Beschreibungen vordefinierter Rollen

Zielgruppengruppen wie Infrastrukturbetreiber (IO), Plattformadministrator (PA) und Anwendungsbetreiber (AO) sind keine Rollen. Diese Zielgruppengruppen sind Sammlungen von Nutzerrollen, die bestimmten Berechtigungen zugeordnet und einzelnen Nutzern zugewiesen werden. Weitere Informationen finden Sie unter Zielgruppen für die Dokumentation.

In jedem Abschnitt auf dieser Seite werden die vordefinierten Rollen aufgeführt, die Sie Teammitgliedern zuweisen können.

Rollen für Infrastrukturbetreiber

IOs haben Berechtigungen zum Verwalten des Root-Administratorclusters und des Lebenszyklus der Organisation. Das sind die vordefinierten Rollen, die Sie Teammitgliedern zuweisen können:

  • AuditLoggingTarget Creator: Erstellt benutzerdefinierte AuditLoggingTarget-Ressourcen im Administrator-Root-Cluster.
  • AuditLoggingTarget Editor: Bearbeiten Sie benutzerdefinierte AuditLoggingTarget-Ressourcen im Administratorcluster der obersten Ebene.
  • AuditLoggingTarget Viewer: Kann AuditLoggingTarget-benutzerdefinierte Ressourcen im Administratorcluster der obersten Ebene aufrufen.
  • AuditLoggingTarget IO Creator: Erstellt benutzerdefinierte AuditLoggingTarget-Ressourcen im Projekt-Namespace.
  • AuditLoggingTarget IO Editor: Bearbeiten Sie benutzerdefinierte AuditLoggingTarget-Ressourcen im Projekt-Namespace.
  • AuditLoggingTarget IO Viewer: AuditLoggingTarget-Benutzerressourcen im Projekt-Namespace ansehen.
  • Audit Logs Backup Restore Creator: Erstellen Sie eine Sicherungsübertragungsjob-Konfiguration und stellen Sie Audit-Logs wieder her.
  • Audit Logs Backup Restore Editor: Die Konfiguration des Sicherungsübertragungsjobs bearbeiten und Audit-Logs wiederherstellen.
  • Audit Logs Infra Bucket Viewer: Back-up-Buckets von Infrastruktur-Audit-Logs ansehen.
  • AIS Admin: Hat Lese- und Schreibzugriff auf GKE Identity Service-Pods (AIS) und -Deployments.
  • AIS Debugger: Hat Lese- und Schreibzugriff auf AIS-Ressourcen zur Risikominderung.
  • AIS Monitor: Hat Lesezugriff auf AIS-Ressourcen im Namespace iam-system.
  • Arbitrary Artifacts Cluster Viewer: Hat Lesezugriff auf Object Storage-Buckets in der Steuerungsebene oder Verwaltungsebene des Infrastrukturclusters.
  • Arbitrary Artifact Distributor: Hat Lese- und Schreibzugriff auf Modellartefakte in der Steuerungsebene oder Verwaltungsebene des Infrastrukturclusters.
  • ATAT-Administrator: Gewährt die Berechtigung zum Verwalten von ATAT-Portfolio-bezogenen Ressourcen.
  • AuthzPDP Debugger: Hat Lese- und Schreibzugriff auf Ressourcen des Autorisierungsrichtlinien-Entscheidungspunkts (Policy Decision Point, PDP) für die Fehlerbehebung.
  • Backup Admin: Verwaltet Sicherungsressourcen wie Sicherungs- und Wiederherstellungspläne im Administratorcluster der Organisation.
  • Billing Invoice Creator: Erstellt Rechnungen manuell im Root-Administratorcluster.
  • Cert Manager System Cluster Debugger: Verwaltet cert-manager-bezogene Ressourcen.
  • Dashboard Creator: Erstellen Sie benutzerdefinierte Dashboard-Ressourcen im Root-Admin-Cluster.
  • Dashboard Editor: Bearbeiten Sie benutzerdefinierte Dashboard-Ressourcen im Administratorcluster des Stammverzeichnisses.
  • Dashboard Viewer: Dashboard benutzerdefinierte Ressourcen im Administrator-Root-Cluster ansehen.
  • Dashboard IO Creator: Erstellt benutzerdefinierte Dashboard-Ressourcen im Namespace des Projekts.
  • Dashboard IO Editor: Bearbeiten Sie benutzerdefinierte Dashboard-Ressourcen im Projekt-Namespace.
  • Dashboard IO Viewer: Dashboard benutzerdefinierte Ressourcen im Namespace des Projekts ansehen.
  • DBS Debugger: Hat Lese- und Schreibzugriff auf die Database Services.
  • DNS-Administrator: Aktualisiert DNS-Dateien.
  • DNS Debugger: Hat Lese- und Schreibberechtigungen für alle DNS-Ressourcen.
  • DNS Monitor: Hat Leseberechtigungen für alle DNS-Ressourcen.
  • DNS Suffix Viewer (DNS-Suffix-Viewer): Zeigt die DNS-Suffix-ConfigMap an.
  • DR-Administrator: Hat Zugriff auf alle Aufgaben zur Notfallwiederherstellung.
  • DR Restore Admin: Führt Wiederherstellungen im Rahmen der Notfallwiederherstellung durch.
  • DR System Admin: Verwaltet Ressourcen im Namespace dr-system, um Back-ups auf der Steuerungsebene einzurichten.
  • Emergency SSH Creds Admin: Hat Notfallzugriffsberechtigungen und verwendet den SSH-Knoten im Root-Administratorcluster.
  • EZ Debugger: Gewährt die Berechtigung für den Zugriff auf EasySaaS-Ressourcen zum Debuggen der API-Version rbac.authorization.k8s.io/v1.
  • FluentBit Creator: Erstellen Sie benutzerdefinierte FluentBit-Ressourcen im Root-Administratorcluster.
  • FluentBit Editor: Bearbeiten Sie benutzerdefinierte FluentBit-Ressourcen im Administratorcluster des Stammverzeichnisses.
  • FluentBit Viewer: FluentBit-benutzerdefinierte Ressourcen im Administratorcluster der obersten Ebene ansehen.
  • FluentBit IO Creator: Erstellt benutzerdefinierte FluentBit-Ressourcen im Projekt-Namespace.
  • FluentBit IO Editor: Bearbeiten Sie benutzerdefinierte FluentBit-Ressourcen im Projekt-Namespace.
  • FluentBit IO Viewer: FluentBit-benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • Gatekeeper-Administrator: Hat Zugriff zum Neustarten von Deployments und zum Patchen von Secrets.
  • Gemini Artifact Distributor: Hat Lese- und Schreibzugriff auf Objekt-Storage-Buckets für gemini-model-artifact-registry-Ressourcen.
  • Gemini Artifacts Cluster Viewer: hat Lesezugriff auf Objekt-Storage-Buckets im Namespace des Clusters.
  • Grafana Debugger: Gewährt Administratorzugriff auf Grafana-Ressourcen im Namespace obs-system.
  • Grafana Viewer: Gewährt Berechtigungen für den Zugriff auf die Grafana-Instanz im System-Namespace des Stammadministratorclusters.
  • Harbor Instance Cred Rotator: Hat Zugriff zum Verwalten von Secrets in seinem Projekt.
  • Harbor Instance Debugger: Hat Zugriff auf die zugrunde liegenden Harbor-Dienste und -Arbeitslasten, um Probleme in der Verwaltungsebene des Infrastrukturclusters zu beheben.
  • Harbor Instance Debugger: Hat Zugriff auf die zugrunde liegenden Harbor-Dienste und ‑Arbeitslasten, um Probleme in der Steuerungsebene des Infrastrukturclusters zu beheben.
  • Harbor Instance Debugger Project Role (Harbor-Instanz-Debugger-Projektrolle): Hat Zugriff auf die zugrunde liegenden Harbor-Dienste und ‑Arbeitslasten, um Probleme im Projekt-Namespace zu beheben.
  • Harbor-Instanzoperator: Hat Zugriff auf zugrunde liegende Harbor-Dienste und ‑Arbeitslasten, um Probleme zu beheben.
  • Hardware-Administrator: Hat vollständigen Zugriff auf Hardwareressourcen wie Switches, Racks und Server.
  • HSM-Administrator: Hat Lese- und Schreibzugriff auf HSM-Ressourcen (Hardwaresicherheitsmodule) im Stammadministratorcluster. Mit dieser Rolle können HSM-bezogene Probleme behoben und manuelle Secret-Rotationen und manuelle Sicherungsverfahren mit dem HSM durchgeführt werden.
  • HSM System Secret Monitor: Hat Lesezugriff, um Secrets im Namespace hsm-system aufzurufen.
  • HSM System Secret Rotator: Hat Lese-, Aktualisierungs- und Bearbeitungszugriff auf Secrets im Namespace hsm-system.
  • HDWR Admin: Hat vollständigen Zugriff auf hardwarebezogene Ressourcen.
  • HWDR Viewer: Hat Lesezugriff auf hardwarebezogene Ressourcen.
  • Kiali-Administrator: Gewährt Berechtigungen für den Zugriff auf das Kiali-Dashboard zum Debuggen des Istio-Service Mesh.
  • KMS-Administrator: Liest KMS-Schlüssel, Import-, Export- und Rotationsjobs im Organisationsadministratorcluster. Mit dieser Rolle können auch Deployments und Pods für den KMS verwaltet und seine Logs aufgerufen werden.
  • KMS System Debugger: Hat Lese- und Schreibzugriff auf KMS-Bereitstellungen, ‑Pods und ‑Logs.
  • KUB IPAM Debugger: Hat Lese- und Schreibzugriff für benutzerdefinierte CIDRClaim-Ressourcen.
  • KUB Monitor: Hat Lesezugriff auf alle Ressourcen in KUB.
  • LogCollector Creator: Erstellen Sie benutzerdefinierte LogCollector-Ressourcen im Administratorcluster der obersten Ebene.
  • LogCollector Editor: Bearbeiten Sie benutzerdefinierte LogCollector-Ressourcen im Administratorcluster der obersten Ebene.
  • LogCollector-Betrachter: LogCollector-benutzerdefinierte Ressourcen im Administratorcluster der obersten Ebene ansehen.
  • LogCollector IO Creator: Erstellt LogCollector benutzerdefinierte Ressourcen im Projekt-Namespace.
  • LogCollector IO Editor: Bearbeiten Sie benutzerdefinierte LogCollector-Ressourcen im Projekt-Namespace.
  • LogCollector IO Viewer: LogCollector benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • LoggingRule Creator: Erstellt benutzerdefinierte LoggingRule-Ressourcen im Administratorcluster der obersten Ebene.
  • LoggingRule Editor: Bearbeiten Sie benutzerdefinierte LoggingRule-Ressourcen im Administratorcluster des Stammverzeichnisses.
  • LoggingRule Viewer: LoggingRule-benutzerdefinierte Ressourcen im Administratorcluster der obersten Ebene ansehen.
  • LoggingRule IO Creator: Erstellt LoggingRule benutzerdefinierte Ressourcen im Projekt-Namespace.
  • LoggingRule IO Editor: Bearbeiten Sie benutzerdefinierte LoggingRule-Ressourcen im Projekt-Namespace.
  • LoggingRule IO Viewer: LoggingRule-benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • LoggingTarget IO Creator: Erstellt LoggingTarget benutzerdefinierte Ressourcen im Projekt-Namespace.
  • LoggingTarget IO Editor: Bearbeiten Sie benutzerdefinierte LoggingTarget-Ressourcen im Projekt-Namespace.
  • LoggingTarget IO Viewer: LoggingTarget-benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • Log Query API Querier: Zugriff auf die Log Query API zum Abfragen von Logs.
  • MonitoringRule Creator: Erstellt MonitoringRule benutzerdefinierte Ressourcen im Root-Administratorcluster.
  • MonitoringRule Editor: Bearbeiten Sie benutzerdefinierte MonitoringRule-Ressourcen im Administratorcluster der obersten Ebene.
  • MonitoringRule Viewer: MonitoringRule-benutzerdefinierte Ressourcen im Administratorcluster auf Stammebene ansehen.
  • MonitoringRule IO Creator: Erstellt MonitoringRule benutzerdefinierte Ressourcen im Projekt-Namespace.
  • MonitoringRule IO Editor: Bearbeiten Sie benutzerdefinierte MonitoringRule-Ressourcen im Projekt-Namespace.
  • MonitoringRule IO Viewer: MonitoringRule-benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • MonitoringTarget Creator: Erstellen Sie benutzerdefinierte MonitoringTarget-Ressourcen im Administratorcluster des Stamms.
  • MonitoringTarget Editor: Bearbeiten Sie benutzerdefinierte MonitoringTarget-Ressourcen im Administratorcluster der obersten Ebene.
  • MonitoringTarget Viewer: MonitoringTarget benutzerdefinierte Ressourcen im Administrator-Root-Cluster ansehen.
  • MonitoringTarget IO Creator: Erstellen Sie benutzerdefinierte MonitoringTarget-Ressourcen im Projekt-Namespace.
  • MonitoringTarget IO Editor: Bearbeiten Sie benutzerdefinierte MonitoringTarget-Ressourcen im Projekt-Namespace.
  • MonitoringTarget IO Viewer: MonitoringTarget benutzerdefinierte Ressourcen im Projekt-Namespace ansehen.
  • MZ Bootstrap Anchor Reader: Hat zonale Leseberechtigungen für die folgenden benutzerdefinierten Ressourcen: Zone, Service, ConfigMap und DNSRegistration.
  • MZ Bootstrap Joining Editor: Hat die Berechtigung, benutzerdefinierte KeyPair-Ressourcen zu bearbeiten.
  • MZ Bootstrap Viewer: Hat die Leseberechtigung für TokenRequest benutzerdefinierte Ressourcen in der mz-system namespace der globalen API.
  • MZ Configsync Admin: Hat Administratorberechtigungen für Configsync mit mehreren Zonen im zonalen Root-Administratorcluster.
  • MZ Configsync global Admin: Hat Administratorberechtigungen für die Multi-Zone-Configsync in der globalen API.
  • MZ Etcd Admin: Hat Bearbeitungsberechtigungen für Ressourcen, die mit dem Multi-Zone-Bootstrap-Prozess von etcd zusammenhängen.
  • MZ Etcd Subcomponent Cleaner: Hat die Berechtigung zum Bearbeiten der etcd-Ressource Subcomponent.
  • MZ Etcd Viewer: Hat Leseberechtigungen für verschiedene Ressourcen im Zusammenhang mit dem etcd-Bootstrapping und Betriebsressourcen.
  • MZ Global API Portforward: Hat Portweiterleitungsberechtigungen für globale API-Pods.
  • MZ Global Etcd Admin: Hat Bearbeitungsberechtigungen für globale API-Secret-, etcd-Cluster- und etcd-Zonenressourcen.
  • MZ Global Etcd Viewer: Hat Leseberechtigungen für globale API-Secret-, etcd-Cluster- und etcd-Zonenressourcen.
  • MZ Kube API Resource Monitor: Hat Leseberechtigungen für Pods, Bereitstellungen und Unterkomponenten, die sich auf die Bootstrap- und Betriebsprozesse für mehrere Zonen beziehen.
  • MZ Monitor: Hat Leseberechtigung für Steuerungsebenenressourcen in beiden Administratorclustern.
  • MZ Resource Group Admin (Administrator der Ressourcengruppe für die Zone): Hat Bearbeitungsberechtigungen für Pods, Bereitstellungen, Secrets und Zertifikatsressourcen.
  • ObservabilityPipeline Creator: Erstellen Sie ObservabilityPipeline benutzerdefinierte Ressourcen im Root-Administratorcluster.
  • ObservabilityPipeline Editor: Bearbeiten Sie benutzerdefinierte ObservabilityPipeline-Ressourcen im Administratorcluster des Stammverzeichnisses.
  • ObservabilityPipeline Viewer: ObservabilityPipeline-benutzerdefinierte Ressourcen im Administratorcluster der obersten Ebene ansehen.
  • ObservabilityPipeline IO Creator: Erstellt benutzerdefinierte ObservabilityPipeline-Ressourcen im Projekt-Namespace.
  • ObservabilityPipeline IO Editor: Bearbeiten Sie benutzerdefinierte ObservabilityPipeline-Ressourcen im Projekt-Namespace.
  • ObservabilityPipeline IO Viewer: ObservabilityPipeline-Benutzerressourcen im Projekt-Namespace ansehen.
  • Observability Admin: Hat Lese-/Schreibzugriff auf Objekte im Namespace obs-system.
  • Observability Admin Debugger: Hat clusterspezifischen Administratorzugriff auf Observability-Ressourcen im Namespace obs-system. Diese Rolle ermöglicht eine detaillierte Steuerung des Zugriffs im Administratorcluster.
  • Observability Debugger: Hat vollen Zugriff auf Observability-Ressourcen im Namespace obs-system.
  • Observability System Debugger: Hat organisationsweiten Administratorzugriff auf Observability-Ressourcen im Namespace obs-system. Mit dieser Rolle kann der Administratorzugriff für die Observability zentral verwaltet werden.
  • Observability Viewer (Betrachter für Observability): Hat schreibgeschützten Zugriff zum Aufrufen von Objekten im Namespace obs-system.
  • OCLCM Debugger: Hat Lese- und Schreibzugriff zum Debuggen von OCLCM-Objekten.
  • OCLCM-Betrachter: Hat Lesezugriff zum Anzeigen von OCLCM-Objekten.
  • Organisationsadministrator: Erstellt und löscht Organisationen und verwaltet den Lebenszyklus der Organisation.
  • Organisationsabrechnungsadministrator: Hat vollständigen Zugriff auf Abrechnungsressourcen im Administratorcluster der Organisation.
  • Organisationsabrechnungsadministrator – Systemcluster: Hat Administratorzugriff zum Verwalten von Abrechnungsvorgängen im Systemcluster.
  • Organisationsabrechnungsbetrachter: Hat Lesezugriff auf Abrechnungsressourcen für eine Organisation.
  • Administrator für die Verwaltung von Systemartefakten der Organisation: Hat Administratorzugriff auf Ressourcen in allen Harbor-Projekten im System-Namespace.
  • PERF Admin Monitor: Hat Leseberechtigung für PERF-Buckets, Dienstkonten und Secrets.
  • PERF Admin Resource Maintainer: Hat Lese- und Schreibzugriff auf alle VMs, VM-Festplatten, externen VM-Zugriffe, VM-Anfragen, Buckets, Projekt-Dienstkonten, AEAD-Schlüssel, Signierschlüssel und PERF-Dienstkonten.
  • PERF Debugger: Hat Lese- und Schreibzugriff für Jobs im Projekt-Namespace.
  • PERF System Monitor: Hat Lesezugriff auf alle Pods, PERF-ConfigMaps und Cron-Jobs im Projekt-Namespace.
  • PERF System Resource Maintainer: Hat Lese- und Schreibzugriff auf alle Dienste im Projekt-Namespace.
  • PNET Debugger: Hat Lese- und Schreibberechtigungen für alle PNET-Ressourcen.
  • PNET Monitor: Hat Lesezugriff auf alle PNET-Ressourcen.
  • Administrator für Organisationsrichtlinien: Verwaltet Richtlinienvorlagen für die Organisation und hat vollen Zugriff auf Einschränkungen.
  • Project Cortex Alertmanager Editor: Bearbeiten Sie die Cortex Alertmanager-Instanz im Projekt-Namespace.
  • Project Cortex Alertmanager Viewer: Zeigt die Cortex Alertmanager-Instanz im Projekt-Namespace an.
  • Project Cortex Prometheus Viewer: Hier können Sie die Cortex Prometheus-Instanz im Projekt-Namespace ansehen.
  • Project Grafana Viewer: Die Grafana-Instanz im Namespace des Projekts ansehen.
  • Remote Logger-Administrator: Hat vollständigen Zugriff auf remote-logger-Ressourcen.
  • Remote Logger Viewer (Betrachter für Remote-Logger): Hat Lesezugriff auf remote-logger-Ressourcen.
  • Root Cortex Alertmanager Editor: Gewährt Berechtigungen zum Bearbeiten der Cortex Alertmanager-Instanz im Root-Administratorcluster.
  • Root Cortex Alertmanager Viewer: Gewährt Berechtigungen für den Zugriff auf die Cortex Alertmanager-Instanz im Administrator-Root-Cluster.
  • Root Cortex Prometheus Viewer: Gewährt Berechtigungen für den Zugriff auf die Cortex Prometheus-Instanz im Administratorcluster auf Stammebene.
  • Root Session Admin: Gewährt Zugriff zum Ausführen von Widerrufsvorgängen im Root-Administratorcluster.
  • Security Admin: Erstellt, aktualisiert und löscht alle Berechtigungen und Richtlinien im Administratorcluster der obersten Ebene. Diese Rolle hat keinen Zugriff auf Organisations- und Projektressourcen.
  • Security Viewer (Sicherheitsbetrachter): Hat Lesezugriff auf alle Ressourcen, auf die der Sicherheitsadministrator Zugriff hat.
  • ServiceNow-Administrator (Organisationsadministratorcluster): Hat Lese- und Schreibzugriff auf Netzwerkkomponenten im Organisationsadministratorcluster, die zum Verwalten der ServiceNow-Anwendung erforderlich sind.
  • Service Now Admin (Nutzercluster): Hat Lese- und Schreibzugriff auf Systemkomponenten im Systemcluster, die zum Verwalten der ServiceNow-Anwendung erforderlich sind.
  • SERV Admin Debugger: Hat Zugriff zum Ändern von SERV-Ressourcen und -Bereitstellungen und bietet schreibgeschützte Berechtigungen für Nicht-SERV-Ressourcen, die zum Debuggen erforderlich sind.
  • SERV Admin Monitor: Hat Zugriff zum Ändern von SERV-Ressourcen und der Bereitstellung.
  • SERV Admin monitor Secrets: Hat Zugriff auf Secrets im Namespace gpc-system, da Server-Secrets keinen festen Namen haben.
  • SERV Admin Secret Monitor: IO zum Aufrufen von Secrets im Namespace „gpc-system“, da Server-Secrets keinen festen Namen haben.
  • SIEM Export Infra Creator: Erstellt und liest benutzerdefinierte SIEMInfraForwarder-Ressourcen in den Administratorclustern der Organisation und des Root-Administrators.
  • SIEM Export Infra Editor: Hat Lese- und Schreibzugriff auf SIEMInfraForwarder benutzerdefinierte Ressourcen in den Clustern „org admin“ und „root admin“.
  • SIEM Export Infra Viewer: Hat Lesezugriff auf SIEMInfraForwarder-Benutzerressourcen in den Clustern des Organisationsadministrators und des Root-Administrators.
  • System Artifact Management Secrets Admin: Hat Administratorzugriff auf Secret-Ressourcen, um Registry-Mirror-Konfigurationen zu verwalten.
  • System Artifact Registry Harbor Admin: Hat Administratorzugriff auf Harbor-Projekte.
  • System Artifact Registry Harbor Read: Hat Lesezugriff auf Harbor-Projekte.
  • System Artifact Registry Harbor ReadWrite: Hat Lese- und Schreibzugriff auf Harbor-Projekte.
  • System Artifact Registry Debugger: Hat Lese- und Schreibzugriff auf alle Harbor-Ressourcen.
  • System Artifact Registry Monitor: Hat Lese- und Schreibzugriff auf Harbor-Ressourcen im Root-Administratorcluster.
  • System Cluster Admin (Systemcluster-Administrator): Hat Lese- und Schreibzugriff auf alle Berechtigungen und Richtlinien im Systemcluster. Diese Rolle hat Zugriff auf Organisationsebene.
  • System Cluster DNS Debugger: Hat Erstellungs- und Lesezugriff auf alle Berechtigungen im Systemcluster.
  • System Cluster Vertex AI Debugger: Hat vollen Zugriff auf die Vertex AI-Plattform.
  • System Cluster Viewer: Hat Lese-/Schreibzugriff auf alle Berechtigungen und Richtlinien im Systemcluster.
  • System Project VirtualMachine Admin: Hat Zugriff zum Verwalten von VMs in Systemprojekten.
  • Tenable Nessus Admin: Hat Lese-/Schreibzugriff auf Netzwerkkomponenten in der Organisation und im Root-Administratorcluster, um die Tenable.sc- und Nessus-Anwendungen zu verwalten.
  • Transfer Appliance Request Admin: Verwaltet Transfer Appliance-Anfragen, die von einem Plattformadministrator (Platform Administrator, PA) erstellt wurden. Mit einer Transfer Appliance können Sie schnell und sicher große Datenmengen über einen Speicherserver mit hoher Kapazität in Distributed Cloud übertragen.
  • UNET CLI Org Admin Monitor: Hat Erstellungs- und Leseberechtigungen für UNET-Ressourcen, um gdcloud system network-Befehle im Cluster des Organisationsadministrators auszuführen.
  • UNET CLI Root Admin Monitor: Hat Berechtigungen zum Erstellen und Lesen von UNET-Ressourcen, um gdcloud system network-Befehle im Root-Admin-Cluster auszuführen.
  • UNET CLI System Monitor: Hat Erstellungs- und Leseberechtigungen für UNET-Ressourcen, um gdcloud system network-Befehle für Systemcluster auszuführen.
  • UNET CLI User Monitor: Hat Berechtigungen für UNET-Ressourcen, um gdcloud system network-Befehle für Nutzercluster auszuführen.
  • Upgrade Admin: Gewährt die Berechtigung, neue Artefakte in die Harbor-Registry des Clusters zu laden.
  • Upgrade Debugger: Hat Lese-/Schreibberechtigungen für Upgrade-Ressourcen im Systemcluster.
  • User Cluster Debugger: Hat vollen Zugriff, um Probleme in Nutzerclustern zu beheben und zu minimieren.
  • User Cluster DNS Debugger: Hat Erstellungs- und Leseberechtigungen in Nutzerclustern.
  • UI Debugger: Hat Berechtigungen zum Neustarten von UI-Bereitstellungen.
  • Vertex AI Debugger: Hat vollen Zugriff, um vortrainierte Dienste zu minimieren.
  • VPN Debugger For Management Plane API server: Hat Lese- und Schreibberechtigungen für alle Ressourcen, die sich auf das VPN auf dem Management API-Server beziehen.
  • VPN Debugger For Org Perimeter Cluster: Hat Lese- und Schreibberechtigungen für alle Ressourcen, die sich auf das VPN im Perimeter-Cluster beziehen.

PA-Rollen

Plattformadministratoren verwalten Ressourcen auf Organisationsebene und den Projektlebenszyklus. Sie können den Teammitgliedern die folgenden vordefinierten Rollen zuweisen:

  • AI Platform Admin: Gewährt Berechtigungen zum Verwalten vortrainierter Dienste.
  • Administrator von Sicherungs-Repositories:Verwaltet Sicherungs-Repositories.
  • Abrechnungsbetrachter:Hat Lesezugriff auf SKU-Beschreibungen, Inventarmaschinen und Flotten auf der Seite mit der Kostentabelle.
  • Bucket-Administrator:Verwaltet Speicher-Buckets in Organisationen und Projekten sowie die Objekte in diesen Buckets.
  • Bucket Object Admin:Hat Lesezugriff auf Buckets in einer Organisation und Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Bucket Object Viewer (Bucket-Objektbetrachter): Hat Lesezugriff auf Buckets in einer Organisation und die Objekte in diesen Buckets.
  • CTM-Schlüsselbearbeiter:Hat vollständigen Zugriff zum Verwalten von CTM-Schlüsseln, z. B. zum Löschen von Schlüsseln.
  • CTM Key Viewer (CTM-Schlüsselbetrachter): Hat Lesezugriff auf CTM-Schlüssel.
  • Administrator für DR-Backups: Führt Backups für die Notfallwiederherstellung durch.
  • DR System Admin: Verwaltet Ressourcen im Namespace dr-system, um Sicherungen im Verwaltungscluster einzurichten.
  • DR System Admin MP: Verwaltet Ressourcen im Namespace dr-system für die Einrichtung von Sicherungen im Verwaltungscluster.
  • DR System Admin MP: Verwaltet Ressourcen im Namespace dr-system für die Einrichtung von Sicherungen im Verwaltungscluster.
  • Flow Log Admin: Verwaltet Flow-Log-Ressourcen zum Protokollieren von Metadaten zum Netzwerkverkehr.
  • Betrachter von Flusslogs: Bietet Lesezugriff auf Flusslogkonfigurationen.
  • GDCH Restrict By Attributes Policy Admin:Hat vollen Zugriff auf die Einschränkung GDCHRestrictByAttributes.
  • Administrator für die Richtlinie für eingeschränkte Dienste von GDCH:Verwaltet Richtlinienvorlagen für die Organisation und hat vollen Zugriff auf Einschränkungen. Wendet Richtlinien für eine Organisation oder ein Projekt an oder macht sie rückgängig. Global PNP Admin (Globaler PNP-Administrator): Hat Schreibberechtigungen für alle PNP-Ressourcen (Project Network Policy, Projektnetzwerkrichtlinie) für Projekte mit mehreren Zonen im globalen Projektnamespace.
  • IdP Federation Admin (Administrator für IdP-Föderation): Hat vollen Zugriff zum Konfigurieren von Identitätsanbietern.
  • Interconnect-Administrator: Hat Zugriff zum Konfigurieren von Interconnect-Ressourcen.
  • KMS Rotation Job Admin:Hat vollen Zugriff zum Erstellen und Verwalten der RotationJob-Ressource, mit der KMS-Stammschlüssel (Key Management System) rotiert werden.
  • Log Querier: Hat schreibgeschützten Zugriff, um über die Log Query API auf den Audit-Log- oder Betriebslog-Endpunkt zuzugreifen und Logs für ein Projekt anzusehen.
  • Marketplace Service Editor:Aktualisiert und löscht Marketplace-Dienste.
  • Administrator für Organisationsnetzwerkrichtlinien: Verwaltet Organisationsnetzwerkrichtlinien im Namespace platform.
  • Sitzungsadministrator der Organisation: Hat Zugriff auf den Befehl zum Widerrufen. Nutzer, die an diese Role gebunden sind, werden den Istio-ACLs für die Authentifizierung und Autorisierung hinzugefügt.
  • Administrator für Organisationssicherungen: Hat Lese- und Schreibzugriff zum Verwalten von Sicherungen.
  • Organization Cluster Backup Admin: Hat Zugriff zum Verwalten von Sicherungen in Administratorclustern.
  • Grafana-Betrachter für Organisationen:Gewährt Berechtigungen für den Zugriff auf die Grafana-Instanz im System-Namespace des Administratorclusters der Organisation. Nutzer, die an diese ClusterRole gebunden sind, werden den Istio-ACLs für die Authentifizierung und Autorisierung hinzugefügt.
  • IAM-Administrator der Organisation:Erstellt, aktualisiert und löscht alle Berechtigungen und Zulassungsrichtlinien im Administratorcluster der Organisation.
  • Organization IAM Viewer (IAM-Betrachter der Organisation): Hat Lesezugriff auf alle Ressourcen, auf die der IAM-Administrator der Organisation Zugriff hat.
  • Organisations-DB-Administrator:Verwaltet Database Service-Ressourcen für eine Organisation.
  • Administrator für Organisationsupgrades:Ändert Wartungsfenster für eine Organisation. Wartungsfenster werden automatisch bei der Erstellung der Organisation erstellt.
  • Betrachter für Organisationsupgrades:Kann Wartungsfenster ansehen.
  • Projektersteller:Erstellt neue Projekte.
  • Projektbearbeiter:Löscht Projekte.
  • SIEM Export Org Creator: Erstellt SIEMOrgForwarder benutzerdefinierte Ressourcen.
  • SIEM Export Org Editor (SIEM Export Org-Bearbeiter): Hat Lese- und Schreibzugriff auf benutzerdefinierte SIEMOrgForwarder-Ressourcen.
  • SIEM Export Org Viewer (SIEM Export Org-Betrachter) Hat Lesezugriff auf benutzerdefinierte SIEMOrgForwarder-Ressourcen.
  • System Cluster Backup Repository Admin: Hat vollen Zugriff zum Verwalten von Sicherungs-Repositories.
  • System Cluster VM Backup Admin: Verwaltet Sicherungen für die VMs des Systemclusters.
  • Transfer Appliance Request Creator:Kann Transfer Appliance-Anfragen lesen und erstellen, mit denen Sie große Datenmengen schnell und sicher über einen Speicherserver mit hoher Kapazität in Distributed Cloud übertragen können.
  • Administrator für Nutzerclustersicherungen:Verwaltet Sicherungsressourcen wie Sicherungs- und Wiederherstellungspläne in Nutzerclustern.
  • Nutzercluster-Administrator:Erstellt, aktualisiert und löscht den Nutzercluster und verwaltet den Lebenszyklus des Nutzerclusters.
  • User Cluster CRD Viewer: Schreibgeschützter Zugriff auf benutzerdefinierte Ressourcendefinitionen (Custom Resource Definitions, CRDs) in einem Nutzercluster.
  • Nutzercluster-Entwickler:Hat Cluster-Administratorberechtigungen in Nutzerclustern.
  • User Cluster Node Viewer:Hat Cluster-Administratorberechtigungen mit Lesezugriff in Nutzerclustern.
  • VPN-Administrator:Hat Lese- und Schreibberechtigungen für alle VPN-bezogenen Ressourcen.
  • VPN-Betrachter:Hat Leseberechtigungen für alle VPN-bezogenen Ressourcen.

AO-Rollen

Anwendungsoperatoren (Application Operators, AO) sind Mitglieder des Entwicklungsteams in der Organisation des Plattformadministrators (Platform Administrator, PA). AOs interagieren mit Ressourcen auf Projektebene. Sie können Teammitgliedern die folgenden vordefinierten Rollen zuweisen:

  • Backup Creator: Erstellt manuelle Sicherungen und führt Wiederherstellungen durch.
  • Certificate Authority Service-Administrator: Hat Zugriff zum Verwalten von Zertifizierungsstellen und Zertifikatsanfragen in seinem Projekt.
  • Dashboard Editor (Dashboard-Bearbeiter): Hat Lese- und Schreibzugriff auf benutzerdefinierte Dashboard-Ressourcen.
  • Dashboard-Betrachter: Hat Lesezugriff auf benutzerdefinierte Dashboard-Ressourcen.
  • Global Load Balancer Admin: Hat Lese- und Schreibberechtigungen für alle Load-Balancer-Ressourcen im Projekt-Namespace auf dem globalen API-Server.
  • Harbor Instance Admin: Hat vollen Zugriff zum Verwalten von Harbor-Instanzen in einem Projekt.
  • Harbor Instance Viewer (Harbor-Instanzbetrachter): Hat Lesezugriff zum Anzeigen von Harbor-Instanzen in einem Projekt.
  • Harbor Project Creator: Hat Zugriff zum Verwalten von Harbor-Instanzprojekten.
  • K8s Network Policy Admin: Verwaltet Netzwerkrichtlinien in Nutzerclustern.
  • KMS-Administrator: Verwaltet KMS-Schlüssel in einem Projekt, einschließlich der Schlüssel AEADKey und SigningKey. Mit dieser Rolle können auch Schlüssel importiert und exportiert werden.
  • KMS Creator: Hat Erstellungs- und Lesezugriff auf KMS-Schlüssel in einem Projekt.
  • KMS-Entwickler: Hat Zugriff, um kryptografische Vorgänge mit Schlüsseln in Projekten auszuführen.
  • KMS Key Export Admin: Hat Zugriff, um KMS-Schlüssel als verpackte Schlüssel aus dem KMS zu exportieren.
  • KMS Key Import Admin: Hat Zugriff zum Importieren von KMS-Schlüsseln als verpackte Schlüssel in den KMS.
  • KMS Viewer: Hat schreibgeschützten Zugriff auf KMS-Schlüssel in seinem Projekt und kann den Import und Export von Schlüsseln ansehen.
  • Load Balancer Admin: Hat Lese- und Schreibberechtigungen für alle Load-Balancer-Ressourcen im Projekt-Namespace.
  • Marketplace-Editor: Hat Zugriff zum Erstellen, Aktualisieren und Löschen von Dienstinstanzen in einem Projekt.
  • MonitoringRule Editor (Bearbeiter von Monitoring-Regeln): Hat Lese- und Schreibzugriff auf MonitoringRule-Ressourcen.
  • MonitoringRule Viewer (Betrachter von Monitoring-Regeln): Hat schreibgeschützten Zugriff auf benutzerdefinierte MonitoringRule-Ressourcen.
  • MonitoringTarget Editor (MonitoringTarget-Bearbeiter): Hat Lese- und Schreibzugriff auf MonitoringTarget-Benutzerressourcen.
  • MonitoringTarget Viewer (Betrachter von MonitoringTarget): Hat Lesezugriff auf MonitoringTarget-Benutzerressourcen.
  • NAT Viewer (NAT-Betrachter): Hat schreibgeschützten Zugriff auf Bereitstellungen in Nutzerclustern.
  • Namespace-Administrator: Verwaltet alle Ressourcen im Projekt-Namespace.
  • ObservabilityPipeline Editor: Hat Lese- und Schreibzugriff auf benutzerdefinierte ObservabilityPipeine-Ressourcen.
  • ObservabilityPipeline Viewer (Betrachter für ObservabilityPipeline): Hat Lesezugriff auf benutzerdefinierte ObservabilityPipeline-Ressourcen.
  • Project Bucket Admin (Projekt-Bucket-Administrator): Verwaltet die Speicher-Buckets und Objekte in Buckets.
  • Project Bucket Object Admin (Projekt-Bucket-Objektadministrator): Hat Lesezugriff auf Buckets in einem Projekt und Lese-/Schreibzugriff auf die Objekte in diesen Buckets.
  • Project Bucket Object Viewer: Hat Lesezugriff auf Buckets in einem Projekt und die Objekte in diesen Buckets.
  • Project Cortex Alertmanager Viewer: Gewährt Berechtigungen für den Zugriff auf die Cortex Alertmanager-Instanz im Projekt-Namespace.
  • Project Cortex Prometheus Viewer: Gewährt Berechtigungen für den Zugriff auf die Cortex Prometheus-Instanz im Projekt-Namespace.
  • Project Grafana Viewer: Greift auf die Grafana-Instanz im Projekt-Namespace des Flottenadministratorclusters zu.
  • Projekt-IAM-Administrator:Verwaltet die IAM-Zulassungsrichtlinien von Projekten.
  • Project NetworkPolicy Admin:Verwaltet die Projekt-NetworkPolicies im Projekt-Namespace.
  • Project DB Admin: Verwaltet den Data Service für ein Projekt.
  • Project DB Editor: Hat Lese- und Schreibzugriff auf den Database Service für ein Projekt.
  • Project DB Viewer: Hat Lesezugriff auf den Database Service für ein Projekt.
  • Projektbetrachter:Hat schreibgeschützten Zugriff auf alle Ressourcen in Projekt-Namespaces.
  • Project VirtualMachine Admin: Verwaltet VMs im Projekt-Namespace.
  • Project VirtualMachine Image Admin: Verwaltet VM-Images im Projekt-Namespace.
  • Secret Admin: Verwaltet Kubernetes-Secrets in Projekten.
  • Secret-Betrachter: Zeigt Kubernetes-Secrets in Projekten an.
  • Service Configuration Admin: Hat Lese- und Schreibzugriff auf Dienstkonfigurationen in einem Projekt-Namespace.
  • Service Configuration Viewer: Hat Lesezugriff auf Dienstkonfigurationen in einem Projekt-Namespace.
  • System Cluster VM Backup Creator:Kann Sicherungen erstellen und ansehen sowie Wiederherstellungen durchführen.
  • Vertex AI Optical Character Recognition (OCR) Developer: Greift auf den OCR-Dienst in Systemclustern zu.
  • Vertex AI Speech-to-Text Developer: Greift auf den Speech-to-Text-Dienst in Systemclustern zu.
  • Vertex AI Translation Developer: Greift auf den Übersetzungsdienst in Systemclustern zu.
  • Volume Replication Admin (Administrator für Volume-Replikation): Verwaltet Ressourcen für die Volume-Replikation.
  • Workbench Notebooks Admin: Hat Lese- und Schreibzugriff auf alle Notebook-Ressourcen in einem Projektnamespace.
  • Workbench Notebooks Viewer: Hat Lesezugriff auf alle Notebook-Ressourcen in einem Projektnamespace.
  • Workload Viewer (Arbeitslastbetrachter): Hat Lesezugriff auf Arbeitslasten in einem Projekt.

Häufige Rollen

Die folgenden vordefinierten allgemeinen Rollen gelten für alle authentifizierten Nutzer:

  • AI Platform-Betrachter: Gewährt Berechtigungen zum Aufrufen vortrainierter Dienste.
  • AIS Debugger: Hat vollständigen Zugriff auf alle GKE Identity Service-Ressourcen (AIS) im Namespace iam-system.
  • AIS Monitor: Hat Lesezugriff auf alle AIS-Ressourcen im Namespace iam-system.
  • DB Options Viewer: Zeigt alle Konfigurationsoptionen an, die im Database Service verwendet werden können.
  • DB UI Viewer: Gewährt authentifizierten Nutzern Berechtigungen zum Aufrufen der Database Service-Benutzeroberfläche.
  • DNS Key Manager: Hat Lese- und Schreibberechtigungen für Ressourcen DNSSEC, Schlüsselkonfigurationen und Schlüsselmaterial.
  • DNS Suffix Viewer: Greift auf die Konfigurationszuordnung für das DNS-Suffix (Domain Name Service) zu.
  • IAM Debugger: Hat Lese- und Schreibzugriff auf alle IAM-Ressourcen zur Risikominderung im Namespace iam-system für die Rollentypen Role und ClusterRole.
  • IAM Monitor: Hat schreibgeschützten Zugriff auf alle Identity and Access Management-Ressourcen (IAM) im Namespace iam-system für die Rollentypen Role und ClusterRole.
  • Marketplace Service Viewer: Hat Lesezugriff für alle authentifizierten Nutzer auf Marketplace-Dienste im System-Namespace.
  • Marketplace Viewer (Marketplace-Betrachter): Hat schreibgeschützten Zugriff auf Dienstversionen und Dienstinstanzen.
  • Pricing Calculator User (Preisrechnernutzer): Hat schreibgeschützten Zugriff auf Beschreibungen von Artikelnummern.
  • Project Discovery Viewer: Hat Lesezugriff für alle authentifizierten Nutzer auf die Projektansicht.
  • Public Image Viewer: Hat Lesezugriff für alle authentifizierten Nutzer auf die öffentlichen VM-Images im Namespace vm-images.
  • System Artifact Registry anthos-creds secret Monitor: Hat schreibgeschützten Zugriff auf Secrets im Namespace anthos-creds.
  • System Artifact Registry gpc-system secret Monitor: Hat schreibgeschützten Zugriff auf Secrets im Namespace gpc-system.
  • System Artifact Registry harbor-system secret Debugger: Hat vollen Zugriff, um Secrets im Namespace harbor-system zu debuggen und zu minimieren.
  • System Artifact Registry harbor-system secret Monitor: Hat schreibgeschützten Zugriff auf Secrets im Namespace harbor-system.
  • Virtual Machine Type Viewer: Hat Lesezugriff auf virtuelle Maschinentypen auf Clusterebene.
  • VM Type Viewer: Hat Lesezugriff auf die vordefinierten VM-Typen in den Administratorclustern.