本部分中的表格介绍了不同的预定义角色及其权限。这些表格包含以下列:
- 名称:界面 (UI) 中显示的角色名称。
- Kubernetes 资源名称:相应 Kubernetes 自定义资源的名称。
- 级别:用于指定此角色是组织级角色还是项目级角色。
- 管理员集群或用户集群权限:相应角色对管理员集群或用户集群拥有的权限。例如,一些可能的值包括读取、写入、读取和写入,或不适用 (N/A)。
- 升级为:用于指定此角色是否升级为其他角色。
所有角色的角色类型均为 IAMRole。使用 IAMRoleBinding 将全局 API 服务器中具有权限的正文授予预定义的 IAMRole。所有角色和角色绑定都是全局性的。
AO 受众群体、预定义身份和访问权限角色
| AO 受众群体群组 | ||||
|---|---|---|---|---|
| 名称 | Kubernetes 资源名称 | 初始管理员 | 级别 | |
| AI Large Gemini Developer | ai-large-gemini-developer |
错误 | 项目 | |
| AI OCR 开发者 | ai-ocr-developer |
错误 | 项目 | |
| AI Platform Viewer | ai-platform-viewer |
错误 | 项目 | |
| AI 语音 Chirp 开发者 | ai-speech-chirp-developer |
错误 | 项目 | |
| AI 语音开发者 | ai-speech-developer |
错误 | 项目 | |
| AI 文本嵌入开发者 | ai-text-embedding-developer |
错误 | 项目 | |
| AI Text Embedding Multilingual Developer | ai-text-embedding-multilingual-developer |
错误 | 项目 | |
| AI Translation Developer | ai-translation-developer |
错误 | 项目 | |
| 备份创建者 | backup-creator |
错误 | 项目 | |
| Certificate Authority Service Admin | certificate-authority-service-admin |
错误 | 项目 | |
| Custom Role Project Admin | global-custom-role-project-admin |
错误 | 项目 | |
| 信息中心编辑器 | dashboard-editor |
错误 | 项目 | |
| 信息中心查看器 | dashboard-viewer |
错误 | 项目 | |
| Discovery Engine Admin | vaisearch-admin |
错误 | 项目 | |
| Discovery Engine Developer | vaisearch-developer |
错误 | 项目 | |
| Discovery Engine Reader | vaisearch-reader |
错误 | 项目 | |
| Global Load Balancer Admin | global-load-balancer-admin |
错误 | 项目 | |
| Harbor 实例管理员 | harbor-instance-admin |
错误 | 项目 | |
| Harbor Instance Viewer | harbor-instance-viewer |
错误 | 项目 | |
| Harbor 项目创建者 | harbor-project-creator |
错误 | 项目 | |
| K8s NetworkPolicy Admin | k8s-networkpolicy-admin |
错误 | 项目 | |
| KMS 管理员 | kms-admin |
错误 | 项目 | |
| KMS 创建者 | kms-creator |
错误 | 项目 | |
| KMS 开发者 | kms-developer |
错误 | 项目 | |
| KMS 密钥导出管理员 | kms-keyexport-admin |
错误 | 项目 | |
| KMS 密钥导入管理员 | kms-keyimport-admin |
错误 | 项目 | |
| KMS 查看器 | kms-viewer |
错误 | 项目 | |
| 负载平衡器管理员 | load-balancer-admin |
错误 | 项目 | |
| LoggingRule Creator | loggingrule-creator |
错误 | 项目 | |
| LoggingRule 编辑器 | loggingrule-editor |
错误 | 项目 | |
| LoggingRule 查看者 | loggingrule-viewer |
错误 | 项目 | |
| LoggingTarget 创建者 | loggingtarget-creator |
错误 | 项目 | |
| LoggingTarget 编辑器 | loggingtarget-editor |
错误 | 项目 | |
| LoggingTarget 查看器 | loggingtarget-viewer |
错误 | 项目 | |
| Marketplace 编辑器 | marketplace-editor |
错误 | 项目 | |
| MonitoringRule 编辑器 | monitoringrule-editor |
错误 | 项目 | |
| MonitoringRule 查看器 | monitoringrule-viewer |
错误 | 项目 | |
| MonitoringTarget 编辑器 | monitoringtarget-editor |
错误 | 项目 | |
| MonitoringTarget 查看器 | monitoringtarget-viewer |
错误 | 项目 | |
| Namespace Admin | namespace-admin |
错误 | 项目 | |
| NAT 查看器 | nat-viewer |
错误 | 项目 | |
| ObservabilityPipeline Editor | observabilitypipeline-editor |
错误 | 项目 | |
| ObservabilityPipeline Viewer | observabilitypipeline-viewer |
错误 | 项目 | |
| 项目级存储分区管理员 | project-bucket-admin |
错误 | 项目 | |
| Project Bucket Object Admin | project-bucket-object-admin |
错误 | 项目 | |
| Project Bucket Object Viewer | project-bucket-object-viewer |
错误 | 项目 | |
| Project Cortex Alertmanager 编辑器 | project-cortex-alertmanager-editor |
错误 | 项目 | |
| Project Cortex Alertmanager Viewer | project-cortex-alertmanager-viewer |
错误 | 项目 | |
| Project Cortex Prometheus 查看器 | project-cortex-prometheus-viewer |
错误 | 项目 | |
| Project Grafana Viewer | project-grafana-viewer |
错误 | 项目 | |
| Project IAM Admin | project-iam-admin |
正确 | 项目 | |
| 项目 NetworkPolicy 管理员 | project-networkpolicy-admin |
错误 | 项目 | |
| 项目数据库管理员 | project-db-admin |
错误 | 项目 | |
| Project DB Editor | project-db-editor |
错误 | 项目 | |
| Project DB Viewer | project-db-viewer |
错误 | 项目 | |
| Project Viewer | project-viewer |
错误 | 项目 | |
| 项目虚拟机管理员 | project-vm-admin |
错误 | 项目 | |
| Project VirtualMachine Image Admin | project-vm-image-admin |
错误 | 项目 | |
| Secret Admin | secret-admin |
错误 | 项目 | |
| Secret Viewer | secret-viewer |
错误 | 项目 | |
| Service Configuration Admin | service-configuration-admin |
错误 | 项目 | |
| Service Configuration Viewer | service-configuration-viewer |
错误 | 项目 | |
| 子网项目管理员 | subnet-project-admin |
错误 | 项目 | |
| 子网项目运算符 | subnet-project-operator |
错误 | 项目 | |
| System Cluster VM Backup Creator | system-cluster-vm-backup-creator |
错误 | 项目 | |
| 卷复制管理员 | app-volume-replication-admin |
错误 | 集群 | |
| Vertex AI Prediction User | vertex-ai-prediction-user |
错误 | 项目 | |
| Workbench Notebooks Admin | workbench-notebooks-admin |
错误 | 项目 | |
| Workbench Notebooks 查看器 | workbench-notebooks-viewer |
错误 | 项目 | |
AO 受众群体、预定义身份和访问权限角色
| AO 受众群体群组 | ||||
|---|---|---|---|---|
| 名称 | 管理 API 服务器权限 | Kubernetes 集群权限 | 升级为 | |
| AI Large Gemini Developer | 大型 Gemini 资源:访问 chat-completions 端点 | 不适用 | 不适用 | |
| AI OCR 开发者 | OCR 资源:读取和写入 | 不适用 | 不适用 | |
| AI 语音 Chirp 开发者 | 语音 Chirp 资源:读取和写入 | 不适用 | 不适用 | |
| AI 语音开发者 | 语音资源:读取和写入 | 不适用 | 不适用 | |
| AI 文本嵌入开发者 | 文本嵌入资源:读取和写入 | 不适用 | 不适用 | |
| AI Text Embedding Multilingual Developer | Text Embedding Multilingual 资源:读写 | 不适用 | 不适用 | |
| AI Translation Developer | 翻译资源:读写 | 不适用 | 不适用 | |
| 备份创建者 | 不适用 |
|
不适用 | |
| Certificate Authority Service Admin | 证书授权机构和证书请求:获取、列出、监控、更新、创建、删除和修补 | 不适用 | 不适用 | |
| Custom Role Project Admin |
|
不适用 | 所有其他 AO 角色 | |
| 信息中心编辑器 | Dashboard 自定义资源:获取、读取、创建、更新、删除和修补 |
不适用 | 不适用 | |
| 信息中心查看器 | Dashboard:获取和读取 |
不适用 | 不适用 | |
| Discovery Engine Admin | Discovery Engine:获取、读取、创建、更新、删除和修补 |
不适用 | 不适用 | |
| Discovery Engine Developer | Discovery Engine:获取和读取 |
不适用 | 不适用 | |
| Discovery Engine Reader | Discovery Engine:已读 |
不适用 | 不适用 | |
| Global Load Balancer Admin | 不适用 |
|
不适用 | |
| Harbor 实例管理员 | Harbor 实例:创建、读取、更新、删除和修补 | 不适用 | 不适用 | |
| Harbor Instance Viewer | Harbor 实例:读取 | 不适用 | 不适用 | |
| Harbor 项目创建者 | Harbor 实例项目:创建、获取和观看 | 不适用 | 不适用 | |
| K8s NetworkPolicy Admin | NetworkPolicy 资源:创建、读取、获取、更新、删除和修补 |
不适用 | 不适用 | |
| KMS 管理员 |
|
不适用 | 不适用 | |
| KMS 创建者 |
AEADKey 和 SigningKey:创建和读取
|
不适用 | 不适用 | |
| KMS 开发者 |
|
不适用 | 不适用 | |
| KMS 密钥导出管理员 |
KeyExport 资源:创建、读取、更新、修补和删除
|
不适用 | 不适用 | |
| KMS 密钥导入管理员 |
KeyImport 资源:创建、读取、更新、修补和删除
|
不适用 | 不适用 | |
| KMS 查看器 |
AEADKey、SigningKey、KeyImport、KeyExport:阅读
|
不适用 | 不适用 | |
| 负载平衡器管理员 | 不适用 |
|
不适用 | |
| LoggingRule Creator | LoggingRule 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 | |
| LoggingRule 编辑器 | LoggingRule 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 | |
| LoggingRule 查看者 | LoggingRule 自定义资源:读取 |
不适用 | 不适用 | |
| LoggingTarget 创建者 | LoggingTarget 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 | |
| LoggingTarget 编辑器 | LoggingTarget 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 | |
| LoggingTarget 查看器 | LoggingTarget 自定义资源:读取 |
不适用 | 不适用 | |
| Marketplace 编辑器 | 不适用 | 服务实例:创建、更新和删除 | 不适用 | |
| MonitoringRule 编辑器 | MonitoringRule 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 | |
| MonitoringRule 查看器 | MonitoringRule 自定义资源:读取 |
不适用 | 不适用 | |
| MonitoringTarget 编辑器 | MonitoringTarget 自定义资源:创建、读取、更新、删除和修补 |
不适用 | 不适用 | |
| MonitoringTarget 查看器 | MonitoringTarget 自定义资源:读取 |
不适用 | 不适用 | |
| Namespace Admin | 不适用 | 所有资源:项目命名空间中的读写权限 | 不适用 | |
| NAT 查看器 | 不适用 | 部署:获取和读取 | 不适用 | |
| ObservabilityPipeline Editor | ObservabilityPipeline 资源:获取、读取、创建、更新、删除和修补 |
不适用 | 不适用 | |
| ObservabilityPipeline Viewer | ObservabilityPipeline 资源:获取并阅读 |
不适用 | 不适用 | |
| 项目级存储分区管理员 | 存储分区:在项目命名空间中读取和写入 | 不适用 | 不适用 | |
| Project Bucket Object Admin |
|
不适用 | 不适用 | |
| Project Bucket Object Viewer | 存储分区和对象:读取 | 不适用 | 不适用 | |
| Project Cortex Alertmanager 编辑器 | Cortex 系统和 Cortex Alertmanager:读取和写入 | 不适用 | 不适用 | |
| Project Cortex Alertmanager Viewer | Cortex 系统和 Cortex Alertmanager:阅读 | 不适用 | 不适用 | |
| Project Cortex Prometheus 查看器 | Cortex 系统和 Cortex Prometheus:请参阅 | 不适用 | 不适用 | |
| Project Grafana Viewer | Grafana 系统和 Grafana:读取和写入 | 不适用 | 不适用 | |
| Project IAM Admin |
|
不适用 | 所有其他 AO 角色 | |
| 项目 NetworkPolicy 管理员 | 项目网络政策:在项目命名空间中读取和写入 | 不适用 | 不适用 | |
| 项目数据库管理员 |
|
不适用 | 不适用 | |
| Project DB Editor |
|
不适用 | 不适用 | |
| Project DB Viewer | 数据库版本、标志、维护政策、软件库、备份计划、恢复、导入、导出、数据库集群和故障转移:读取 | 不适用 | 不适用 | |
| Project Viewer | 项目命名空间中的所有资源:读取 | 不适用 | 不适用 | |
| 项目虚拟机管理员 |
|
不适用 | 不适用 | |
| Project VirtualMachine Image Admin |
|
不适用 | 不适用 | |
| Secret Admin | Kubernetes Secret:读取、创建、更新、删除和修补 | 不适用 | 不适用 | |
| Secret Viewer | Kubernetes Secret:读取 | 不适用 | 不适用 | |
| Service Configuration Admin |
ServiceConfigurations:读取和写入
|
不适用 | 不适用 | |
| Service Configuration Viewer |
ServiceConfigurations:已读
|
不适用 | 不适用 | |
| 子网项目管理员 | 子网:创建、读取、更新和删除。 | 不适用 | 不适用 | |
| 子网项目运算符 | 子网:创建、读取、更新和删除。 | 不适用 | 不适用 | |
| Vertex AI Prediction User | 在线预测:读取和写入 | 不适用 | 不适用 | |
| System Cluster VM Backup Creator |
|
不适用 | 不适用 | |
| 卷复制管理员 |
Volume failovers, volume relationship replicas:
创建、获取、列出、观看、删除
|
不适用 | 不适用 | |
| Workbench Notebooks Admin | 不适用 |
|
不适用 | |
| Workbench Notebooks 查看器 | 不适用 |
|
不适用 | |
| Workload Viewer | 不适用 |
|
不适用 | |
常见的预定义身份和访问权限角色
| 常见角色 | ||||
|---|---|---|---|---|
| 名称 | Kubernetes 资源名称 | 初始管理员 | 级别 | |
| AI Platform Viewer | ai-platform-viewer |
错误 | 项目 | |
| DB UI 查看器 | db-ui-viewer |
错误 | 项目 | |
| 数据库选项查看器 | db-options-viewer |
错误 | 项目 | |
| DNS 后缀查看器 | dnssuffix-viewer |
错误 | 组织 | |
| 流日志管理员 | flowlog-admin |
错误 | 组织 | |
| 流日志查看器 | flowlog-viewer |
错误 | 项目 | |
| Marketplace Viewer | marketplace-viewer |
错误 | 项目 | |
| 价格计算器用户 | pricingcalculator-user |
错误 | 项目 | |
| Project Discovery Viewer | projectdiscovery-viewer |
错误 | 项目 | |
| 公共图片查看器 | public-image-viewer |
错误 | 组织 | |
| 虚拟机类型查看器 | virtualmachinetype-viewer |
正确 | 组织 | |
| VM Type Viewer | vmtype-viewer |
错误 | 组织 | |
常见的预定义身份和访问权限角色
| 常见角色 | ||||
|---|---|---|---|---|
| 名称 | 管理员集群权限 | 用户集群权限 | 升级为 | |
| AI Platform Viewer | 预训练服务:读取 | 不适用 | 不适用 | |
| 数据库选项查看器 | DBS 配置:读取 | 不适用 | 不适用 | |
| DB UI 查看器 | DBS 界面配置:读取 | 不适用 | 不适用 | |
| DNS 后缀查看器 | DNS 后缀配置映射:读取 | 不适用 | 不适用 | |
| 流日志管理员 | 流日志资源:获取和读取 | 流日志资源:获取和读取 | 不适用 | |
| 流日志查看器 | 流日志资源:创建、获取、读取、修补、更新和删除 | 流日志资源:创建、获取、读取、修补、更新和删除 | 不适用 | |
| Marketplace Viewer | 服务版本:读取 | 不适用 | 不适用 | |
| 价格计算器用户 | 不适用 | SkuDescriptions:已读 |
不适用 | |
| Project Discovery Viewer | 项目:读取 | 不适用 | 不适用 | |
| 公共图片查看器 | 虚拟机映像:读取 | 不适用 | 不适用 | |
| VM Type Viewer | 虚拟机类型:读取 | 不适用 | 不适用 | |