提供意見
專案的角色定義
透過集合功能整理內容
你可以依據偏好儲存及分類內容。
本節的表格說明不同的預先定義角色及其權限。表格包含下列資料欄:
名稱: 使用者介面 (UI) 中顯示的角色名稱。Kubernetes 資源名稱: 對應 Kubernetes 自訂資源的名稱。層級: 指定這個角色是否受機構或專案的範圍限制。管理員或使用者叢集權限: 這個角色在管理員或使用者叢集中的權限。例如,可能的值包括讀取、寫入、讀取和寫入,或不適用 (N/A)。升級至: 指定這個角色是否會升級至其他角色。
所有角色的角色類型都是 IAMRole。使用 IAMRoleBinding 將全域 API 伺服器中的權限授予預先定義的 IAMRole。所有角色和角色繫結都是全域。
AO 目標對象群組、預先定義的身分和存取角色
AO 目標對象群組
名稱 Kubernetes 資源名稱 初始管理員 等級
AI OCR 開發人員
ai-ocr-developer否
「Project」(專案)
AI 平台檢視者
ai-platform-viewer否
「Project」(專案)
AI Speech Chirp 開發人員
ai-speech-chirp-developer否
「Project」(專案)
AI Speech 開發人員
ai-speech-developer否
「Project」(專案)
AI 文字嵌入開發人員
ai-text-embedding-developer否
「Project」(專案)
AI 文字嵌入多語言開發人員
ai-text-embedding-multilingual-developer否
「Project」(專案)
AI 翻譯開發人員
ai-translation-developer否
「Project」(專案)
備份建立者
backup-creator否
專案
憑證授權單位服務管理員
certificate-authority-service-admin否
專案
自訂角色專案管理員
global-custom-role-project-admin否
專案
資訊主頁編輯器
dashboard-editor否
專案
資訊主頁檢視者
dashboard-viewer否
專案
Discovery Engine 管理員
vaisearch-admin否
專案
Discovery Engine 開發人員
vaisearch-developer否
專案
Discovery Engine 讀取者
vaisearch-reader否
專案
全域負載平衡器管理員
global-load-balancer-admin否
專案
Harbor 執行個體管理員
harbor-instance-admin否
專案
Harbor 執行個體檢視者
harbor-instance-viewer否
專案
Harbor 專案建立者
harbor-project-creator否
專案
K8s NetworkPolicy 管理員
k8s-networkpolicy-admin否
專案
KMS 管理員
kms-admin否
專案
KMS 建立者
kms-creator否
專案
KMS 開發人員
kms-developer否
專案
KMS 金鑰匯出管理員
kms-keyexport-admin否
專案
KMS 金鑰匯入管理員
kms-keyimport-admin否
專案
KMS 檢視者
kms-viewer否
專案
負載平衡器管理員
load-balancer-admin否
專案
LoggingRule Creator
loggingrule-creator否
「Project」(專案)
LoggingRule 編輯器
loggingrule-editor否
「Project」(專案)
LoggingRule Viewer
loggingrule-viewer否
「Project」(專案)
LoggingTarget Creator
loggingtarget-creator否
「Project」(專案)
LoggingTarget 編輯器
loggingtarget-editor否
「Project」(專案)
LoggingTarget 檢視器
loggingtarget-viewer否
「Project」(專案)
Marketplace 編輯者
marketplace-editor否
「Project」(專案)
MonitoringRule 編輯者
monitoringrule-editor否
「Project」(專案)
MonitoringRule 檢視者
monitoringrule-viewer否
「Project」(專案)
MonitoringTarget 編輯者
monitoringtarget-editor否
「Project」(專案)
MonitoringTarget Viewer
monitoringtarget-viewer否
「Project」(專案)
命名空間管理員
namespace-admin否
「Project」(專案)
NAT 檢視器
nat-viewer否
「Project」(專案)
ObservabilityPipeline 編輯者
observabilitypipeline-editor否
「Project」(專案)
ObservabilityPipeline 檢視者
observabilitypipeline-viewer否
「Project」(專案)
專案 Bucket 管理員
project-bucket-admin否
「Project」(專案)
專案 Bucket 物件管理員
project-bucket-object-admin否
「Project」(專案)
專案 Bucket 物件檢視者
project-bucket-object-viewer否
「Project」(專案)
專案 IAM 管理員
project-iam-admin是
「Project」(專案)
專案 NetworkPolicy 管理員
project-networkpolicy-admin否
「Project」(專案)
專案資料庫管理員
project-db-admin否
「Project」(專案)
專案資料庫編輯者
project-db-editor否
「Project」(專案)
專案資料庫檢視者
project-db-viewer否
「Project」(專案)
專案檢視者
project-viewer否
「Project」(專案)
專案 VirtualMachine 管理員
project-vm-admin否
「Project」(專案)
專案 VirtualMachine 映像檔管理員
project-vm-image-admin否
「Project」(專案)
密鑰管理員
secret-admin否
專案
Secret 檢視者
secret-viewer否
專案
服務設定管理員
service-configuration-admin否
專案
服務設定檢視者
service-configuration-viewer否
專案
子網路專案管理員
subnet-project-admin否
專案
子網路專案操作員
subnet-project-operator否
專案
磁碟區複製作業管理員
app-volume-replication-admin否
叢集
Vertex AI 預測使用者
vertex-ai-prediction-user否
「Project」(專案)
Workbench Notebooks 管理員
workbench-notebooks-admin否
專案
Workbench 筆記本檢視者
workbench-notebooks-viewer否
專案
AO 目標對象群組、預先定義的身分和存取角色
AO 目標對象群組
名稱 Management API 伺服器權限 Kubernetes 叢集權限 呈報至
AI OCR 開發人員
OCR 資源: 讀取及寫入不適用
不適用
AI Speech Chirp 開發人員
語音 Chirp 資源: 讀取及寫入不適用
不適用
AI Speech 開發人員
語音資源: 讀取及寫入不適用
不適用
AI 文字嵌入開發人員
Text Embedding 資源: 讀取和寫入不適用
不適用
AI 文字嵌入多語言開發人員
Text Embedding Multilingual 資源: 讀取和寫入不適用
不適用
AI 翻譯開發人員
翻譯資源: 讀取及寫入不適用
不適用
備份建立者
不適用
手動備份和還原: 建立、讀取及刪除備份、還原、備份方案、還原方案、磁碟區備份、磁碟區還原、刪除備份要求: 讀取
不適用
憑證授權單位服務管理員
憑證授權單位和憑證要求: 取得、列出、監控、更新、建立、刪除及修補不適用
不適用
自訂角色專案管理員
RoleBinding:列出專案命名空間
不適用
所有其他 AO 角色
資訊主頁編輯器
Dashboard 自訂資源:不適用
不適用
資訊主頁檢視者
Dashboard:不適用
不適用
Discovery Engine 管理員
Discovery Engine:不適用
不適用
Discovery Engine 開發人員
Discovery Engine:不適用
不適用
Discovery Engine 讀取者
Discovery Engine:不適用
不適用
全域負載平衡器管理員
不適用
HealthCheck:BackendService:ForwardingRuleExternal:ForwardingRuleInternal:
不適用
Harbor 執行個體管理員
Harbor 執行個體: 建立、讀取、更新、刪除及修補不適用
不適用
Harbor 執行個體檢視者
Harbor 執行個體: 讀取不適用
不適用
Harbor 專案建立者
Harbor 執行個體專案: 建立、取得及監看不適用
不適用
K8s NetworkPolicy 管理員
NetworkPolicy 資源不適用
不適用
KMS 管理員
AEADKey:SigningKey:KeyImport 和 KeyExport:
不適用
不適用
KMS 建立者
AEADKey 和 SigningKey:
不適用
不適用
KMS 開發人員
專案命名空間中的 AEADKey:
專案命名空間中的 SigningKey:
不適用
不適用
KMS 金鑰匯出管理員
KeyExport 資源:
不適用
不適用
KMS 金鑰匯入管理員
KeyImport 資源:
不適用
不適用
KMS 檢視者
AEADKey、SigningKey、KeyImport、KeyExport:
不適用
不適用
負載平衡器管理員
不適用
Backend:HealthCheck:BackendService:ForwardingRuleExternal:ForwardingRuleInternal:
不適用
LoggingRule Creator
LoggingRule 自訂資源:不適用
不適用
LoggingRule 編輯器
LoggingRule 自訂資源:不適用
不適用
LoggingRule Viewer
LoggingRule 自訂資源:不適用
不適用
LoggingTarget Creator
LoggingTarget 自訂資源:不適用
不適用
LoggingTarget 編輯器
LoggingTarget 自訂資源:不適用
不適用
LoggingTarget 檢視器
LoggingTarget 自訂資源:不適用
不適用
Marketplace 編輯者
不適用
服務執行個體: 建立、更新及刪除不適用
MonitoringRule 編輯者
MonitoringRule 自訂資源:不適用
不適用
MonitoringRule 檢視者
MonitoringRule 自訂資源:不適用
不適用
MonitoringTarget 編輯者
MonitoringTarget 自訂資源:不適用
不適用
MonitoringTarget Viewer
MonitoringTarget 自訂資源:不適用
不適用
命名空間管理員
不適用
所有資源: 專案命名空間的讀寫權限不適用
NAT 檢視器
不適用
部署作業 :取得及讀取不適用
ObservabilityPipeline 編輯者
ObservabilityPipeline 資源:不適用
不適用
ObservabilityPipeline 檢視者
ObservabilityPipeline 資源:不適用
不適用
專案 Bucket 管理員
值區: 在專案命名空間中讀取及寫入不適用
不適用
專案 Bucket 物件管理員
不適用
不適用
專案 Bucket 物件檢視者
值區和物件: 讀取不適用
不適用
專案 IAM 管理員
IAMRoleBinding 和 IAMRole:ProjectServiceAccount:列出專案命名空間
不適用
所有其他 AO 角色
專案 NetworkPolicy 管理員
專案網路政策: 在專案命名空間中讀取及寫入不適用
不適用
專案資料庫管理員
資料庫版本、旗標、維護政策、軟體程式庫和資料庫專案屬性: 讀取備份方案和資料庫叢集: 建立、讀取、更新及刪除匯入、匯出及還原: 建立、讀取及刪除密鑰: 建立、刪除及更新遷移作業和外部伺服器: 建立、讀取、更新、刪除及修補
不適用
不適用
專案資料庫編輯者
資料庫版本、標記、維護政策、軟體程式庫、備份計畫和還原: 讀取匯入: 建立、讀取及刪除資料庫叢集: 讀取及更新密鑰: 建立及刪除
不適用
不適用
專案資料庫檢視者
資料庫版本、旗標、維護政策、軟體程式庫、備份計畫、還原、匯入、匯出、資料庫叢集和容錯移轉: 讀取不適用
不適用
專案檢視者
專案命名空間中的所有資源: 讀取不適用
不適用
專案 VirtualMachine 管理員
虛擬機器、磁碟、存取要求、外部存取、備份要求、備份、還原要求、刪除備份要求、還原和密碼重設要求: 讀取、建立、更新及刪除重新啟動虛擬機器: 放置虛擬機器映像檔、備份方案和備份方案範本: 讀取
不適用
不適用
專案 VirtualMachine 映像檔管理員
VM 映像檔: 請參閱VM 映像檔匯入作業: 讀取及寫入值區: 建立「vm-images-bucket」Bucket: 讀取和寫入
不適用
不適用
密鑰管理員
Kubernetes Secret: 讀取、建立、更新、刪除及修補
不適用
不適用
Secret 檢視者
Kubernetes 密鑰: 讀取
不適用
不適用
服務設定管理員
ServiceConfigurations:
不適用
不適用
服務設定檢視者
ServiceConfigurations:
不適用
不適用
子網路專案管理員
子網路: 建立、讀取、更新及刪除。
不適用
不適用
子網路專案操作員
子網路: 建立、讀取、更新及刪除。
不適用
不適用
Vertex AI 預測使用者
線上預測: 讀取及寫入
不適用
不適用
磁碟區複製作業管理員
Volume failovers, volume relationship replicas:
不適用
不適用
Workbench Notebooks 管理員
不適用
專案命名空間中的 Notebook 自訂資源 (CR): 建立、讀取、更新及刪除ClusterInfo 物件:
不適用
Workbench 筆記本檢視者
不適用
專案命名空間中的 Notebook 自訂資源 (CR): 讀取
不適用
工作負載檢視者
不適用
專案命名空間中的 Pod 自訂資源: 讀取專案命名空間中的部署作業自訂資源: 讀取
不適用
常見的預先定義身分與存取權角色
常見角色
名稱 Kubernetes 資源名稱 初始管理員 等級
AI 平台檢視者
ai-platform-viewer否
專案
DB UI 檢視者
db-ui-viewer否
「Project」(專案)
資料庫選項檢視者
db-options-viewer否
「Project」(專案)
DNS 尾碼檢視者
dnssuffix-viewer否
機構
Flow Log Admin
flowlog-admin否
機構
流程記錄檢視器
flowlog-viewer否
專案
Marketplace 檢視者
marketplace-viewer否
「Project」(專案)
Pricing Calculator 使用者
pricingcalculator-user否
「Project」(專案)
專案探索檢視者
projectdiscovery-viewer否
「Project」(專案)
公開圖片檢視器
public-image-viewer否
機構
虛擬機器類型檢視者
virtualmachinetype-viewer是
機構
VM 類型檢視者
vmtype-viewer否
機構
常見的預先定義身分與存取權角色
常見角色
名稱 管理員叢集權限 使用者叢集權限 呈報至
AI 平台檢視者
預先訓練的服務: 讀取不適用
不適用
資料庫選項檢視者
DBS 設定: 讀取不適用
不適用
DB UI 檢視者
DBS UI 設定: 請參閱不適用
不適用
DNS 尾碼檢視者
DNS 尾碼設定對應: 讀取不適用
不適用
Flow Log Admin
流量記錄資源: 取得及讀取流量記錄資源: 取得及讀取不適用
流程記錄檢視器
流量記錄資源: 建立、取得、讀取、修補、更新及刪除流量記錄資源: 建立、取得、讀取、修補、更新及刪除不適用
Marketplace 檢視者
服務版本: 讀取不適用
不適用
Pricing Calculator 使用者
不適用
SkuDescriptions:不適用
專案探索檢視者
專案: 讀取不適用
不適用
公開圖片檢視器
VM 映像檔: 請參閱不適用
不適用
VM 類型檢視者
VM 類型: 讀取不適用
不適用
提供意見
除非另有註明,否則本頁面中的內容是採用創用 CC 姓名標示 4.0 授權 ,程式碼範例則為阿帕契 2.0 授權 。詳情請參閱《Google Developers 網站政策 》。Java 是 Oracle 和/或其關聯企業的註冊商標。
上次更新時間:2025-09-04 (世界標準時間)。
想進一步說明嗎?
[[["容易理解","easyToUnderstand","thumb-up"],["確實解決了我的問題","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["難以理解","hardToUnderstand","thumb-down"],["資訊或程式碼範例有誤","incorrectInformationOrSampleCode","thumb-down"],["缺少我需要的資訊/範例","missingTheInformationSamplesINeed","thumb-down"],["翻譯問題","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["上次更新時間:2025-09-04 (世界標準時間)。"],[[["\u003cp\u003eThis section details predefined roles, including their names, Kubernetes resource names, and whether they are scoped by organization or project.\u003c/p\u003e\n"],["\u003cp\u003eRoles are categorized as \u003ccode\u003eIAMRole\u003c/code\u003e and are assigned permissions in the global API server using \u003ccode\u003eIAMRoleBinding\u003c/code\u003e, with all roles and bindings being global in scope.\u003c/p\u003e\n"],["\u003cp\u003eThe provided tables specify the level of access (read, write, etc.) that each role has for management API servers, admin clusters, and user clusters.\u003c/p\u003e\n"],["\u003cp\u003eThe tables also describe if a certain role has the capacity to escalate to other roles.\u003c/p\u003e\n"],["\u003cp\u003eSpecific roles are defined for various AO personas, detailing their permissions for different resources, such as AI services, databases, and networking components.\u003c/p\u003e\n"]]],[],null,["# Role definitions for projects\n\nThe tables of this section describe different predefined roles and their\npermissions. The tables contain the following columns:\n\n- **Name:** The name of a role displayed in the user interface (UI).\n- **Kubernetes resource name:** The name of the corresponding Kubernetes custom resource.\n- **Level:** The specification of whether this role is scoped by the organization or a project.\n- **Admin or user cluster permissions:** The permissions that this role has for admin or user clusters. For example, some possible values are read, write, read and write, or not applicable (N/A).\n- **Escalates to:** The specification of whether this role escalates to other roles or not.\n\nAll roles have the role type `IAMRole`. Grant a subject with permissions in the\nglobal API server using `IAMRoleBinding` to a predefined `IAMRole`. All role and\nrole bindings are global.\n\nAO audience group, predefined identity, and access roles\n--------------------------------------------------------\n\n#### AO audience group, predefined identity, and access roles\n\nCommon predefined identity and access roles\n-------------------------------------------\n\n#### Common predefined identity and access roles"]]
