角色定義

本節的表格說明不同的預先定義角色及其權限。表格包含下列資料欄：

名稱：使用者介面 (UI) 中顯示的角色名稱。
Kubernetes 資源名稱：對應 Kubernetes 自訂資源的名稱。
層級：指定這個角色是否受機構或專案的範圍限制。
管理員或使用者叢集權限：這個角色在管理員或使用者叢集中的權限。例如，可能的值包括讀取、寫入、讀取和寫入，或不適用 (N/A)。
升級至：指定這個角色是否會升級至其他角色。

下表詳細列出各個預先定義角色所具備的權限。每個 Google Distributed Cloud (GDC) 實體隔離目標對象群組都有專屬表格，包括基礎架構營運人員 (IO)、平台管理員 (PA) 和應用程式營運人員 (AO) 目標對象群組。詳情請參閱「說明文件目標對象」。

IO 目標對象群組和預先定義的身分

在機構的全球 API 伺服器中，使用 IAMRoleBinding將權限授予預先定義的 IAMRole，讓主體在機構的所有區域中都能持續取得存取權。

IO 目標對象群組
名稱	Kubernetes 資源名稱	初始管理員	等級
AIS 管理員	`ais-admin`	否	機構
AIS Debugger	`ais-debugger`	否	機構
AIS Monitor	`ais-monitor`	否	機構
任意構件叢集檢視者	`arbitrary-artifacts-distributor-cluster-role-cp`	否	機構
任意構件叢集檢視者	`arbitrary-artifacts-distributor-cluster-role-mp`	否	機構
任意構件發布者	`arbitrary-artifacts-distributor-cp`	否	機構
任意構件發布者	`arbitrary-artifacts-distributor-mp`	否	機構
ATAT 管理員	`atat-admin`	否	機構
AuditLoggingTarget IO Creator	`auditloggingtarget-io-creator`	否	機構
AuditLoggingTarget IO Viewer	`auditloggingtarget-io-viewer`	否	機構
AuditLoggingTarget IO 編輯者	`auditloggingtarget-io-editor`	否	機構
稽核記錄備份還原編輯器	`audit-logs-backup-restore-editor`	否	機構
稽核記錄基礎架構值區檢視者	`audit-logs-infra-bucket-viewer`	否	機構
AuthzPDP Debugger	`authzpdp-debugger`	否	機構
備份管理員	`backup-admin`	否	機構
帳單月結單建立者	`billing-invoice-creator`	否	機構
Cert Manager 系統叢集偵錯工具	`platauth-cert-manager-system-debugger`	否	機構
Dashboard IO Creator	`dashboard-io-creator`	否	機構
資訊主頁 IO 編輯者	`dashboard-io-editor`	否	機構
資訊主頁 IO 檢視者	`dashboard-io-viewer`	否	機構
DBS Debugger	`dbs-debugger`	否	機構
DNS 管理員	`dns-admin`	否	機構
DNS 偵錯工具	機構管理員叢集： `dns-debugger` 根管理員叢集： `dns-debugger-root`	否	機構
DNS 監控器	`dns-monitor`	否	機構
DNS 尾碼檢視者	`dns-admin`	否	機構
DR 管理員	`dr-admin`	否	機構
災難復原還原管理員	`dr-restore-admin`	否	機構
緊急 SSH 憑證管理員	`emergencysshcreds-admin`	否	機構
EZ Debugger	`ez-debugger`	否	機構
守門員管理員	`gatekeeper-admin`	否	機構
DR 系統管理員	`dr-system-admin`	否	機構
FluentBit IO Creator	`fluentbit-io-creator`	否	機構
FluentBit IO 檢視者	`fluentbit-io-viewer`	否	機構
FluentBit IO 編輯器	`fluentbit-io-editor`	否	機構
Gemini 構件叢集檢視者	`gemini-artifacts-distributor-cluster-role`	否	機構
Gemini 構件發布者	`gemini-artifact-distributor`	否	機構
Grafana Debugger	`grafana-debugger`	否	專案
Grafana 檢視者	`grafana-viewer`	否	機構
Harbor 執行個體憑證輪替器	`harbor-instance-cred-rotator`	否	專案
Harbor 執行個體偵錯工具	`harbor-instance-debugger`	否	機構
Harbor 執行個體偵錯工具	`harbor-instance-debugger-cp`	否	機構
Harbor 執行個體偵錯工具專案角色	`harbor-instance-debugger`	否	專案
Harbor 執行個體運算子	`harbor-instance-operator`	否	機構
硬體管理員	`hardware-admin`	否	機構
HSM 管理員	`hsm-admin`	否	機構
HSM 系統密鑰監控	`hsm-system-secret-monitor`	否	機構
HSM 系統密鑰輪替器	`hsm-system-secret-rotator`	否	機構
HWDR 管理員	`hardware-dr-admin`	否	機構
HWDR 檢視者	`hwdr-viewer`	否	機構
Kiali 管理員	`kiali-admin`	否	機構
KMS 管理員	`kms-admin`	否	機構
KMS 系統偵錯工具	`kms-system-debugger`	否	機構
KUB IPAM Debugger	`kub-ipam-debugger`	否	機構
KUB Monitor	`kub-monitor`	否	機構
LogCollector IO Creator	`logcollector-io-creator`	否	機構
LogCollector IO Viewer	`logcollector-io-viewer`	否	機構
LogCollector IO Editor	`logcollector-io-editor`	否	機構
LoggingRule IO Creator	`loggingrule-io-creator`	否	機構
LoggingRule IO Viewer	`loggingrule-io-viewer`	否	機構
LoggingRule IO Editor	`loggingrule-io-editor`	否	機構
LoggingTarget IO Creator	`loggingtarget-io-creator`	否	機構
LoggingTarget IO Viewer	`loggingtarget-io-viewer`	否	機構
LoggingTarget IO 編輯者	`loggingtarget-io-editor`	否	機構
Log Query API Querier	`log-query-api-querier`	否	專案
MonitoringRule IO 建立者	`monitoringrule-io-creator`	否	機構
MonitoringRule IO 檢視者	`monitoringrule-io-viewer`	否	機構
MonitoringRule IO 編輯者	`monitoringrule-io-editor`	否	機構
MonitoringTarget IO Creator	`monitoringtarget-io-creator`	否	機構
MonitoringTarget IO Viewer	`monitoringtarget-io-viewer`	否	機構
MonitoringTarget IO 編輯者	`monitoringtarget-io-editor`	否	機構
MZ Global API Portforward	`mz-global-api-portforward`	否	機構
ObservabilityPipeline IO Creator	`observabilitypipeline-io-creator`	否	機構
ObservabilityPipeline IO 檢視者	`observabilitypipeline-io-viewer`	否	機構
ObservabilityPipeline IO 編輯者	`observabilitypipeline-io-editor`	否	機構
Observability 管理員	`observability-admin`	否	機構
Observability Admin Debugger	`observability-admin-debugger`	否	機構
可觀測性偵錯工具	`observability-debugger`	否	機構
可觀測性系統偵錯工具	`observability-system-debugger`	否	機構
Observability 檢視者	`observability-viewer`	否	機構
OCLCM Debugger	機構管理員叢集： `oclcm-debugger` 根管理員叢集： `oclcm-debugger-root`	否	機構
OCLCM 檢視者	機構管理員叢集： `oclcm-viewer` 根管理員叢集： `oclcm-viewer-root`	否	機構
機構管理員	`organization-admin`	否	機構
機構帳單管理員	`organization-billing-admin`	否	機構
機構帳單管理員系統叢集	`organization-billing-admin-system-cluster`	否	機構
組織帳單檢視者	`organization-billing-viewer`	否	機構
機構系統構件管理管理員	`organization-system-artifact-management-admin`	否	機構
PERF Admin Monitor	`perf-admin-monitor`	否	機構
PERF 管理員資源維護人員	`perf-admin-resource-maintainer`	否	專案
PERF Debugger	`perf-debugger`	否	專案
PERF 系統監控工具	`perf-system-monitor`	否	專案
PERF 系統資源維護人員	`perf-system-resource-maintainer`	否	專案
PNET Debugger	`pnet-debugger`	否	機構
PNET Monitor	`pnet-monitor`	否	機構
政策管理員	`policy-admin`	否	機構
政策管理工具	`policy-manager`	否	機構
遠端記錄器管理員	`remote-logger-admin`	否	機構
Remote Logger Viewer	`remote-logger-viewer`	否	機構
Root Cortex Alertmanager 編輯者	`root-cortex-alertmanager-editor`	否	機構
Root Cortex Alertmanager 檢視者	`root-cortex-alertmanager-viewer`	否	機構
根 Cortex Prometheus 檢視器	`root-cortex-prometheus-viewer`	否	機構
根工作階段管理員	`root-session-admin`	否	機構
安全性管理員	`security-admin`	是	機構
安全性檢視者	`security-viewer`	否	機構
SERV 管理員偵錯工具	`serv-admin-debugger`	否	機構
SERV 管理員監控器	`serv-admin-monitor`	否	機構	`ClusterRole`
SERV 管理員監控密鑰	`serv-admin-monitor-secrets`	否	機構	`Role`
SERV 管理員密鑰監控	`serv-admin-secret-monitor`	否	機構	`Role`
Service Now 管理員	`service-now-admin`	否	專案
Service Now 管理員	`service-now-admin`	否	專案
SIEM 匯出基礎架構建立者	`siemexport-infra-creator`	否	機構
SIEM 匯出基礎架構編輯者	`siemexport-infra-editor`	否	機構
SIEM 匯出基礎架構檢視者	`siemexport-infra-viewer`	否	機構
SiemInfraForwarder IO Creator	`sieminfraforwarder-io-creator`	否	機構
SiemInfraForwarder IO 編輯者	`sieminfraforwarder-io-editor`	否	機構
SiemInfraForwarder IO 檢視者	`sieminfraforwarder-io-viewer`	否	機構
系統構件管理管理員	`system-artifact-management-admin`	否	機構
系統構件管理密鑰管理員	`system-artifact-management-secrets-admin`	否	機構
系統 Artifact Registry Harbor 管理員	`sar-harbor-admin`	否	機構
系統 Artifact Registry Harbor 讀取權	`sar-harbor-read`	否	機構
System Artifact Registry Harbor ReadWrite	`sar-harbor-readwrite`	否	機構
系統 Artifact Registry 偵錯工具	機構管理員叢集： `sar-debugger` 根管理員叢集： `sar-debugger-root`	否	機構
系統構件登錄檔監控	機構管理員叢集： `sar-monitor` 根管理員叢集： `sar-monitor-root`	否	機構
系統叢集管理員	`system-cluster-admin`	否	機構
系統叢集 DNS 偵錯工具	`system-cluster-dns-debugger`	否	機構
系統叢集 UNET 偵錯工具	`system-cluster-unet-debugger`	否	機構
系統叢集 UNET 監控器	`system-cluster-unet-monitor`	否	機構
系統叢集 Vertex AI Debugger	`system-cluster-vai-debugger`	否	機構
系統叢集檢視者	`system-cluster-viewer`	否	機構
系統專案 VirtualMachine 管理員	`system-project-vm-admin`	否	專案
Tenable Nessus 管理員	`tenable-nessus-admin`	否	專案
Tenable Nessus 管理員	`tenable-nessus-system-admin`	否	專案
Transfer Appliance 申請管理員	`transfer-appliance-request-admin`	否	機構
UI 偵錯工具	`ui-debugger`	否	機構
UNET CLI 機構管理員監控器	`unet-cli-org-admin-monitor`	否	機構
UNET CLI Root Admin Monitor	`unet-cli-root-admin-monitor`	否	機構
UNET CLI 系統監控工具	`unet-cli-system-monitor`	否	機構
UNET CLI 使用者監控	`unet-cli-user-monitor`	否	機構
使用者叢集 UNET 偵錯工具	`user-cluster-unet-debugger`	否	機構
升級管理員	`upgrade-admin`	否	機構
升級 Debugger	`upgrade-debugger`	否	機構
使用者叢集偵錯工具	`user-cluster-debugger`	否	機構
使用者叢集 DNS 偵錯工具	`user-cluster-dns-debugger`	否	機構
使用者叢集 UNET 偵錯工具	`user-cluster-unet-debugger`	否	機構
使用者叢集 UNET 監控器	`user-cluster-unet-monitor`	否	機構
Vertex AI Debugger	`vertex-ai-debugger`	否	機構
機構管理員叢集的 VPN 偵錯工具	`vpn-debugger`	否	專案

IO 存取權角色

IO 目標對象群組
名稱	機構組織管理員叢集權限	使用者叢集權限	呈報至
AIS 管理員	GKE Identity Service Pod 部署作業：讀取和寫入 AIS 加密密碼：刪除	不適用	不適用
AIS Debugger	AIS 資源：建立、讀取、更新、刪除及修補	不適用	不適用
AIS Monitor	`iam-system` 命名空間中的 AIS 資源：讀取和寫入	不適用	不適用
任意構件叢集檢視者	基礎架構叢集控制平面 `infra-cp` 命名空間中的物件儲存空間值區：列出	不適用	不適用
任意構件叢集檢視者	基礎架構叢集管理平面 `infra-mp` 命名空間中的物件儲存空間值區：列出	不適用	不適用
任意構件發布者	基礎架構叢集控制平面 `infra-cp` 命名空間中包含 `model-artifact-registry` 資源的物件儲存空間值區：取得、讀取物件和寫入物件	不適用	不適用
任意構件發布者	基礎架構叢集管理平面 `infra-mp` 命名空間中包含 `model-artifact-registry` 資源的物件儲存空間值區：取得、讀取物件和寫入物件	不適用	不適用
ATAT 管理員	`Organizations`：已讀 `Portfolios`：讀取及寫入 `SecretForwarders`：已讀 `Secrets` (name:atat-portfolio)：讀取及寫入 `ConfigMaps` (name:atat-idp-config)：讀取和寫入 `Deployments` (名稱：atat-frontend)：讀取及寫入 `Namespaces` (名稱：atat-system)：讀取 `Addon` 自訂資源：讀取	不適用	不適用
AuditLoggingTarget IO Creator	`AuditLoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
AuditLoggingTarget IO 編輯者	`AuditLoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
AuditLoggingTarget IO Viewer	`AuditLoggingTarget` 自訂資源：讀取	不適用	不適用
稽核記錄備份還原編輯器	備份 bucket：讀取和寫入	不適用	不適用
稽核記錄基礎架構值區檢視者	備份值區：讀取	不適用	不適用
AuthzPDP Debugger	`AuthzPDP` 服務：讀取及更新 DNS 部署作業：讀取、修補及更新	不適用	不適用
備份管理員	備份和還原方案、手動備份和還原要求、刪除備份要求，以及還原：建立、讀取及刪除備份、磁碟區備份和磁碟區還原：讀取備份存放區：讀取及建立	不適用	不適用
帳單月結單建立者	不適用	月結單：讀取、建立及修補 Pod：建立及讀取機構：讀取	不適用
Cert Manager 系統叢集偵錯工具	憑證、憑證要求、簽發者、叢集簽發者、驗證、訂單：取得、列出、監看、更新、修補、刪除及建立	不適用	不適用
Dashboard IO Creator	`Dashboard` 自訂資源：讀取及寫入	不適用	不適用
資訊主頁 IO 編輯者	`Dashboard` 自訂資源：讀取及寫入	不適用	不適用
資訊主頁 IO 檢視者	`Dashboard` 自訂資源：讀取	不適用	不適用
DBS Debugger	Configmap、`PersistentVolumeClaims`、事件、Pod、Pod 記錄、服務、服務帳戶、部署作業、備份和資料庫：讀取	不適用	不適用
DNS 管理員	DNS 檔案和安全金鑰：建立、讀取、更新及刪除 `DNSRegistration` 自訂資源 (CR)：建立、讀取及更新 DNS 服務和解析程式：讀取及更新	不適用	不適用
DNS 偵錯工具	`dns-debugger`： Configmap 和密鑰：建立、讀取、更新及刪除 DNS 註冊：建立、讀取及更新服務：讀取及更新 Deployment 和 Deployment 記錄：讀取、修補及更新 Pod：建立及讀取 Pod 記錄：讀取	`dns-debugger-root`： Configmap 和密鑰：建立、讀取及刪除 DNS 註冊：建立及讀取服務：讀取及更新 Deployment 和 Deployment 記錄：讀取、修補及更新 Pod：建立及讀取 Pod 記錄：讀取	不適用
DNS 監控器	`dns-monitor`: Configmap、密鑰、DNS 自訂資源：讀取	`dns-monitor-root`： Configmap、密鑰、DNS 自訂資源、DNS 註冊 API、DNS 服務、DNS 部署作業：讀取	不適用
DNS 尾碼檢視者	不適用	DNS 尾碼 configmap：讀取	不適用
DR 管理員	DNS 註冊、備份、服務和服務項目：讀取 ConfigMap、部署作業、災難復原設定和 Pod：讀取及修補密鑰：建立 `web-tls`、`gitlab-rails-secret`、`gitlab-configsync-ro-token`、`git-creds` 和 `iac-creds`：讀取、修補及刪除備份存放區、備份方案和手動備份要求：讀取、建立、修補及刪除還原：讀取、建立及刪除	不適用	不適用
災難復原還原管理員	`Backups`：已讀 `Restores`：讀取、建立及刪除	不適用	不適用
緊急 SSH 憑證管理員	不適用	`EmergencySshCredentials:` 建立、讀取及修補	不適用
EZ Debugger	EasySaaS 資源和維護政策資源：建立、讀取、刪除、更新及修補	不適用	不適用
FluentBit IO Creator	`FluentBit` 自訂資源：讀取及寫入	不適用	不適用
FluentBit IO 編輯器	`FluentBit` 自訂資源：讀取及寫入	不適用	不適用
FluentBit IO 檢視者	`FluentBit` 自訂資源：讀取	不適用	不適用
守門員管理員	部署作業：讀取及修補密鑰：讀取、修補及更新	不適用	不適用
GDCH DR 管理員	`Secrets`、buckets、rolebindings、roles 和 service accounts：讀取和寫入	不適用	不適用
Gemini Artifacts 叢集檢視者	物件儲存空間值區：清單	不適用	不適用
Gemini 構件發布者	物件儲存空間值區：取得、讀取物件和寫入物件 `ConfigMap` 資源：取得	不適用	不適用
Grafana 檢視者	`GrafanaSystem` 和 Grafana：讀取及寫入	不適用	不適用
Grafana Debugger	應用程式、部署作業、有狀態集和 Pod：讀取、更新、刪除及修補	應用程式、部署作業、有狀態集和 Pod：讀取、更新、刪除及修補	不適用
Harbor 執行個體憑證輪替器	密鑰：建立、取得及刪除	不適用	不適用
Harbor 執行個體偵錯工具	Harbor 執行個體：建立、取得、列出、更新、修補及刪除 Harbor 執行個體狀態：取得、修補及更新影子專案：建立、刪除、取得、列出、更新及監控 Harbor 執行個體構件登錄檔自訂資源定義：取得、列出及修補部署作業和部署作業記錄：取得、修補及更新服務：取得及更新部署作業和部署作業記錄：取得、修補及更新 Pod 和 Pod 記錄：取得、列出及觀看 Pod 和 Pod 執行：建立專案網路政策：取得、列出及監控資料庫叢集：取得、列出及監控稽核記錄目標：取得、列出及監控記錄目標：取得、列出、監控、更新及刪除值區：取得、列出及觀看授權政策：取得、列出、監控、更新及刪除	不適用	不適用
Harbor 執行個體偵錯工具	`StatefulSet`、`StatefulSet` 記錄、部署作業和部署作業記錄：取得、列出、監控、修補、更新及刪除服務：取得、列出、監看、修補、更新及刪除 Pod 和 Pod 記錄：取得、列出、觀看、修補、更新及刪除 Pod 和 Pod 執行：建立 Secret 和 `ConfigMap` 資源：取得、列出、監控、更新及刪除永久磁碟區要求：取得、列出、監看、更新及修補	不適用	不適用
Harbor 執行個體偵錯工具專案角色	密鑰：取得、列出、監控、更新及刪除	不適用	不適用
Harbor 執行個體運算子	部署作業和部署作業記錄：取得、修補及更新	不適用	不適用
硬體管理員	硬體相關 CRD：讀取和寫入	不適用	不適用
HSM 管理員	不適用	HSM 狀態、叢集、租戶、密鑰和 `CertificateSigningRequests`：建立、讀取、更新、刪除及修補 Pod、部署作業、命名空間、服務、機構、`AuditLoggingTargets`、`NtpServers`、`HwDrDevices`：讀取	不適用
HSM 系統密鑰監控	不適用	`hsm-system` 命名空間中的密鑰：取得及讀取	不適用
HSM 系統密鑰輪替器	不適用	`hsm-system` 命名空間中的密鑰：取得、讀取、更新及修補	不適用
HWDR 管理員	HWDR 裝置：讀取及刪除備份方案、Pod、記錄：讀取	不適用	不適用
HWDR 檢視者	不適用	備份方案：讀取	不適用
Kiali 管理員	不適用	`Istio authorization`：讀取及寫入	不適用
KMS 管理員	`AEADKey`、`SigningKey`、`KeyImport`、`KeyExport`、`RotationJob` 和 Pod：讀取部署作業：讀取、更新及修補	不適用	不適用
KMS 管理員	不適用	KMS 部署作業：取得、讀取、更新及修補 KMS 部署記錄、Pod 和 Pod 記錄：取得及讀取	不適用
KUB IPAM Debugger	IPAM 資源：讀取及寫入	不適用	不適用
KUB Monitor	KUB 資源：閱讀	不適用	不適用
LogCollector IO Creator	`LogCollector` 自訂資源：讀取及寫入	不適用	不適用
LogCollector IO Editor	`LogCollector` 自訂資源：讀取及寫入	不適用	不適用
LogCollector IO Viewer	`LogCollector` 自訂資源：讀取	不適用	不適用
LoggingRule IO Creator	`LoggingRule` 自訂資源：讀取及寫入	不適用	不適用
LoggingRule IO Editor	`LoggingRule` 自訂資源：讀取及寫入	不適用	不適用
LoggingRule IO Viewer	`LoggingRule` 自訂資源：讀取	不適用	不適用
LoggingTarget IO Creator	`LoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
LoggingTarget IO 編輯者	`LoggingTarget` 自訂資源：讀取及寫入	不適用	不適用
LoggingTarget IO Viewer	`LoggingTarget` 自訂資源：讀取	不適用	不適用
Log Query API Querier	記錄查詢 API 專案記錄：讀取	不適用	不適用
MonitoringRule IO 建立者	`MonitoringRule` 自訂資源：讀取及寫入	不適用	不適用
MonitoringRule IO 編輯者	`MonitoringRule` 自訂資源：讀取及寫入	不適用	不適用
MonitoringRule IO 檢視者	`MonitoringRule` 自訂資源：讀取	不適用	不適用
MonitoringTarget IO Creator	`MonitoringTarget` 自訂資源：讀取及寫入	不適用	不適用
MonitoringTarget IO 編輯者	`MonitoringTarget` 自訂資源：讀取及寫入	不適用	不適用
MonitoringTarget IO Viewer	`MonitoringTarget` 自訂資源：讀取	不適用	不適用
MZ Global API Portforward	全域 API Pod：讀取和寫入	不適用	不適用
ObservabilityPipeline IO Creator	`ObservabilityPipeline` 自訂資源：讀取及寫入	不適用	不適用
ObservabilityPipeline IO 編輯者	`ObservabilityPipeline` 自訂資源：讀取及寫入	不適用	不適用
ObservabilityPipeline IO 檢視者	`ObservabilityPipeline` 自訂資源：讀取	不適用	不適用
Observability 管理員	`obs-system` 命名空間：讀取 Anthos 稽核記錄轉送器和 Anthos 記錄轉送器：更新、修補及刪除	`obs-system` 命名空間：讀取 `audit-logs-loki`、`loki`、`cortex`、`anthos-audit-logs-forwarder`、`anthos-log-forwarder`：更新、修補及刪除	不適用
Observability Admin Debugger	`obs-system` namespace：讀取、管理員 Daemon 集、部署作業、有狀態集、密鑰：讀取、建立、更新、修補及刪除憑證：讀取	部署、有狀態集、Daemon 集、密鑰、ConfigMap：讀取、建立、刪除、修補及更新憑證：讀取	不適用
可觀測性偵錯工具	部署作業、有狀態集、Daemon 集、密鑰、ConfigMap：讀取、建立、刪除、修補及更新憑證：讀取	不適用	不適用
可觀測性系統偵錯工具	部署作業、有狀態集、Daemon 集、密鑰、ConfigMap：讀取、建立、刪除、修補及更新憑證：讀取	不適用	不適用
Observability 檢視者	`obs-system` 命名空間：讀取	`obs-system` 命名空間：讀取	不適用
OCLCM Debugger	`oclcm-debugger`：元件：建立及讀取元件推出和子元件：讀取、修補及更新子元件覆寫：建立、讀取、更新及修補	`oclcm-debugger-root`：元件：建立及讀取元件推出和子元件：讀取、修補及更新子元件覆寫：建立、讀取、更新及修補	不適用
OCLCM 檢視者	`oclcm-viewer`：元件、元件推出、子元件、子元件覆寫：讀取	`oclcm-viewer-root`：元件、元件推出、子元件和子元件覆寫：讀取	不適用
機構管理員	機構自訂資源 (CR)：讀取和寫入機構升級和發布中繼資料：讀取	不適用	不適用
機構帳單管理員	密鑰、值區、資料庫備份方案、資料庫叢集：建立、讀取、更新、修補及刪除 Pod、資料庫匯入、資料庫匯出、資料庫還原：建立、讀取及刪除工作、Cron 工作、帳單資源：讀取	不適用	不適用
機構帳單管理員系統叢集	不適用	Pod：建立、讀取、更新、修補及刪除備份存放區和憑證：讀取、更新及修補	不適用
組織帳單檢視者	帳單資源、機構、密鑰和 Pod：讀取	不適用	不適用
機構系統構件管理管理員	Harbor 專案：管理員、讀取、寫入、查看、建立、修補及刪除 Harbor 使用者憑證：讀取、建立及刪除	不適用	不適用
PERF Admin Monitor	PERF 值區、服務帳戶和密鑰：讀取	不適用	不適用
PERF 管理員資源維護人員	虛擬機器資源、buckets、角色、角色繫結、專案服務帳戶和 KMS 金鑰：讀取和刪除服務帳戶和密鑰：讀取	不適用	不適用
PERF Debugger	`Jobs`：建立、讀取及刪除 `CronJobs` 和 `ConfigMap`：建立、讀取、修補及刪除	不適用	不適用
PERF 系統監控工具	Pod、configmap、Cron 工作：讀取	不適用	不適用
PERF 系統資源維護人員	服務和服務帳戶：讀取及刪除工作和 Cron 工作：讀取	不適用	不適用
PNET Debugger	不適用	PNET 部署作業和部署作業記錄：讀取、修補及更新 Pod、Pod 記錄、子網路聲明和交換器：讀取	不適用
PNET Monitor	不適用	PNET 部署作業、部署作業記錄、Pod、Pod 記錄、子網路聲明和交換器：讀取	不適用
政策管理員	限制：建立、編輯及刪除	不適用	不適用
遠端記錄器管理員	部署作業：讀取、更新、修補及刪除	部署作業：讀取、更新、修補及刪除	不適用
Remote Logger Viewer	部署作業：讀取	部署作業：讀取	不適用
Root Cortex Alertmanager 編輯者	不適用	Cortex Alertmanager、記錄規則和監控規則自訂資源：建立、刪除、讀取、修補及更新	不適用
Root Cortex Alertmanager 檢視者	不適用	Cortex Alertmanager、記錄規則和監控規則自訂資源：讀取	不適用
根 Cortex Prometheus 檢視器	不適用	Cortex 系統和 Cortex Prometheus：請參閱	不適用
根工作階段管理員	不適用	Istio 資源管理工具：建立、讀取、更新、刪除及修補	不適用
安全性管理員	`IAMRoleBinding` 和 `IAMRole`：建立、讀取、更新及刪除 GKE Identity Service 自訂資源 (CR)：讀取和寫入	不適用	機構 IAM 管理員和所有其他 IO 角色
安全性檢視者	`IAMRoleBinding`：已讀 `IAMRole`：已讀 GKE Identity Service 自訂資源 (CR)：讀取	不適用	不適用
SERV 管理員偵錯工具	`ClusterRoleBinding`	`Servers`：Get、List、Patch、Update、Delete、Watch `Baremetalhosts`：Get、List、Patch、Update、Delete、Watch `Certificates`：Get、List、Patch、Update、Delete、Watch `Ospolicies`：Get、List、Patch、Update、Delete、Watch `Deployments`：Get、List、Update、Patch、Watch `Deployments/Scale`：Get、List、Update、Patch、Watch `Deployments/Logs`：Get、List、Update、Patch、Watch `Pods`：取得、清單、觀看 `Pods/Logs`：取得、清單、觀看 `Nodepools`：取得、清單、觀看 `Nodepoolclaims`：取得、清單、觀看 `Nodeupgradetasks`：Get、List、Update、Patch、Watch `Trafficpolicies`：Get、List、Update、Patch、Watch `Cells`：取得、清單、觀看 `Ocittopologies`：取得、清單、觀看 `Torswitches`：取得、清單、觀看 `Organizations`：取得、清單、觀看 `Hsmclusters`：取得、清單、觀看	不適用	不適用
SERV 管理員監控密鑰	`RoleBinding`	`Secrets`：Get、List、Patch、Update、Delete、Watch	不適用	不適用
SERV 管理員監控器	`ClusterRoleBinding`	`Servers`：取得、清單、觀看 `Baremetalhosts`：取得、清單、觀看 `Certificates`：取得、清單、觀看 `Ospolicies`：取得、清單、觀看 `Deployments`：取得、清單、觀看 `Deployments/Scale`：取得、清單、觀看 `Deployments/Logs`：取得、清單、觀看 `Pods`：取得、清單、觀看 `Pods/Logs`：取得、清單、觀看 `Nodepools`：取得、清單、觀看 `Nodeupgradetasks`：取得、清單、觀看 `Trafficpolicies`：取得、清單、觀看 `Cells`：取得、清單、觀看 `Ocittopologies`：取得、清單、觀看	不適用	不適用
SERV 管理員密鑰監控	`RoleBinding`	`Secrets`：取得、清單、觀看	不適用	不適用
Service Now 管理員	`Dnsregistrations`、`Projectnetworkpolicies`、`Virtualservices`、`Envoyfilters`、`Destinationrules`、`Monitoringtargets`、`Monitoringrules`、`Dashboards`、`Probes`：讀取和寫入	不適用	不適用
Service Now 管理員	不適用	服務、設定對應、Pod 記錄和密鑰：讀取和寫入	不適用
SIEM 匯出基礎架構建立者	`SIEMInfraForwarder` 自訂資源和密鑰：取得、建立及讀取	`SIEMInfraForwarder` 自訂資源和密鑰：取得、建立及讀取	不適用
SIEM 匯出基礎架構編輯者	`SIEMInfraForwarder` 自訂資源和密鑰：取得、讀取、更新、刪除及修補	`SIEMInfraForwarder` 自訂資源和密鑰：取得、讀取、更新、刪除及修補	不適用
SIEM 匯出基礎架構檢視者	`SiemInfraForwarder` 自訂資源和密鑰：讀取	`SiemInfraForwarder` 自訂資源和密鑰：讀取	不適用
系統構件管理管理員	`HarborProjects`：管理員、建立、讀取、寫入、刪除及檢視	Harbor 專案和使用者憑證：建立、刪除、修補及讀取 `HarborProjects`：管理員、讀取、寫入發布構件：建立、刪除、更新及讀取 `image-label-map` configmap：建立、刪除、更新及讀取伺服器、信任儲存區 configmap：讀取	不適用
系統構件管理密鑰管理員	不適用	叢集內登錄檔：讀取升級登錄檔鏡像：建立、讀取、更新及刪除	不適用
系統 Artifact Registry Harbor 管理員	Harbor 專案：建立、讀取、更新、修補及刪除	Harbor 專案：建立、讀取、更新、修補及刪除	不適用
系統 Artifact Registry Harbor 讀取權	不適用	Harbor 專案：讀取	不適用
System Artifact Registry Harbor ReadWrite	不適用	Harbor 專案：建立、讀取及寫入	不適用
系統 Artifact Registry 偵錯工具	`sar-debugger`： Harbor 叢集、密鑰、發布政策、手動發布和 ConfigMap：建立、讀取、更新、修補及刪除 Harbor 使用者憑證、PVC、Pod 和 Harbor 機器人帳戶：建立、讀取及刪除發布中繼資料、機構、資料庫叢集、Harbor 專案、憑證、伺服器和叢集：讀取資料庫和 CRD：讀取和刪除部署作業：讀取、更新、修補及刪除永久磁碟區：讀取、更新及修補	`sar-debugger-root`： Harbor 叢集、密鑰、發布政策、手動發布和 ConfigMap：建立、讀取、更新、修補及刪除 PVC、Pod 和 Harbor 機器人帳戶：建立、讀取及刪除發布中繼資料、機構、資料庫叢集、Harbor 專案、憑證、伺服器和叢集：讀取資料庫和 CRD：讀取和刪除部署作業：讀取、更新、修補及刪除永久磁碟區：讀取、更新及修補	不適用
系統構件登錄檔監控	`sar-monitor`： Harbor 叢集、密鑰和 CRD：讀取 Harbor 使用者憑證：建立、讀取及刪除	`sar-monitor-root`： Harbor 叢集、祕密和 CRD：讀取	不適用
系統叢集管理員	不適用	系統叢集：建立、刪除、更新及讀取	不適用
系統叢集 DNS 偵錯工具	不適用	部署作業和部署作業記錄：讀取 Pod：建立及讀取	不適用
系統叢集 UNET 偵錯工具	Configmaps：取得、建立及更新部署作業、部署作業記錄、Daemon 集和 Daemon 集記錄：取得、修補及更新 Pod 和 Pod 記錄：取得、讀取、建立及刪除服務、網路政策和 Cilium：取得、讀取、建立、更新及刪除流量記錄和流量記錄狀態：取得、讀取、建立、修補、更新及刪除	不適用	不適用
系統叢集 UNET 監控器	專案、專案網路政策、ConfigMap、密鑰、憑證、套件、部署作業、常駐程式集、具狀態集、Pod、Pod 記錄、服務、端點、端點切片、網路政策、網路記錄、網路、網路介面、網路、虛擬機器、虛擬機器執行個體、叢集 CIDR 設定、流量記錄、流量記錄狀態、BGP 對等互連、BGP 通告路徑、BGP 接收路徑、BGP 工作階段、BGP 負載平衡器、輸出 NAT 政策、網路閘道群組、網路閘道節點、扁平 IP 模式、多叢集連線設定、VPN 通道、流量轉送、ConfigMap 轉送器、密鑰轉送器、健康狀態檢查、節點集區聲明、節點集區和外掛程式設定：取得及讀取	不適用	不適用
系統叢集 Vertex AI Debugger	Vertex AI 平台：建立、讀取、更新、修補及刪除	不適用	不適用
系統叢集檢視者	不適用	系統叢集：讀取及寫入	不適用
Tenable Nessus 管理員	`DestinationRules`、`DnsRegistrations`、`ProjectNetworkPolicies`、`PeerAuthentication`、`VirtualServices`、`AuditLoggingTargets` 和密鑰：讀取和寫入	`DestinationRules`、`VirtualServices`、`DnsRegistrations`、`PeerAuthentications`、`Pod`、`Service`、`Secret`：讀取和寫入系統叢集：讀取、放置及更新 VM、VM 磁碟、VM 存取要求、VM 外部存取、VM 備份要求、VM 備份、VM 還原要求、VM 還原：建立、讀取、更新、刪除及修補 VM 重新啟動：更新 VM 映像檔、VM 備份方案、VM 備份範本：讀取	不適用
Tenable Nessus 管理員	用於管理 Nessus 的網路元件：讀取和寫入	不適用	不適用
Transfer Appliance 申請管理員	`Transferappliancerequests`：讀取及寫入	不適用	不適用
UI 偵錯工具	後端 UI 伺服器：讀取、修補、更新	不適用	不適用
UNET CLI 機構管理員監控器	網路資源、密鑰、ConfigMap、Cilium 端點、VM、VM 執行階段、叢集和命名空間：讀取 Pod：讀取及建立	不適用	不適用
UNET CLI Root Admin Monitor	不適用	網路資源、密鑰、ConfigMap、Cilium 端點和命名空間：讀取 Pod：讀取及建立	不適用
UNET CLI 系統監控工具	不適用	網路資源、祕密、ConfigMap、Cilium 端點、VM、VM 執行階段、部署作業、叢集、命名空間、CRD：讀取 Pod：讀取及建立	不適用
UNET CLI 使用者監控	不適用	網路資源、密鑰、ConfigMap、Cilium 端點、虛擬機器 (VM)、VM 執行階段、部署作業、叢集、命名空間、CRD：讀取 Pod：讀取及建立	不適用
升級管理員	不適用	Harbor CA 憑證密鑰和 OS 升級：讀取 `ReleaseMetadata` 和 `UserClusterMetadata`：建立及讀取 `Servers`、`CephClusters` 和 `AuditLoggingTargets`：讀取外掛程式升級、Configmap、根管理員叢集、CRD：讀取、更新及修補	不適用
升級 Debugger	不適用	升級資源：建立、讀取、更新、刪除及修補 Harbor 專案：Harbor-admin	不適用
使用者叢集偵錯工具	不適用	使用者叢集：取得、讀取、建立、更新、修補及刪除	不適用
使用者叢集 DNS 偵錯工具	不適用	Deployment、Deployment 記錄、Pod、Pod 記錄：讀取 Pod：建立	不適用
使用者叢集 UNET 偵錯工具	不適用	Configmap：取得、更新及讀取部署作業、部署作業記錄、Daemon 集和 Daemon 集記錄：取得、讀取、修補及更新 Pod 和 Pod 記錄：取得、讀取、建立及刪除服務、cilium 和網路政策：取得、讀取、建立、更新及刪除流量記錄和流量記錄狀態：取得、讀取、建立、修補、更新及刪除	不適用
使用者叢集 UNET 監控器	不適用	專案、專案網路政策、ConfigMap、祕密、憑證、憑證簽發者、套件、部署作業、常駐程式集、具狀態集、Pod、Pod 記錄、服務、端點、端點切片、網路政策、網路記錄、Cilium、網路、網路介面、虛擬機器、虛擬機器執行個體、網路、叢集 CIDR 設定、扁平 IP 模式、ConfigMap 轉送器、祕密轉送器、健康狀態檢查、節點集區聲明、節點集區、外掛程式設定、流量記錄和流量記錄狀態、BGP 對等互連、BGP 播送的路由、BGP 收到的路由、BGP 工作階段、BGP 負載平衡器、輸出 NAT 政策、網路閘道群組、網路閘道節點、扁平 IP 模式、多叢集連線設定、VPN 通道和流量轉送：取得及讀取	不適用
Vertex AI Debugger	不適用	Vertex AI 平台、部署作業、專案、套件：建立、讀取、更新、刪除及修補密鑰：讀取和刪除預先訓練的 API：Read	不適用
管理平面 API 伺服器的 VPN 偵錯工具	不適用	`VPNGateway`：建立、讀取、寫入 `PeerGateway`：建立、讀取、寫入 `VPNBGPPeer`：建立、讀取、寫入 `VPNTunnel`：建立、讀取、寫入	不適用
適用於周邊叢集的 VPN 偵錯工具	不適用	`NetworkGatewayNodes`：建立、讀取、寫入 `NetworkGatewayGroups`：建立、讀取、寫入 `BGPAdvertisedRoutes`：建立、讀取、寫入 `BGPReceivedRoutes`：建立、讀取、寫入 `BGPPeers`：建立、讀取、寫入 `BGPSessions`：建立、讀取、寫入 `VPNTunnels`：建立、讀取、寫入 `TrafficSteering`：建立、讀取、寫入	不適用

PA 目標對象群組和預先定義的身分

PA 目標對象群組
名稱	Kubernetes 資源名稱	初始管理員	等級
AI 平台管理員	`ai-platform-admin`	否	機構
帳單檢視者	`billing-viewer`	否	機構
Bucket 管理員	`bucket-admin`	否	機構
Bucket 物件管理員	`bucket-object-admin`	否	機構
Bucket 物件檢視者	`bucket-object-viewer`	否	機構
CTM 金鑰編輯器	`ctmkey-editor`	否	機構
CTM 金鑰檢視者	`ctmkey-viewer`	否	機構
DR Backup 管理員	`dr-backup-admin`	否	機構
DR 系統管理員	`dr-system-admin`	否	機構
Flow Log Admin	`flowlog-admin`	否	機構
流程記錄檢視器	`flowlog-viewer`	否	機構
GDCH Restrict By Attributes Policy Admin	`gdchrestrictbyattributes-policy-admin`	否	機構
GDCH Restricted Service Policy 管理員	`gdchrestrictedservice-policy-admin`	否	機構
全球 PNP 管理員	`global-project-networkpolicy-admin`	否	機構
IdP 聯盟管理員	`idp-federation-admin`	否	機構
互連網路管理員	`interconnect-admin`	否	機構
KMS 輪替作業管理員	`kms-rotationjob-admin`	否	機構
記錄查詢工具	`log-query-api-querier`	否	專案
Marketplace 服務編輯者	`marketplace-service-editor`	否	機構
機構網路政策管理員	`org-network-policy-admin`	否	機構
機構工作階段管理員	`org-session-admin`	否	機構
機構備份管理員	`organization-backup-admin`	否	機構
機構叢集備份管理員	`organization-cluster-backup-admin`	否	機構
機構 Grafana 檢視者	`organization-grafana-viewer`	否	機構
機構 IAM 管理員	`organization-iam-admin`	是	機構
機構 IAM 檢視者	`organization-iam-viewer`	否	機構
機構資料庫管理員	`organization-db-admin`	否	機構
機構升級管理員	`organization-upgrade-admin`	否	機構
機構升級檢視者	`organization-upgrade-viewer`	否	機構
專案建立者	`project-creator`	否	機構
專案編輯者	`project-editor`	否	機構
SIEM 匯出機構建立者	`siemexport-org-creator`	否	專案
SIEM 匯出機構編輯者	`siemexport-org-editor`	否	專案
SIEM 匯出項目機構檢視者	`siemexport-org-viewer`	否	專案
系統叢集備份存放區管理員	`system-cluster-backup-repository-admin`	否	機構
系統叢集 VM 備份管理員	`system-cluster-vm-backup-admin`	否	機構
Transfer Appliance 申請建立者	`transfer-appliance-request-creator`	否	機構
使用者叢集管理員	`user-cluster-admin`	否	機構
使用者叢集備份管理員	`user-cluster-backup-admin`	否	機構
使用者叢集 CRD 檢視者	`user-cluster-crd-viewer`	否	機構
使用者叢集開發人員	`user-cluster-developer`	否	機構
VPN 管理員	`vpn-admin`	否	專案
VPN 檢視者	`vpn-viewer`	否	專案

PA 存取角色

PA 目標對象群組
名稱	機構組織管理員叢集權限	使用者叢集權限	呈報至
AI 平台管理員	AI 平台使用者介面 (UI)：讀取和寫入	不適用	不適用
備份存放區管理員	備份存放區：建立、讀取及刪除叢集資訊：讀取	不適用	不適用
帳單檢視者	SKU 說明、機器庫存、車隊、月結單和設定：讀取	不適用	不適用
Bucket 管理員	值區和物件：讀取和寫入	不適用	不適用
Bucket 物件管理員	值區：讀取物件：讀取及寫入	不適用	不適用
Bucket 物件檢視者	值區和物件：讀取	不適用	不適用
CTM 金鑰編輯器	`CTMKey` 資源：讀取和刪除	不適用	不適用
CTM 金鑰檢視者	`CTMKey` 資源：讀取	不適用	不適用
DR Backup 管理員	`BackupRepository` 資源：取得、列出、建立、修補及刪除 `BackupPlan` 資源：取得、列出、建立、修補及刪除 `ManualBackupRequest` 資源：取得、列出、建立、修補及刪除 `Backup` 資源：取得及列出	不適用	不適用
DR 系統管理員	密鑰、buckets、角色、角色繫結和服務帳戶：讀取和寫入	不適用	不適用
Flow Log Admin	流量記錄資源：讀取及寫入	不適用	不適用
流程記錄檢視器	流量記錄資源：讀取	不適用	不適用
GDCH Restrict By Attributes Policy Admin	GDCH 受限屬性政策：建立、編輯及刪除	不適用	不適用
GDCH Restricted Service Policy 管理員	GDCH 受限服務政策：建立、編輯及刪除	不適用	不適用
全球 PNP 管理員	專案網路政策：取得、列出、建立、修補、更新及刪除專案網路政策副本：取得、列出、建立、修補、更新及刪除	不適用	不適用
IdP 聯盟管理員	身分提供者設定和密鑰：建立、讀取、更新、修補及刪除	不適用	不適用
互連網路管理員	互連網路連結：取得、列出、監看、建立、更新、刪除及修補附件群組：取得、列出、監看、建立、更新、刪除及修補	不適用	不適用
KMS 輪替作業管理員	`RotationJob` 資源：建立、讀取、更新及刪除	不適用	不適用
記錄查詢工具	記錄查詢 API 專案記錄：讀取	不適用	不適用
Marketplace 服務編輯者	Marketplace 服務：讀取、更新及刪除叢集資訊：讀取	不適用	不適用
機構網路政策管理員	`OrganizationNetworkPolicy` 命名空間：建立、讀取、更新及刪除`platform`	不適用	不適用
機構工作階段管理員	Istio 授權資源：建立、讀取、更新及刪除	不適用	不適用
機構備份管理員	`BackupRepositoryManagers`、備份方案、手動備份要求、刪除備份要求、備份存放區、VM 備份範本、VM 備份要求、VM 還原要求和 VM 刪除備份要求：建立、讀取及刪除密鑰：建立磁碟區備份和叢集資訊：讀取 VM 備份方案、VM 備份、VM 還原：讀取及刪除	不適用	不適用
機構叢集備份管理員	`ClusterBackupRepository`：建立、取得、列出、觀看、修補、更新及刪除 `ManualClusterBackupRequest` 建立、取得、列出、監看及刪除 `ManualClusterRestoreRequest` 建立、取得、列出、監看及刪除 `ClusterRestore` 建立、取得、列出、監看及刪除 `ClusterBackupPlan` 建立、取得、列出、監看、更新及刪除 `ClusterRestorePlan` 建立、取得、列出、監看、更新及刪除 `ClusterBackup` 取得、列出及觀看 `ClusterVolumeBackup` 取得、列出及觀看 `ClusterVolumeRestore` 取得、列出及觀看	不適用	不適用
機構 Grafana 檢視者	`GrafanaSystem` 和 Grafana：讀取及寫入	不適用	不適用
機構 IAM 管理員	`IAMRoleBinding` 和 `IAMRole`：建立、讀取、更新及刪除列出專案命名空間	不適用	專案 IAM 管理員和所有其他 PA 角色
機構 IAM 檢視者	角色型存取權控管 (RBAC) 物件：讀取 `IAMRole` 和 `IAMRoleBinding`：讀取	不適用	不適用
機構資料庫管理員	密鑰、資料庫版本、旗標、維護政策、軟體程式庫和資料庫專案屬性：讀取備份方案和資料庫叢集：建立、讀取、更新及刪除匯入、還原及容錯移轉：建立、讀取及刪除	不適用	不適用
機構升級管理員	維護期間：取得、列出、監看、更新及修補	不適用	不適用
機構升級檢視者	維護期間：取得、列出及監看	不適用	不適用
專案建立者	專案自訂資源 (CR)：讀取及建立機群 CR：讀取和建立叢集：讀取 ATAT 投資組合密鑰：讀取、查看及更新	不適用	不適用
專案編輯者	專案自訂資源 (CR)：讀取、刪除、修補、更新及查看機群 CR：讀取及刪除叢集 CR：讀取	不適用	不適用
SIEM 匯出機構建立者	`SIEMOrgForwarder` 自訂資源和密鑰：取得、建立及讀取	不適用	不適用
SIEM 匯出機構編輯者	`SIEMOrgForwarder` 自訂資源和密鑰：取得、讀取、更新、刪除及修補	不適用	不適用
SIEM 匯出項目機構檢視者	`SIEMOrgForwarder` 自訂資源和密鑰：讀取	不適用	不適用
系統叢集備份存放區管理員	備份存放區：取得、讀取、建立及刪除	不適用	不適用
系統叢集 VM 備份管理員	備份存放區、VM 備份範本、VM 備份要求、VM 還原要求：建立、讀取及刪除 VM 備份方案、VM 備份、VM 還原：讀取及刪除	不適用	不適用
Transfer Appliance 申請建立者	`TransferApplianceRequest` 自訂資源 (CR)：讀取及建立	不適用	不適用
使用者叢集管理員	`UserClusterUpgrade`：讀取及寫入 `UserClusterMetadata`、`ClusterBgpRouters`、`InventoryMachines` 和專案自訂資源 (CR)：讀取 `CidrClaims`：建立、讀取、更新及刪除 `Namespace`：建立及刪除 `ClusterCidrConfigs` 和叢集：建立、讀取、更新、修補及刪除 `NodeUpgrades`：讀取、建立、修補及更新 `HarborClusters`、`Projects`、`UserClusterUpgradeRequests`：讀取	`Clusters` 和 `NodePoolClaims`：讀取及寫入 `NodePools`、`MachineClasses`、`VirtualMachineTypes` 和 `ClusterInfos`：讀取	不適用
使用者叢集備份管理員	不適用	手動備份和還原要求、刪除備份要求、還原和備份存放區：建立、讀取、刪除、更新及修補備份和還原方案：建立、讀取及刪除備份、磁碟區備份和磁碟區還原：讀取 `ClusterInfo`：已讀	不適用
使用者叢集 CRD 檢視者	不適用	`CustomResourceDefinitions`：已讀	不適用
使用者叢集開發人員	不適用	叢集：讀取及寫入	不適用
使用者叢集節點檢視者	不適用	叢集：讀取	不適用
VPN 管理員	不適用	`VPNGateway`：建立、讀取、寫入 `PeerGateway`：建立、讀取、寫入 `VPNBGPPeer`：建立、讀取、寫入 `VPNTunnel`：建立、讀取、寫入	不適用
VPN 檢視者	不適用	`VPNGateway`：已讀 `PeerGateway`：已讀 `VPNBGPPeer`：已讀 `VPNTunnel`：已讀	不適用

AO 目標對象群組和預先定義的身分

AO 目標對象群組
名稱	Kubernetes 資源名稱	初始管理員	等級
AI OCR 開發人員	`ai-ocr-developer`	否	「Project」(專案)
AI Speech 開發人員	`ai-speech-developer`	否	「Project」(專案)
AI 翻譯開發人員	`ai-translation-developer`	否	「Project」(專案)
備份建立者	`backup-creator`	否	專案
憑證授權單位服務管理員	`certificate-authority-service-admin`	否	專案
資訊主頁編輯器	`dashboard-editor`	否	專案
資訊主頁檢視者	`dashboard-viewer`	否	專案
全域負載平衡器管理員	`global-load-balancer-admin`	否	專案
Harbor 執行個體管理員	`harbor-instance-admin`	否	專案
Harbor 執行個體檢視者	`harbor-instance-viewer`	否	專案
Harbor 專案建立者	`harbor-project-creator`	否	專案
K8s NetworkPolicy 管理員	`k8s-networkpolicy-admin`	否	專案
KMS 管理員	`kms-admin`	否	專案
KMS 建立者	`kms-creator`	否	專案
KMS 開發人員	`kms-developer`	否	專案
KMS 金鑰匯出管理員	`kms-keyexport-admin`	否	專案
KMS 金鑰匯入管理員	`kms-keyimport-admin`	否	專案
KMS 檢視者	`kms-viewer`	否	專案
Kubernetes 網路政策管理員	`k8s-networkpolicy-admin`	否	專案
負載平衡器管理員	`load-balancer-admin`	否	專案
Marketplace 編輯者	`marketplace-editor`	否	「Project」(專案)
MonitoringRule 編輯者	`monitoringrule-editor`	否	「Project」(專案)
MonitoringRule 檢視者	`monitoringrule-viewer`	否	「Project」(專案)
MonitoringTarget 編輯者	`monitoringtarget-editor`	否	「Project」(專案)
MonitoringTarget Viewer	`monitoringtarget-viewer`	否	「Project」(專案)
命名空間管理員	`namespace-admin`	否	「Project」(專案)
NAT 檢視器	`nat-viewer`	否	「Project」(專案)
ObservabilityPipeline 編輯者	`observabilitypipeline-editor`	否	「Project」(專案)
ObservabilityPipeline 檢視者	`observabilitypipeline-viewer`	否	「Project」(專案)
專案 Bucket 管理員	`project-bucket-admin`	否	「Project」(專案)
專案 Bucket 物件管理員	`project-bucket-object-admin`	否	「Project」(專案)
專案 Bucket 物件檢視者	`project-bucket-object-viewer`	否	「Project」(專案)
Project Cortex Alertmanager 檢視者	`project-cortex-alertmanager-viewer`	否	「Project」(專案)
Project Cortex Prometheus Viewer	`project-cortex-prometheus-viewer`	否	「Project」(專案)
專案 Grafana 檢視者	`project-grafana-viewer`	否	專案
專案 IAM 管理員	`project-iam-admin`	是	「Project」(專案)
專案 NetworkPolicy 管理員	`project-networkpolicy-admin`	否	「Project」(專案)
專案資料庫管理員	`project-db-admin`	否	「Project」(專案)
專案資料庫編輯者	`project-db-editor`	否	「Project」(專案)
專案資料庫檢視者	`project-db-viewer`	否	「Project」(專案)
專案檢視者	`project-viewer`	否	「Project」(專案)
專案 VirtualMachine 管理員	`project-vm-admin`	否	「Project」(專案)
專案 VirtualMachine 映像檔管理員	`project-vm-image-admin`	否	「Project」(專案)
密鑰管理員	`secret-admin`	否	專案
Secret 檢視者	`secret-viewer`	否	專案
服務設定管理員	`service-configuration-admin`	否	專案
服務設定檢視者	`service-configuration-viewer`	否	專案
系統叢集 VM 備份建立者	`system-cluster-vm-backup-creator`	否	專案
磁碟區複製作業管理員	`app-volume-replication-admin`	否	叢集
Workbench Notebooks 管理員	`workbench-notebooks-admin`	否	專案
Workbench 筆記本檢視者	`workbench-notebooks-viewer`	否	專案

AO 存取權角色

AO 目標對象群組
名稱	機構組織管理員叢集權限	使用者叢集權限	呈報至
AI OCR 開發人員	OCR 資源：讀取及寫入	不適用	不適用
AI Speech 開發人員	語音資源：讀取及寫入	不適用	不適用
AI 翻譯開發人員	翻譯資源：讀取及寫入	不適用	不適用
備份建立者	不適用	手動備份和還原：建立、讀取及刪除備份、還原、備份方案、還原方案、磁碟區備份、磁碟區還原、刪除備份要求：讀取	不適用
憑證授權單位服務管理員	憑證授權單位和憑證要求：取得、列出、監控、更新、建立、刪除及修補	不適用	不適用
資訊主頁編輯器	`Dashboard` 自訂資源：取得、讀取、建立、更新、刪除及修補	不適用	不適用
資訊主頁檢視者	`Dashboard` 自訂資源：取得及讀取	不適用	不適用
全域負載平衡器管理員	不適用	`HealthCheck`：取得、觀看、列出、建立、修補、更新及刪除 `BackendService`：取得、觀看、列出、建立、修補、更新及刪除 `ForwardingRuleExternal`：取得、觀看、列出、建立、修補、更新及刪除 `ForwardingRuleInternal`：取得、觀看、列出、建立、修補、更新及刪除	不適用
Harbor 執行個體管理員	Harbor 執行個體：建立、讀取、更新、刪除及修補	不適用	不適用
Harbor 執行個體檢視者	Harbor 執行個體：讀取	不適用	不適用
K8s NetworkPolicy 管理員	`NetworkPolicy` 資源：建立、讀取、取得、更新、刪除及修補	不適用	不適用
KMS 管理員	`AEADKey`：建立、讀取、更新、刪除、加密及解密 `SigningKey`：建立、讀取、更新、刪除及簽署 `KeyImport` 和 `KeyExport`：讀取	不適用	不適用
KMS 建立者	`AEADKey` 和 `SigningKey`：建立及讀取	不適用	不適用
KMS 開發人員	專案命名空間中的 `AEADKeys`：讀取、加密及解密專案命名空間中的 `SigningKeys`：閱讀並簽署	不適用	不適用
KMS 金鑰匯出管理員	`KeyExport` 資源：建立、讀取、更新及刪除	不適用	不適用
KMS 金鑰匯入管理員	`KeyImport` 資源：建立、讀取、更新及刪除	不適用	不適用
KMS 檢視者	`AEADKey`、`SigningKey`、`KeyImport`、`KeyExport`：閱讀	不適用	不適用
Kubernetes 網路政策管理員	不適用	Kubernetes 網路政策：在使用者叢集中讀取及寫入	不適用
負載平衡器管理員	不適用	`Backend`：取得、觀看、列出、建立、修補、更新及刪除 `HealthCheck`：取得、觀看、列出、建立、修補、更新及刪除 `BackendService`：取得、觀看、列出、建立、修補、更新及刪除 `ForwardingRuleExternal`：取得、觀看、列出、建立、修補、更新及刪除 `ForwardingRuleInternal`：取得、觀看、列出、建立、修補、更新及刪除	不適用
Marketplace 編輯者	不適用	服務執行個體：建立、更新及刪除	不適用
MonitoringRule 編輯者	`MonitoringRule` 自訂資源：建立、讀取、更新、刪除及修補	不適用	不適用
MonitoringRule 檢視者	`MonitoringRule` 自訂資源：讀取	不適用	不適用
MonitoringTarget 編輯者	`MonitoringTarget` 自訂資源：建立、讀取、更新、刪除及修補	不適用	不適用
MonitoringTarget Viewer	`MonitoringTarget` 自訂資源：讀取	不適用	不適用
命名空間管理員	不適用	所有資源：專案命名空間的讀取和寫入權限，系統叢集除外	不適用
NAT 檢視器	不適用	部署作業：取得及讀取	不適用
ObservabilityPipeline 編輯者	`ObservabilityPipeline` 資源：取得、讀取、建立、更新、刪除及修補	不適用	不適用
ObservabilityPipeline 檢視者	`ObservabilityPipeline` 資源：取得及閱讀	不適用	不適用
專案 Bucket 管理員	值區：在專案命名空間中讀取及寫入	不適用	不適用
專案 Bucket 物件管理員	值區：讀取物件：讀取及寫入	不適用	不適用
專案 Bucket 物件檢視者	值區和物件：讀取	不適用	不適用
Project Cortex Alertmanager 檢視者	Cortex 系統和 Cortex Alertmanager：閱讀	不適用	不適用
Project Cortex Prometheus Viewer	Cortex 系統和 Cortex Prometheus：請參閱	不適用	不適用
專案 Grafana 檢視者	Grafana 系統和 Grafana：讀取和寫入	不適用	不適用
專案 IAM 管理員	`IAMRoleBinding` 和 `IAMRole`：建立、讀取、更新、刪除及繫結 `ProjectServiceAccount`：建立、讀取、更新及刪除列出專案命名空間	不適用	所有其他 AO 角色
專案 NetworkPolicy 管理員	專案網路政策：在專案命名空間中讀取及寫入	不適用	不適用
專案資料庫管理員	資料庫版本、旗標、維護政策、軟體程式庫和資料庫專案屬性：讀取備份方案和資料庫叢集：建立、讀取、更新及刪除匯入、匯出及還原：建立、讀取及刪除密鑰：建立、刪除及更新遷移作業和外部伺服器：建立、讀取、更新、刪除及修補	不適用	不適用
專案資料庫編輯者	資料庫版本、標記、維護政策、軟體程式庫、備份計畫和還原：讀取匯入：建立、讀取及刪除資料庫叢集：讀取及更新密鑰：建立及刪除	不適用	不適用
專案資料庫檢視者	資料庫版本、旗標、維護政策、軟體程式庫、備份計畫、還原、匯入、匯出、資料庫叢集和容錯移轉：讀取	不適用	不適用
專案檢視者	專案命名空間中的所有資源：讀取	不適用	不適用
專案 VirtualMachine 管理員	虛擬機器、磁碟、存取要求、外部存取、備份要求、備份、還原要求、刪除備份要求、還原、密碼重設要求：讀取、建立、更新及刪除重新啟動虛擬機器：放置虛擬機器映像檔、備份方案和備份方案範本：讀取	不適用	不適用
專案 VirtualMachine 映像檔管理員	VM 映像檔：請參閱 VM 映像檔匯入作業：讀取及寫入	不適用	不適用
密鑰管理員	Kubernetes Secret：讀取、建立、更新、刪除及修補	不適用	不適用
Secret 檢視者	Kubernetes 密鑰：讀取	不適用	不適用
服務設定管理員	`ServiceConfigurations`：讀取及寫入	不適用	不適用
服務設定檢視者	`ServiceConfigurations`：已讀	不適用	不適用
系統叢集 VM 備份建立者	VM 備份要求、VM 還原要求：建立、讀取及刪除 VM 備份方案、VM 備份方案範本：讀取 VM 備份、VM 還原：讀取和刪除	不適用	不適用
磁碟區複製作業管理員	`Volume failovers, volume relationship replicas`：建立、取得、列出、觀看、刪除	不適用	不適用
Workbench Notebooks 管理員	不適用	專案命名空間中的 Notebook 自訂資源 (CR)：建立、讀取、更新及刪除使用 Istio 的筆記本執行個體：讀取及寫入 `ClusterInfo` 物件：讀取	不適用
Workbench 筆記本檢視者	不適用	專案命名空間中的 Notebook 自訂資源 (CR)：讀取使用 Istio 的筆記本執行個體：讀取及寫入	不適用
工作負載檢視者	不適用	專案命名空間中的 Pod 自訂資源：讀取專案命名空間中的部署作業自訂資源：讀取	不適用

常見角色

常見角色
名稱	Kubernetes 資源名稱	初始管理員	等級
AI 平台檢視者	`ai-platform-viewer`	否	專案
AIS Monitor	`ais-monitor`	否	機構
AIS Debugger	`ais-debugger`	否	機構
資料庫選項檢視者	`db-options-viewer`	否	「Project」(專案)
DB UI 檢視者	`db-ui-viewer`	否	「Project」(專案)
DNS 金鑰管理員	`dns-key-manager`	否	機構
DNS 尾碼檢視者	`dnssuffix-viewer`	否	機構
IAM Debugger	`iam-debugger`	否	機構
IAM 監控	`iam-monitor`	否	機構
Marketplace 服務檢視者	`marketplace-service-viewer`	否	「Project」(專案)
Marketplace 檢視者	`marketplace-viewer`	否	「Project」(專案)
Pricing Calculator 使用者	`pricingcalculator-user`	否	「Project」(專案)
專案探索檢視者	`projectdiscovery-viewer`	否	「Project」(專案)
公開圖片檢視器	`public-image-viewer`	否	機構
系統 Artifact Registry anthos-creds 密鑰監控	`sar-anthos-creds-secret-monitor`	否	機構
系統 Artifact Registry gpc-system 密鑰監控	`sar-gpc-system-secret-monitor`	否	機構
系統 Artifact Registry harbor-system 密鑰偵錯工具	`sar-harbor-system-secret-debugger`	否	機構
系統 Artifact Registry harbor-system 密鑰監控	`sar-harbor-system-secret-monitor`	否	機構
UNET CLI 監控工具	`unet-cli-monitor`	否	機構
UNET Debugger	`unet-debugger`	否	機構
UNET Monitor	`unet-monitor`	否	機構
虛擬機器類型檢視者	`virtualmachinetype-viewer`	是	機構
VM 類型檢視者	`vmtype-viewer`	否	機構

常見的預先定義身分與存取權角色

常見角色
名稱	管理員叢集權限	使用者叢集權限	呈報至
AI 平台檢視者	預先訓練的服務：讀取	不適用	不適用
AIS Monitor	GKE Identity Service 資源：閱讀	不適用	不適用
AIS Debugger	GKE Identity Service 資源：建立、讀取、更新、刪除及修補	不適用	不適用
資料庫選項檢視者	DBS 設定：讀取	不適用	不適用
DB UI 檢視者	DBS UI 設定：請參閱	不適用	不適用
DNS 金鑰管理員	密鑰和 ConfigMap：建立、讀取、更新、刪除及修補	不適用	不適用
DNS 尾碼檢視者	DNS 尾碼設定對應：讀取	不適用	不適用
IAM Debugger	`iam-system` 命名空間中的 IAM 資源：建立、讀取、更新、刪除及修補身分識別提供者設定、用戶端設定、角色、叢集角色、機構角色、專案角色、IAM 角色繫結：建立、讀取、更新、刪除及修補	不適用	不適用
IAM 監控	`iam-system` 命名空間中的 IAM 資源：讀取身分識別提供者設定、用戶端設定、`IoAuthMethods`、IAM 角色範本、IAM 角色繫結、IAM 角色：讀取	不適用	不適用
Marketplace 服務檢視者	Marketplace 服務：讀取	不適用	不適用
Marketplace 檢視者	服務版本和服務執行個體：請參閱	不適用	不適用
Pricing Calculator 使用者	不適用	`SkuDescriptions`：已讀	不適用
專案探索檢視者	專案：讀取	不適用	不適用
公開圖片檢視器	VM 映像檔：請參閱	不適用	不適用
系統 Artifact Registry anthos-creds 密鑰監控	`anthos-creds` 密鑰：取得及讀取	`anthos-creds` 密鑰：取得及讀取	不適用
系統 Artifact Registry gpc-system 密鑰監控	`gpc-system` 密鑰：取得及讀取	`gpc-system` 密鑰：取得及讀取	不適用
系統 Artifact Registry harbor-system 密鑰偵錯工具	`harbor-system` 密鑰：取得、建立、讀取、更新、修補及刪除	`harbor-system` 密鑰：取得、建立、讀取、更新、修補及刪除	不適用
系統 Artifact Registry harbor-system 密鑰監控	`harbor-system` 密鑰：取得及讀取	`harbor-system` 密鑰：取得及讀取	不適用
系統專案 VirtualMachine 管理員	VM、VM 磁碟、VM 存取要求和 VM 外部存取：建立、取得、讀取、更新、刪除及修補 VM 備份範本、VM 備份要求、VM 還原要求和 VM 刪除備份要求：建立、讀取及刪除 VM 備份方案、VM 還原：取得、讀取及刪除 VM 備份和 VM 映像檔：取得並閱讀 VM 重新啟動：更新	不適用	不適用
UNET CLI 監控工具	網路、BGP 對等互連、BGP 通告路由、BGP 接收路由、BGP 工作階段、輸出 NAT 政策、網路閘道群組、網路閘道節點、網路、網路介面、密碼、節點、Cilium 端點、虛擬機器、虛擬機器執行階段、叢集和命名空間：取得及讀取 Pod：讀取及建立	不適用	不適用
UNET Debugger	Configmap：建立及讀取部署作業、部署作業記錄、Daemon 集合和 Daemon 集合記錄：取得、修補及更新 Pod 和 Pod 記錄：取得、讀取、建立及刪除服務和 Cilium 叢集範圍網路政策：取得、讀取、建立、更新及刪除流量記錄和流量記錄狀態：取得、讀取、建立、修補、更新及刪除	不適用	不適用
UNET Monitor	專案、專案網路政策、ConfigMap、祕密、憑證、憑證簽發者、套件、部署作業、精靈集、具狀態集、Pod、Pod 記錄、服務、端點、端點切片、網路政策、Cilium、網路、網路介面、虛擬機器、虛擬機器執行個體、網路、叢集 CIDR 設定、扁平 IP 模式、ConfigMap 轉送器、祕密轉送器、健康狀態檢查、節點集區聲明、節點集區、外掛程式設定、流量記錄和流量記錄狀態：取得及讀取	不適用	不適用
虛擬機器類型檢視者	不適用	VM 類型：讀取	不適用
VM 類型檢視者	VM 類型：讀取	不適用	不適用