于修改项目命名空间中的 LoggingTarget 自定义资源。
  • LoggingTarget Viewer:查看项目命名空间中的 LoggingTarget 自定义资源。
  • Load Balancer Admin:对项目命名空间中的所有负载均衡器资源拥有读取和写入权限。
  • MonitoringRule Editor:拥有对 MonitoringRule 资源的读写权限。
  • MonitoringRule Viewer:拥有对 MonitoringRule 自定义资源的只读权限。
  • MonitoringTarget Editor:拥有对 MonitoringTarget 自定义资源的读写权限。
  • MonitoringTarget Viewer:拥有对 MonitoringTarget 自定义资源的只读权限。
  • NAT 查看者:拥有对 Kubernetes 集群中部署的只读权限。
  • 命名空间管理员:管理项目命名空间中的所有资源。
  • ObservabilityPipeline Editor:对 ObservabilityPipeine 自定义资源拥有读写权限。
  • ObservabilityPipeline Viewer:拥有对 ObservabilityPipeline 自定义资源的只读权限。
  • Project Bucket Admin:管理存储分区和存储分区内的对象。
  • 项目存储分区对象管理员:对项目中的存储分区具有只读权限,对这些存储分区中的对象具有读写权限。
  • Project Bucket Object Viewer:拥有对项目内存储分区以及这些存储分区中对象的只读权限。
  • Project Cortex Alertmanager Editor:授予在项目命名空间中修改 Cortex Alertmanager 实例的权限。
  • Project Cortex Alertmanager Viewer:授予访问项目命名空间中 Cortex Alertmanager 实例的权限。
  • Project Cortex Prometheus Viewer:授予访问项目命名空间中 Cortex Prometheus 实例的权限。
  • 项目 Grafana 查看者:访问舰队管理员集群的项目命名空间中的 Grafana 实例。
  • Project NetworkPolicy Admin:管理项目命名空间中的项目网络政策。
  • 项目查看者:拥有对项目命名空间内所有资源的只读权限。
  • Project VirtualMachine Admin:管理项目命名空间中的虚拟机。
  • Project VirtualMachine Image Admin:管理项目命名空间中的虚拟机映像。
  • Secret Admin:管理项目中的 Kubernetes Secret。
  • Secret Viewer:查看项目中的 Kubernetes Secret。
  • Service Configuration Admin:对项目命名空间内的服务配置具有读写权限。
  • 服务配置查看者:拥有对项目命名空间内服务配置的读取权限。
  • 卷复制管理员:管理卷复制资源。
  • Workbench Notebooks Admin:获取对项目命名空间内所有笔记本资源的读写权限。
  • Workbench Notebooks Viewer:获取对项目命名空间内所有笔记本资源的只读访问权限,并查看 Vertex AI Workbench 界面。
  • 工作负载查看者:拥有对项目中工作负载的读取权限。

常见角色

以下预定义的常见角色适用于所有通过身份验证的用户:

  • AI Platform Viewer:授予查看预训练服务的权限。
  • DNS 后缀查看器:访问域名服务 (DNS) 后缀配置映射。
  • Flow Log Admin:拥有对所有流日志资源的读写权限。
  • Flow Log Viewer:拥有对所有流日志资源的只读权限。
  • Project Discovery Viewer:向所有已通过身份验证的用户授予对项目视图的读取权限。
  • 公共映像查看者:对命名空间 vm-images 中的公共虚拟机映像拥有读取权限,适用于所有经过身份验证的用户。
  • 系统制品注册表 anthos-creds Secret 监控器:对 anthos-creds 命名空间中的 Secret 具有只读访问权限。
  • 系统 Artifact Registry gpc-system Secret 监控器:对 gpc-system 命名空间中的 Secret 具有只读访问权限。
  • 系统制品注册表 harbor-system Secret 监控器:对 harbor-system 命名空间中的 Secret 具有只读访问权限。
  • 虚拟机类型查看者:拥有对集群范围的虚拟机类型的读取权限。
  • 虚拟机类型查看者:对管理员集群上预定义的虚拟机类型具有读取权限。