Descripciones de los roles predefinidos

Los grupos de audiencia, como operador de infraestructura (IO), administrador de plataforma (PA) y operador de aplicaciones (AO), no son roles. Estos grupos de audiencia son conjuntos de roles de usuario asignados a permisos específicos y a usuarios concretos. Para obtener más información, consulta Audiencias de la documentación.

En cada sección de esta página se indican los roles predefinidos que puedes asignar a los miembros del equipo.

Roles de operador de infraestructura

Los IOs tienen permisos para gestionar el clúster de administrador raíz y el ciclo de vida de la organización. Estos son los roles predefinidos que puedes asignar a los miembros del equipo:

  • Creador de AuditLoggingTarget: crea AuditLoggingTarget recursos personalizados en el clúster de administrador raíz.
  • Editor de AuditLoggingTarget: edita AuditLoggingTarget recursos personalizados en el clúster de administrador raíz.
  • Lector de AuditLoggingTarget: puede ver los recursos personalizados AuditLoggingTarget en el clúster de administrador raíz.
  • Creador de IO de AuditLoggingTarget: crea AuditLoggingTarget recursos personalizados en el espacio de nombres del proyecto.
  • Editor de entrada/salida de AuditLoggingTarget: edita AuditLoggingTarget recursos personalizados en el espacio de nombres del proyecto.
  • Lector de IO de AuditLoggingTarget: consulta los AuditLoggingTarget recursos personalizados en el espacio de nombres del proyecto.
  • Creador de copias de seguridad y restauración de registros de auditoría: crea una configuración de trabajo de transferencia de copias de seguridad y restaura los registros de auditoría.
  • Editor de restauración de copias de seguridad de registros de auditoría: edita la configuración de la tarea de transferencia de copias de seguridad y restaura los registros de auditoría.
  • Lector de segmentos de infraestructura de registros de auditoría: consulta los segmentos de copia de seguridad de los registros de auditoría de la infraestructura.
  • Administrador de AIS: tiene acceso de lectura y escritura a los pods y las implementaciones de GKE Identity Service (AIS).
  • Depurador de AIS: tiene acceso de lectura y escritura a los recursos de AIS para la mitigación.
  • Monitor de AIS: tiene acceso de lectura a los recursos de AIS en el espacio de nombres iam-system.
  • Lector de clústeres de artefactos arbitrarios: tiene acceso de lectura a los segmentos de almacenamiento de objetos del plano de control o del plano de gestión del clúster de infraestructura.
  • Distribuidor de artefactos arbitrarios: tiene acceso de lectura y escritura a los artefactos del modelo en el plano de control o el plano de gestión del clúster de infraestructura.
  • Administrador de ATAT: concede permiso para gestionar los recursos relacionados con la cartera de ATAT.
  • Depurador de AuthzPDP: tiene acceso de lectura y escritura a los recursos del punto de decisión de la política de autorización (PDP) para la mitigación y la depuración.
  • Administrador de copias de seguridad: gestiona los recursos de copia de seguridad, como los planes de copia de seguridad y restauración, en el clúster de administrador de la organización.
  • Creador de facturas: crea facturas manualmente en el clúster de administrador raíz.
  • Depurador de clústeres del sistema de Cert Manager: gestiona los recursos relacionados con cert-manager.
  • Creador de paneles de control: crea Dashboard recursos personalizados en el clúster de administrador raíz.
  • Editor de paneles de control: edita Dashboard recursos personalizados en el clúster de administrador raíz.
  • Lector del panel de control: puede ver los recursos personalizados de Dashboard en el clúster de administrador raíz.
  • Creador de Dashboard IO: crea Dashboard recursos personalizados en el espacio de nombres del proyecto.
  • Editor de entrada/salida del panel de control: edita los recursos personalizados Dashboard del espacio de nombres del proyecto.
  • Visor de IO del panel de control: consulta los recursos personalizados de Dashboard en el espacio de nombres del proyecto.
  • Depurador de DBS: tiene acceso de lectura y escritura a los servicios de bases de datos.
  • Administrador de DNS: actualiza los archivos DNS.
  • Depurador de DNS: tiene permisos de lectura y escritura en todos los recursos de DNS.
  • Monitor de DNS: tiene permisos de lectura en todos los recursos de DNS.
  • Visor de sufijos DNS: muestra el mapa de configuración de sufijos DNS.
  • Administrador de recuperación tras desastres: tiene acceso para realizar todas las tareas de recuperación tras desastres.
  • Administrador de restauración de recuperación tras fallos: realiza restauraciones de recuperación tras fallos.
  • Administrador del sistema de recuperación ante desastres: gestiona los recursos del espacio de nombres dr-system para configurar copias de seguridad en el plano de control.
  • Administrador de credenciales SSH de emergencia: tiene permisos de acceso de emergencia y usa el nodo SSH en el clúster de administrador raíz.
  • EZ Debugger: concede permiso para acceder a los recursos de EasySaaS para depurar la versión rbac.authorization.k8s.io/v1 de la API.
  • Creador de FluentBit: crea FluentBit recursos personalizados en el clúster de administrador raíz.
  • Editor de FluentBit: edita recursos personalizados de FluentBit en el clúster de administrador raíz.
  • Visor de FluentBit: consulta los recursos personalizados de FluentBit en el clúster de administrador raíz.
  • Creador de FluentBit IO: crea recursos personalizados de FluentBit en el espacio de nombres del proyecto.
  • Editor de FluentBit IO: edita FluentBit recursos personalizados en el espacio de nombres del proyecto.
  • Visor de E/S de FluentBit: consulta los recursos personalizados de FluentBit en el espacio de nombres del proyecto.
  • Administrador de Gatekeeper: tiene acceso para reiniciar implementaciones y aplicar parches a secretos.
  • Distribuidor de artefactos de Gemini: tiene acceso de lectura y escritura a los segmentos de almacenamiento de objetos de los recursos de gemini-model-artifact-registry.
  • Lector de clústeres de artefactos de Gemini: tiene acceso de lectura a los segmentos de almacenamiento de objetos del espacio de nombres del clúster.
  • Depurador de Grafana: concede acceso de administrador a los recursos de Grafana en el espacio de nombres obs-system.
  • Lector de Grafana: concede permisos para acceder a la instancia de Grafana en el espacio de nombres del sistema del clúster de administrador raíz.
  • Rotador de credenciales de instancia de Harbor: tiene acceso para gestionar secretos en su proyecto.
  • Depurador de instancias de Harbor: tiene acceso a los servicios y las cargas de trabajo subyacentes de Harbor para depurar problemas en el plano de gestión del clúster de infraestructura.
  • Depurador de instancias de Harbor: tiene acceso a los servicios y las cargas de trabajo subyacentes de Harbor para depurar problemas en el plano de control del clúster de infraestructura.
  • Rol de proyecto de depurador de instancias de Harbor: tiene acceso a los servicios y las cargas de trabajo subyacentes de Harbor para depurar problemas en el espacio de nombres del proyecto.
  • Operador de instancias de Harbor: tiene acceso a los servicios y las cargas de trabajo subyacentes de Harbor para depurar problemas.
  • Administrador de hardware: tiene acceso completo a los recursos de hardware, como conmutadores, racks y servidores.
  • Administrador de HSM: tiene acceso de lectura y escritura a los recursos de los módulos de seguridad de hardware (HSM) del clúster de administrador raíz. Este rol puede solucionar problemas relacionados con HSM y realizar rotaciones manuales de secretos y procedimientos de copia de seguridad manuales que impliquen el HSM.
  • Monitor de secretos del sistema HSM: tiene acceso de solo lectura para ver los secretos del espacio de nombres hsm-system.
  • Rotador de secretos del sistema HSM: tiene acceso de lectura, actualización y edición a los secretos del espacio de nombres hsm-system.
  • Administrador de hardware: tiene acceso completo a los recursos relacionados con el hardware.
  • Visor de HWDR: tiene acceso de solo lectura a los recursos relacionados con el hardware.
  • Administrador de Kiali: otorga permisos para acceder al panel de control de Kiali y depurar la malla de servicios de Istio.
  • Administrador de KMS: lee claves de KMS, trabajos de importación, exportación y rotación en el clúster de administrador de la organización. Este rol también puede gestionar las implementaciones y los pods del KMS, así como ver sus registros.
  • Depurador del sistema KMS: tiene acceso de lectura y escritura a las implementaciones, los pods y los registros de KMS.
  • Depurador de IPAM de KUB: tiene acceso de lectura y escritura para CIDRClaim recursos personalizados.
  • Monitor de KUB: tiene permisos de solo lectura para todos los recursos de KUB.
  • Creador de LogCollector: crea LogCollector recursos personalizados en el clúster de administrador raíz.
  • Editor de LogCollector: edita recursos personalizados de LogCollector en el clúster de administrador raíz.
  • Lector de LogCollector: ve los recursos personalizados de LogCollector en el clúster de administrador raíz.
  • Creador de E/S de LogCollector: crea LogCollector recursos personalizados en el espacio de nombres del proyecto.
  • Editor de E/S de LogCollector: edita LogCollector recursos personalizados en el espacio de nombres del proyecto.
  • Visor de E/S de LogCollector: consulta los recursos personalizados de LogCollector en el espacio de nombres del proyecto.
  • Creador de LoggingRule: crea LoggingRule recursos personalizados en el clúster de administrador raíz.
  • Editor de LoggingRule: edita recursos personalizados de LoggingRule en el clúster de administrador raíz.
  • LoggingRule Viewer: consulta los recursos personalizados de LoggingRule en el clúster de administrador raíz.
  • Creador de LoggingRule IO: crea recursos personalizados de LoggingRule en el espacio de nombres del proyecto.
  • Editor de entrada/salida de LoggingRule: edita recursos personalizados de LoggingRule en el espacio de nombres del proyecto.
  • Visor de entrada/salida de LoggingRule: permite ver recursos personalizados de LoggingRule en el espacio de nombres del proyecto.
  • Creador de IO de LoggingTarget: crea recursos personalizados de LoggingTarget en el espacio de nombres del proyecto.
  • Editor de LoggingTarget IO: edita recursos personalizados de LoggingTarget en el espacio de nombres del proyecto.
  • LoggingTarget IO Viewer: consulta los recursos personalizados de LoggingTarget en el espacio de nombres del proyecto.
  • Consultador de la API Log Query: accede a la API Log Query para consultar registros.
  • Creador de MonitoringRule: crea MonitoringRule recursos personalizados en el clúster de administrador raíz.
  • Editor de MonitoringRule: edita MonitoringRule recursos personalizados en el clúster de administrador raíz.
  • Lector de MonitoringRule: ve los recursos personalizados de MonitoringRule en el clúster de administrador raíz.
  • Creador de IO de MonitoringRule: crea recursos personalizados MonitoringRule en el espacio de nombres del proyecto.
  • Editor de MonitoringRule IO: edita recursos personalizados de MonitoringRule en el espacio de nombres del proyecto.
  • Lector de MonitoringRule IO: consulta los recursos personalizados de MonitoringRule en el espacio de nombres del proyecto.
  • Creador de MonitoringTarget: crea MonitoringTarget recursos personalizados en el clúster de administrador raíz.
  • Editor de MonitoringTarget: edita recursos personalizados de MonitoringTarget en el clúster de administrador raíz.
  • Lector de MonitoringTarget: consulta los recursos personalizados de MonitoringTarget en el clúster de administrador raíz.
  • Creador de IO de MonitoringTarget: crea MonitoringTarget recursos personalizados en el espacio de nombres del proyecto.
  • Editor de IO de MonitoringTarget: edita recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto.
  • Visor de IO de MonitoringTarget: consulta los recursos personalizados de MonitoringTarget en el espacio de nombres del proyecto.
  • Lector de anclaje de arranque de MZ: tiene permisos de lectura zonales para los siguientes recursos personalizados: Zone, Service, ConfigMap y DNSRegistration.
  • Editor de unión de Bootstrap de MZ: tiene permiso para editar KeyPair recursos personalizados.
  • MZ Bootstrap Viewer: tiene permiso de lectura para los recursos personalizados TokenRequest en el mz-system namespace de la API global.
  • Administrador de Config Sync multizona: tiene privilegios de administrador relacionados con Config Sync multizona en el clúster de administrador raíz zonal.
  • Administrador global de Config Sync de varias zonas: tiene privilegios de administrador relacionados con Config Sync de varias zonas en la API global.
  • Administrador de MZ Etcd: tiene permisos de edición para los recursos relacionados con el proceso de arranque multizona de etcd.
  • Limpiador de subcomponentes de MZ Etcd: tiene permiso de edición para el recurso etcd Subcomponent.
  • Visor de MZ Etcd: tiene permisos de lectura para varios recursos relacionados con el arranque y los recursos operativos de etcd.
  • MZ Global API Portforward: tiene permisos de reenvío de puertos para pods de API global.
  • Administrador global de Etcd de MZ: tiene permisos de edición para el secreto de la API global, el clúster de etcd y los recursos de la zona de etcd.
  • Lector global de Etcd de MZ: tiene permisos de lectura para los recursos de secreto de API global, clúster de etcd y zona de etcd.
  • Monitor de recursos de la API de MZ Kube: tiene permisos de lectura para pods, implementaciones y subcomponentes relacionados con los procesos operativos y de arranque multizona.
  • Monitor de MZ: tiene permiso de lectura para los recursos del plano de control en ambos clústeres de administrador.
  • Administrador del grupo de recursos de MZ: tiene permisos de edición para pods, implementaciones, secretos y recursos de certificados.
  • Creador de ObservabilityPipeline: crea ObservabilityPipeline recursos personalizados en el clúster de administrador raíz.
  • Editor de ObservabilityPipeline: edita recursos personalizados de ObservabilityPipeline en el clúster de administrador raíz.
  • Lector de ObservabilityPipeline: consulta los recursos personalizados de ObservabilityPipeline en el clúster de administrador raíz.
  • Creador de ObservabilityPipeline IO: crea ObservabilityPipeline recursos personalizados en el espacio de nombres del proyecto.
  • Editor de ObservabilityPipeline IO: edita ObservabilityPipeline recursos personalizados en el espacio de nombres del proyecto.
  • Visor de ObservabilityPipeline IO: consulta los recursos personalizados de ObservabilityPipeline en el espacio de nombres del proyecto.
  • Administrador de observabilidad: tiene acceso de lectura y escritura a los objetos del espacio de nombres obs-system.
  • Depurador de administrador de observabilidad: tiene acceso de administrador específico del clúster a los recursos de observabilidad en el espacio de nombres obs-system. Este rol permite controlar de forma pormenorizada el acceso al clúster de administrador.
  • Depurador de observabilidad: tiene acceso completo a los recursos de observabilidad del espacio de nombres obs-system.
  • Depurador del sistema de observabilidad: tiene acceso de administrador a nivel de organización a los recursos de observabilidad del espacio de nombres obs-system. Este rol permite gestionar de forma centralizada el acceso de administrador de observabilidad.
  • Lector de observabilidad: tiene acceso de solo lectura para ver objetos en el espacio de nombres obs-system.
  • Depurador de OCLCM: tiene acceso de lectura y escritura para depurar objetos de OCLCM.
  • Lector de OCLCM: tiene acceso de solo lectura para ver objetos de OCLCM.
  • Administrador de la organización: crea y elimina organizaciones, y gestiona el ciclo de vida de la organización.
  • Administrador de facturación de la organización: tiene acceso completo a los recursos de facturación del clúster de administrador de la organización.
  • Clúster del sistema de administrador de facturación de la organización: tiene acceso de administrador para gestionar las operaciones de facturación en el clúster del sistema.
  • Lector de facturación de la organización: tiene acceso de solo lectura a los recursos de facturación de una organización.
  • Administrador de gestión de artefactos del sistema de la organización: tiene acceso de administrador a los recursos de todos los proyectos de Harbor del espacio de nombres del sistema.
  • Monitor de administrador de PERF: tiene permiso de lectura en los contenedores, las cuentas de servicio y los secretos de PERF.
  • Mantenedor de recursos de administrador de PERF: tiene acceso de lectura y escritura a todas las máquinas virtuales, los discos de máquinas virtuales, los accesos externos de máquinas virtuales, las solicitudes de máquinas virtuales, los contenedores, las cuentas de servicio de proyectos, las claves AEAD, las claves de firma y las cuentas de servicio de PERF.
  • PERF Debugger: tiene acceso de lectura y escritura a las tareas del espacio de nombres del proyecto.
  • Monitor del sistema PERF: tiene acceso de solo lectura a todos los pods, los mapas de configuración y las tareas cron de PERF en el espacio de nombres del proyecto.
  • PERF System Resource Maintainer: tiene acceso de lectura y escritura a todos los servicios del espacio de nombres del proyecto.
  • Depurador de PNET: tiene permisos de lectura y escritura en todos los recursos de PNET.
  • Monitor de PNET: tiene permisos de solo lectura en todos los recursos de PNET.
  • Administrador de políticas: gestiona las plantillas de políticas de la organización y tiene acceso completo a las restricciones.
  • Editor de Alertmanager de Project Cortex: edita la instancia de Alertmanager de Cortex en el espacio de nombres del proyecto.
  • Lector de Alertmanager de Project Cortex: ve la instancia de Alertmanager de Cortex en el espacio de nombres del proyecto.
  • Visor de Prometheus de Project Cortex: consulta la instancia de Prometheus de Cortex en el espacio de nombres del proyecto.
  • Visor de Grafana del proyecto: ve la instancia de Grafana en el espacio de nombres del proyecto.
  • Administrador de registro remoto: tiene acceso completo a los recursos de remote-logger.
  • Visor de registros remotos: tiene acceso de solo lectura a los recursos de remote-logger.
  • Editor de Alertmanager de Cortex raíz: concede permisos para editar la instancia de Alertmanager de Cortex en el clúster de administrador raíz.
  • Lector de Alertmanager de Cortex raíz: concede permisos para acceder a la instancia de Alertmanager de Cortex en el clúster de administrador raíz.
  • Lector de Cortex Prometheus raíz: concede permisos para acceder a la instancia de Cortex Prometheus en el clúster de administrador raíz.
  • Administrador de sesión raíz: concede acceso para realizar operaciones de revocación en el clúster de administrador raíz.
  • Administrador de seguridad: crea, actualiza y elimina cualquier permiso y política en el clúster de administrador raíz. Este rol no tiene acceso a los recursos de la organización ni del proyecto.
  • Lector de seguridad: tiene acceso de solo lectura a todos los recursos a los que tiene acceso el administrador de seguridad.
  • Administrador de Service Now (clúster de administrador de la organización): tiene acceso de lectura y escritura a los componentes de red del clúster de administrador de la organización necesarios para gestionar la aplicación ServiceNow.
  • Administrador de Service Now (clúster de usuarios): tiene acceso de lectura y escritura a los componentes del sistema en el clúster del sistema necesarios para gestionar la aplicación ServiceNow.
  • Depurador de administrador de SERV: tiene acceso para modificar los recursos y la implementación de SERV, y otorga permisos de solo lectura para los recursos que no son de SERV y que se necesitan para la depuración.
  • Monitor de administrador de SERV: tiene acceso para modificar los recursos y la implementación de SERV.
  • Monitor de administrador de SERV Secrets: tiene acceso para ver los secretos del espacio de nombres gpc-system, ya que los secretos del servidor no tienen un nombre fijo.
  • Monitor de secretos de administrador de SERV: IO para ver los secretos en el espacio de nombres gpc-system, ya que los secretos del servidor no tienen un nombre fijo.
  • Creador de infraestructuras de exportación de SIEM: crea y lee SIEMInfraForwarder recursos personalizados en los clústeres de administrador de la organización y de administrador raíz.
  • Editor de infraestructura de exportación de SIEM: tiene acceso de lectura y escritura a los recursos personalizados de los clústeres de administrador de la organización y de administrador raíz.SIEMInfraForwarder
  • Lector de infraestructura de exportación de SIEM: tiene acceso de solo lectura a los recursos personalizados de SIEMInfraForwarder en los clústeres de administrador de la organización y administrador raíz.
  • Administrador de secretos de gestión de artefactos del sistema: tiene acceso de administrador a los recursos de secretos para gestionar las configuraciones de réplica del registro.
  • Administrador de Harbor de Artifact Registry del sistema: tiene acceso de administrador a los proyectos de Harbor.
  • System Artifact Registry Harbor Read: tiene acceso de solo lectura a los proyectos de Harbor.
  • System Artifact Registry Harbor ReadWrite: tiene acceso de lectura y escritura a proyectos de Harbor.
  • Depurador de Artifact Registry del sistema: tiene acceso de lectura y escritura a todos los recursos de Harbor.
  • Monitor de registro de artefactos del sistema: tiene acceso de lectura y escritura a los recursos de Harbor en el clúster de administrador raíz.
  • Administrador del clúster del sistema: tiene acceso de lectura y escritura a cualquier permiso y política del clúster del sistema. Este rol tiene acceso a nivel de organización.
  • Depurador de DNS del clúster del sistema: tiene acceso de creación y lectura a cualquier permiso del clúster del sistema.
  • Depurador de Vertex AI de clústeres del sistema: tiene acceso completo a la plataforma Vertex AI.
  • Lector del clúster del sistema: tiene acceso de lectura y escritura a cualquier permiso y política del clúster del sistema.
  • Administrador de máquinas virtuales del proyecto del sistema: tiene acceso para gestionar las máquinas virtuales de los proyectos del sistema.
  • Administrador de Tenable Nessus: tiene acceso de lectura y escritura a los componentes de red de la organización y al clúster de administrador raíz para gestionar las aplicaciones Tenable.sc y Nessus.
  • Administrador de solicitudes de Transfer Appliance: gestiona las solicitudes de Transfer Appliance creadas por un administrador de la plataforma. Un Transfer Appliance te permite transferir grandes cantidades de datos a Distributed Cloud de forma rápida y segura mediante un servidor de almacenamiento de alta capacidad.
  • Monitor de administrador de la organización de la CLI de UNET: tiene permisos de creación y lectura en los recursos de UNET para ejecutar comandos gdcloud system network en el clúster de administrador de la organización.
  • Monitor de administrador raíz de la CLI de UNET: tiene permisos de creación y lectura en los recursos de UNET para ejecutar comandos gdcloud system network en el clúster de administrador raíz.
  • Monitor del sistema de la CLI de UNET: tiene permisos de creación y lectura en los recursos de UNET para ejecutar comandos gdcloud system network en clústeres del sistema.
  • Monitor de usuarios de la CLI de UNET: tiene permisos en los recursos de UNET para ejecutar comandos gdcloud system network en clústeres de usuarios.
  • Actualizar administrador: concede permiso para cargar nuevos artefactos en el registro de Harbor del clúster.
  • Actualizar depurador: tiene permisos de lectura y escritura en los recursos de actualización del clúster del sistema.
  • Depurador de clústeres de usuarios: tiene acceso completo para depurar y mitigar problemas en clústeres de usuarios.
  • Depurador de DNS de clústeres de usuarios: tiene permisos de creación y lectura en clústeres de usuarios.
  • Depurador de interfaz de usuario: tiene permisos para reiniciar las implementaciones de la interfaz de usuario.
  • Depurador de Vertex AI: tiene acceso completo para mitigar los servicios preentrenados.
  • Depurador de VPN para el servidor de la API del plano de gestión: tiene permisos de lectura y escritura en todos los recursos relacionados con la VPN en el servidor de la API Management.
  • Depurador de VPN para el clúster de perímetro de la organización: tiene permisos de lectura y escritura en todos los recursos relacionados con la VPN del clúster de perímetro.

Roles de PA

Los administradores de la plataforma gestionan los recursos a nivel de organización y la gestión del ciclo de vida de los proyectos. Puedes asignar los siguientes roles predefinidos a los miembros del equipo:

  • Administrador de AI Platform: otorga permisos para gestionar servicios preentrenados.
  • Administrador del repositorio de copias de seguridad: gestiona los repositorios de copias de seguridad.
  • Visor de facturación: tiene acceso de solo lectura a las descripciones de SKUs, las máquinas de inventario y las flotas en la página de la tabla de costes.
  • Administrador de segmentos: gestiona los segmentos de almacenamiento de las organizaciones y los proyectos, así como los objetos de esos segmentos.
  • Administrador de objetos de segmento: tiene acceso de solo lectura a los segmentos de una organización y acceso de lectura y escritura a los objetos de esos segmentos.
  • Lector de objetos de segmento: tiene acceso de solo lectura a los segmentos de una organización y a los objetos de esos segmentos.
  • Editor de claves de CTM: tiene acceso completo para gestionar claves de CTM, como la posibilidad de eliminar claves.
  • Visor de claves de CTM: tiene acceso de solo lectura a las claves de CTM.
  • Administrador de copias de seguridad de recuperación tras desastres: realiza copias de seguridad de recuperación tras desastres.
  • Administrador del sistema de recuperación ante desastres: gestiona los recursos del espacio de nombres dr-system para configurar copias de seguridad en el clúster de gestión.
  • DR System Admin MP: gestiona los recursos del espacio de nombres dr-system para configurar copias de seguridad en el clúster de gestión.
  • DR System Admin MP: gestiona los recursos del espacio de nombres dr-system para configurar copias de seguridad en el clúster de gestión.
  • Administrador de registros de flujo: gestiona los recursos de registros de flujo para registrar los metadatos del tráfico de red.
  • Lector de registros de flujo: proporciona acceso de solo lectura a las configuraciones de registros de flujo.
  • Administrador de la política de restricción por atributos de GDCH: tiene acceso completo a la restricción GDCHRestrictByAttributes.
  • Administrador de políticas de servicios restringidos de GDCH: gestiona las plantillas de políticas de la organización y tiene acceso completo a las restricciones. Aplica o revierte las políticas de una organización o un proyecto. Administrador global de PNP: tiene permisos de escritura en todos los recursos de la política de red de proyectos (PNP) multizona en el espacio de nombres del proyecto global.
  • Administrador de federación de IdPs: tiene acceso completo para configurar proveedores de identidades.
  • Administrador de interconexiones: tiene acceso para configurar recursos de interconexión.
  • Administrador de trabajos de rotación de KMS: tiene acceso completo para crear y gestionar el recurso RotationJob, que rota las claves raíz del sistema de gestión de claves (KMS).
  • Consultador de registros: tiene acceso de solo lectura para acceder al endpoint de registro de auditoría o de registro operativo desde la API Log Query para ver los registros de un proyecto.
  • Editor de servicios de Marketplace: actualiza y elimina servicios de Marketplace.
  • Administrador de políticas de red de la organización: gestiona las políticas de red de la organización en el espacio de nombres platform.
  • Administrador de sesión de organización: tiene acceso al comando de revocación. Los usuarios vinculados a este Role se añaden a las ACLs de Istio para la autenticación y la autorización.
  • Administrador de copias de seguridad de la organización: tiene acceso de lectura y escritura para gestionar las copias de seguridad.
  • Administrador de copias de seguridad de clústeres de organización: tiene acceso para gestionar las copias de seguridad de los clústeres de administradores.
  • Visor de Grafana de la organización: concede permisos para acceder a la instancia de Grafana en el espacio de nombres del sistema del clúster de administrador de la organización. Los usuarios vinculados a este ClusterRole se añaden a las ACLs de Istio para la autenticación y la autorización.
  • Administrador de gestión de identidades y accesos de la organización: crea, actualiza y elimina cualquier permiso y política de permisos en el clúster de administrador de la organización.
  • Visor de gestión de identidades y accesos de la organización: tiene acceso de solo lectura a todos los recursos a los que tiene acceso el administrador de gestión de identidades y accesos de la organización.
  • Administrador de bases de datos de la organización: gestiona los recursos del servicio de bases de datos de una organización.
  • Administrador de actualización de la organización: modifica las ventanas de mantenimiento de una organización. Las ventanas de mantenimiento se crean automáticamente durante la creación de la organización.
  • Lector de actualización de organización: ve las ventanas de mantenimiento.
  • Creador de proyectos: crea proyectos.
  • Editor del proyecto: elimina proyectos.
  • Creador de organizaciones de exportación de SIEM: crea SIEMOrgForwarder recursos personalizados.
  • Editor de organización de exportación de SIEM: tiene acceso de lectura y escritura a los recursos personalizados de SIEMOrgForwarder.
  • Lector de exportación de SIEM de organización: tiene acceso de solo lectura para ver recursos personalizados.SIEMOrgForwarder
  • Administrador del repositorio de copias de seguridad del clúster del sistema: tiene acceso completo para gestionar los repositorios de copias de seguridad.
  • Administrador de copias de seguridad de máquinas virtuales del clúster de sistema: gestiona las copias de seguridad de las máquinas virtuales del clúster de sistema.
  • Creador de solicitudes de Transfer Appliance: puede leer y crear solicitudes de Transfer Appliance, lo que te permite transferir grandes cantidades de datos a Distributed Cloud de forma rápida y segura mediante un servidor de almacenamiento de alta capacidad.
  • Administrador de copias de seguridad de clústeres de usuarios: gestiona recursos de copias de seguridad, como planes de copias de seguridad y de restauración, en clústeres de usuarios.
  • Administrador de clúster de usuarios: crea, actualiza y elimina el clúster de usuarios, y gestiona su ciclo de vida.
  • Lector de CRDs de clúster de usuario: acceso de solo lectura a las definiciones de recursos personalizados (CRDs) de un clúster de usuario.
  • Desarrollador de clústeres de usuarios: tiene permisos de administrador de clústeres en clústeres de usuarios.
  • Visor de nodos de clúster de usuarios: tiene permisos de administrador de clúster de solo lectura en clústeres de usuarios.
  • Administrador de VPN: tiene permisos de lectura y escritura en todos los recursos relacionados con la VPN.
  • Visor de VPN: tiene permisos de lectura en todos los recursos relacionados con la VPN.

Roles de AO

Los operadores de aplicaciones (AO) son miembros del equipo de desarrollo de la organización del administrador de la plataforma (PA). Los AOs interactúan con recursos a nivel de proyecto. Puedes asignar los siguientes roles predefinidos a los miembros del equipo:

  • Creador de copias de seguridad: crea copias de seguridad manuales y las restaura.
  • Administrador del servicio de autoridades de certificación: tiene acceso para gestionar autoridades de certificación y solicitudes de certificados en su proyecto.
  • Editor de panel de control: tiene acceso de lectura y escritura a los Dashboard recursos personalizados.
  • Visor del panel de control: tiene acceso de solo lectura a los Dashboard recursos personalizados.
  • Administrador de balanceadores de carga globales: tiene permisos de lectura y escritura en todos los recursos de balanceador de carga del espacio de nombres del proyecto en el servidor de la API global.
  • Administrador de instancias de Harbor: tiene acceso completo para gestionar instancias de Harbor en un proyecto.
  • Lector de instancias de Harbor: tiene acceso de solo lectura para ver instancias de Harbor en un proyecto.
  • Creador de proyectos de Harbor: tiene acceso para gestionar proyectos de instancias de Harbor.
  • Administrador de políticas de red de K8s: gestiona las políticas de red en clústeres de usuarios.
  • Administrador de KMS: gestiona las claves de KMS de un proyecto, incluidas las claves AEADKey y SigningKey. Este rol también puede importar y exportar claves.
  • Creador de KMS: tiene acceso de creación y lectura a las claves de KMS de un proyecto.
  • Desarrollador de KMS: tiene acceso para realizar operaciones criptográficas con claves en proyectos.
  • Administrador de exportación de claves de KMS: tiene acceso para exportar claves de KMS como claves envueltas desde KMS.
  • Administrador de importación de claves de KMS: tiene acceso para importar claves de KMS como claves encapsuladas al KMS.
  • Lector de KMS: tiene acceso de solo lectura a las claves de KMS de su proyecto y puede ver la importación y exportación de claves.
  • Administrador de balanceador de carga: tiene permisos de lectura y escritura en todos los recursos de balanceador de carga del espacio de nombres del proyecto.
  • Editor de Marketplace: tiene acceso de creación, actualización y eliminación en instancias de servicio de un proyecto.
  • Editor de MonitoringRule: tiene acceso de lectura y escritura a los recursos de MonitoringRule.
  • Visor de MonitoringRule: tiene acceso de solo lectura a los MonitoringRulerecursos personalizados.
  • Editor de MonitoringTarget: tiene acceso de lectura y escritura a los MonitoringTarget recursos personalizados.
  • Visor de MonitoringTarget: tiene acceso de solo lectura a los MonitoringTargetrecursos personalizados.
  • Lector de NAT: tiene acceso de solo lectura a las implementaciones de los clústeres de usuario.
  • Administrador del espacio de nombres: gestiona todos los recursos del espacio de nombres del proyecto.
  • Editor de ObservabilityPipeline: tiene acceso de lectura y escritura a los recursos personalizados de ObservabilityPipeine.
  • ObservabilityPipeline Viewer (Visor de ObservabilityPipeline): tiene acceso de solo lectura a los recursos personalizados de ObservabilityPipeline.
  • Administrador de segmentos de proyectos: gestiona los segmentos de almacenamiento y los objetos de los segmentos.
  • Administrador de objetos de segmento de proyecto: tiene acceso de solo lectura a los segmentos de un proyecto y acceso de lectura y escritura a los objetos de esos segmentos.
  • Lector de objetos de segmentos de proyectos: tiene acceso de solo lectura a los segmentos de un proyecto y a los objetos de esos segmentos.
  • Lector de Alertmanager de Project Cortex: concede permisos para acceder a la instancia de Alertmanager de Cortex en el espacio de nombres del proyecto.
  • Lector de Prometheus de Project Cortex: concede permisos para acceder a la instancia de Prometheus de Cortex en el espacio de nombres del proyecto.
  • Lector de Grafana del proyecto: accede a la instancia de Grafana en el espacio de nombres del proyecto del clúster de administrador de la flota.
  • Administrador de gestión de identidades y accesos de proyectos: gestiona las políticas de permiso de gestión de identidades y accesos de los proyectos.
  • Administrador de NetworkPolicy de proyecto: gestiona las políticas de red del proyecto en el espacio de nombres del proyecto.
  • Administrador de la base de datos del proyecto: administra el servicio de datos de un proyecto.
  • Editor de base de datos del proyecto: tiene acceso de lectura y escritura al servicio de base de datos de un proyecto.
  • Lector de base de datos del proyecto: tiene acceso de solo lectura al servicio de base de datos de un proyecto.
  • Lector de proyectos: tiene acceso de solo lectura a todos los recursos de los espacios de nombres del proyecto.
  • Administrador de máquinas virtuales del proyecto: gestiona las VMs en el espacio de nombres del proyecto.
  • Administrador de imágenes de máquina virtual de proyecto: gestiona las imágenes de máquina virtual en el espacio de nombres del proyecto.
  • Administrador de secretos: gestiona los secretos de Kubernetes en los proyectos.
  • Lector de secretos: consulta los secretos de Kubernetes en los proyectos.
  • Administrador de configuración de servicios: tiene acceso de lectura y escritura a las configuraciones de servicios de un espacio de nombres de un proyecto.
  • Lector de configuración de servicio: tiene acceso de lectura a las configuraciones de servicio en un espacio de nombres de proyecto.
  • Creador de copias de seguridad de VMs de clúster del sistema: puede crear y ver copias de seguridad y restauraciones.
  • Vertex AI Optical Character Recognition (OCR) Developer: accede al servicio de OCR en clústeres del sistema.
  • Desarrollador de Speech-to-Text de Vertex AI: accede al servicio Speech-to-Text en clústeres del sistema.
  • Desarrollador de Vertex AI Translation: accede al servicio Translation en clústeres del sistema.
  • Administrador de replicación de volúmenes: gestiona los recursos de replicación de volúmenes.
  • Administrador de cuadernos de Workbench: tiene acceso de lectura y escritura a todos los recursos de cuadernos de un espacio de nombres de un proyecto.
  • Lector de cuadernos de Workbench: tiene acceso de solo lectura a todos los recursos de cuadernos de un espacio de nombres de un proyecto.
  • Lector de cargas de trabajo: tiene acceso de lectura a las cargas de trabajo de un proyecto.

Roles comunes

Los siguientes roles comunes predefinidos se aplican a todos los usuarios autenticados:

  • Visor de AI Platform: otorga permisos para ver servicios preentrenados.
  • Depurador de AIS: tiene acceso completo a todos los recursos de GKE Identity Service (AIS) en el espacio de nombres iam-system.
  • Monitor de AIS: tiene acceso de solo lectura a todos los recursos de AIS del espacio de nombres iam-system.
  • Visor de opciones de DB: muestra todas las opciones de configuración que se pueden usar en el servicio de base de datos.
  • Lector de interfaz de usuario de base de datos: concede permisos a los usuarios autenticados para ver la interfaz de usuario del servicio de base de datos.
  • Gestor de claves de DNS: tiene permisos de lectura y escritura en los recursos DNSSEC configuraciones de claves y material de claves.
  • Visor de sufijos DNS: accede al mapa de configuración del sufijo del servicio de nombres de dominio (DNS).
  • Depurador de gestión de identidades y accesos: tiene acceso de lectura y escritura a todos los recursos de gestión de identidades y accesos para la mitigación en el espacio de nombres iam-system para los tipos de rol Role y ClusterRole.
  • Monitor de IAM: tiene acceso de solo lectura a todos los recursos de Gestión de Identidades y Accesos (IAM) del espacio de nombres iam-system para los tipos de rol Role y ClusterRole.
  • Visualizador de servicios de Marketplace: tiene acceso de lectura para todos los usuarios autenticados a los servicios de Marketplace en el espacio de nombres del sistema.
  • Lector de Marketplace: tiene acceso de solo lectura a las versiones y las instancias de servicio.
  • Usuario de la calculadora de precios: tiene acceso de solo lectura a las descripciones de las unidades de mantenimiento de stock (SKU).
  • Lector de Project Discovery: tiene acceso de lectura para todos los usuarios autenticados a la vista del proyecto.
  • Visor de imágenes públicas: tiene acceso de lectura para todos los usuarios autenticados en las imágenes de VM públicas del espacio de nombres vm-images.
  • Monitor de secretos de Artifact Registry del sistema anthos-creds: tiene acceso de solo lectura a los secretos del espacio de nombres anthos-creds.
  • Monitor de secretos de Artifact Registry del sistema gpc-system: tiene acceso de solo lectura a los secretos del espacio de nombres gpc-system.
  • Depurador de secretos de harbor-system de System Artifact Registry: tiene acceso completo para depurar y mitigar secretos en el espacio de nombres harbor-system.
  • Monitor de secretos de harbor-system del registro de artefactos del sistema: tiene acceso de solo lectura a los secretos del espacio de nombres harbor-system.
  • Visor de tipos de máquinas virtuales: tiene acceso de lectura a los tipos de máquinas virtuales con ámbito de clúster.
  • Visor de tipos de VM: tiene acceso de lectura a los tipos de máquinas virtuales predefinidos en los clústeres de administrador.