Descriptions des rôles prédéfinis

Les groupes d'audience tels que "Opérateur d'infrastructure" (IO), "Administrateur de plate-forme" (PA) et "Opérateur d'application" (AO) ne sont pas des rôles. Ces groupes d'audience sont des ensembles de rôles utilisateur mappés à des autorisations spécifiques et attribués à des utilisateurs individuels. Pour en savoir plus, consultez Publics de la documentation.

Chaque section de cette page liste les rôles prédéfinis que vous pouvez attribuer aux membres de l'équipe.

Rôles d'opérateur d'infrastructure

Les IO sont autorisés à gérer le cluster d'administrateur racine et le cycle de vie de l'organisation. Voici les rôles prédéfinis que vous pouvez attribuer aux membres de l'équipe :

  • Créateur AuditLoggingTarget : créez des ressources personnalisées AuditLoggingTarget dans le cluster d'administrateur racine.
  • Éditeur AuditLoggingTarget : modifiez les ressources personnalisées AuditLoggingTarget dans le cluster d'administrateur racine.
  • Lecteur AuditLoggingTarget : affiche les ressources personnalisées AuditLoggingTarget dans le cluster d'administrateur racine.
  • Créateur AuditLoggingTarget IO : créez des ressources AuditLoggingTarget personnalisées dans l'espace de noms du projet.
  • Éditeur IO AuditLoggingTarget : modifiez les ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet.
  • Lecteur AuditLoggingTarget IO : affiche les ressources personnalisées AuditLoggingTarget dans l'espace de noms du projet.
  • Créateur de sauvegarde et de restauration des journaux d'audit : créez une configuration de job de transfert de sauvegarde et restaurez les journaux d'audit.
  • Éditeur de sauvegarde et de restauration des journaux d'audit : modifiez la configuration du job de transfert de sauvegarde et restaurez les journaux d'audit.
  • Lecteur de buckets d'infrastructure de journaux d'audit : permet d'afficher les buckets de sauvegarde des journaux d'audit de l'infrastructure.
  • Administrateur AIS : dispose d'un accès en lecture et en écriture aux pods et déploiements GKE Identity Service (AIS).
  • Débogueur AIS : dispose d'un accès en lecture et en écriture aux ressources AIS pour la mitigation.
  • AIS Monitor : dispose d'un accès en lecture aux ressources AIS dans l'espace de noms iam-system.
  • Lecteur de cluster d'artefacts arbitraires : dispose d'un accès en lecture aux buckets de stockage d'objets dans le plan de contrôle ou le plan de gestion du cluster d'infrastructure.
  • Distributeur d'artefacts arbitraires : dispose d'un accès en lecture et en écriture aux artefacts de modèle dans le plan de contrôle ou le plan de gestion du cluster d'infrastructure.
  • Administrateur ATAT : accorde l'autorisation de gérer les ressources liées au portefeuille ATAT.
  • Débogueur AuthzPDP : accès en lecture et en écriture aux ressources du point de décision de la stratégie d'autorisation (PDP) pour la résolution des problèmes et le débogage.
  • Administrateur de la sauvegarde : gère les ressources de sauvegarde telles que les plans de sauvegarde et de restauration dans le cluster d'administrateur de l'organisation.
  • Créateur de factures : crée manuellement des factures dans le cluster administrateur racine.
  • Débogueur du cluster système Cert Manager : gère les ressources associées à cert-manager.
  • Créateur de tableaux de bord : créez des ressources personnalisées Dashboard dans le cluster d'administrateur racine.
  • Éditeur de tableaux de bord : modifiez les ressources personnalisées Dashboard dans le cluster d'administrateur racine.
  • Lecteur de tableau de bord : affiche les ressources personnalisées Dashboard dans le cluster d'administration racine.
  • Créateur Dashboard IO : créez des ressources personnalisées Dashboard dans l'espace de noms du projet.
  • Éditeur d'E/S du tableau de bord : modifiez les ressources personnalisées Dashboard dans l'espace de noms du projet.
  • Lecteur Dashboard IO : affiche les ressources personnalisées Dashboard dans l'espace de noms du projet.
  • Débogueur DBS : accès en lecture et en écriture aux services de base de données.
  • Administrateur DNS : met à jour les fichiers DNS.
  • Débogueur DNS : dispose d'autorisations en lecture et en écriture sur toutes les ressources DNS.
  • Lecteur DNS : dispose d'autorisations de lecture sur toutes les ressources DNS.
  • DNS Suffix Viewer (Afficheur de suffixe DNS) : affiche la configmap du suffixe DNS.
  • Administrateur de la reprise après sinistre : a accès à toutes les tâches de reprise après sinistre.
  • Administrateur de la restauration de la reprise après sinistre : effectue des restaurations de reprise après sinistre.
  • Administrateur du système de reprise après sinistre : gère les ressources dans l'espace de noms dr-system pour configurer les sauvegardes sur le plan de contrôle.
  • Administrateur des identifiants SSH d'urgence : dispose d'autorisations d'accès d'urgence et utilise le nœud SSH dans le cluster d'administrateur racine.
  • EZ Debugger : accorde l'autorisation d'accéder aux ressources EasySaaS pour déboguer la version de l'API rbac.authorization.k8s.io/v1.
  • Créateur FluentBit : créez des ressources personnalisées FluentBit dans le cluster d'administrateur racine.
  • Éditeur FluentBit : modifiez les ressources personnalisées FluentBit dans le cluster administrateur racine.
  • Lecteur FluentBit : affichez les ressources personnalisées FluentBit dans le cluster d'administrateur racine.
  • Créateur FluentBit IO : créez des ressources personnalisées FluentBit dans l'espace de noms du projet.
  • Éditeur FluentBit IO : modifiez les ressources personnalisées FluentBit dans l'espace de noms du projet.
  • FluentBit IO Viewer : affichez les ressources personnalisées FluentBit dans l'espace de noms du projet.
  • Administrateur Gatekeeper : peut redémarrer les déploiements et corriger les secrets.
  • Distributeur d'artefacts Gemini : dispose d'un accès en lecture et en écriture aux buckets de stockage d'objets pour les ressources gemini-model-artifact-registry.
  • Lecteur de cluster Gemini Artifacts : dispose d'un accès en lecture aux buckets de stockage d'objets dans l'espace de noms du cluster.
  • Débogueur Grafana : accorde un accès administrateur aux ressources Grafana dans l'espace de noms obs-system.
  • Lecteur Grafana : accorde des autorisations pour accéder à l'instance Grafana dans l'espace de noms système du cluster d'administrateur racine.
  • Rotateur d'identifiants d'instance Harbor : a accès à la gestion des secrets dans son projet.
  • Débogueur d'instance Harbor : a accès aux services et aux charges de travail Harbor sous-jacents pour déboguer les problèmes dans le plan de gestion du cluster d'infrastructure.
  • Débogueur d'instance Harbor : a accès aux services et aux charges de travail Harbor sous-jacents pour déboguer les problèmes dans le plan de contrôle du cluster d'infrastructure.
  • Rôle "Débogueur d'instance Harbor" : permet d'accéder aux services et charges de travail Harbor sous-jacents pour déboguer les problèmes dans l'espace de noms du projet.
  • Opérateur d'instance Harbor : a accès aux services et aux charges de travail Harbor sous-jacents pour déboguer les problèmes.
  • Administrateur du matériel : dispose d'un accès complet aux ressources matérielles telles que les commutateurs, les racks et les serveurs.
  • Administrateur HSM : dispose d'un accès en lecture/écriture aux ressources des modules de sécurité matériels (HSM) dans le cluster d'administration racine. Ce rôle permet de résoudre les problèmes liés au HSM, et d'effectuer des rotations manuelles des secrets et des procédures de sauvegarde manuelles impliquant le HSM.
  • HSM System Secret Monitor : dispose d'un accès en lecture seule pour afficher les secrets dans l'espace de noms hsm-system.
  • Rotateur de secrets du système HSM : dispose d'un accès en lecture, en mise à jour et en modification aux secrets de l'espace de noms hsm-system.
  • Administrateur HDWR : dispose d'un accès complet aux ressources liées au matériel.
  • Lecteur HWDR : dispose d'un accès en lecture seule aux ressources liées au matériel.
  • Administrateur Kiali : accorde des autorisations pour accéder au tableau de bord Kiali afin de déboguer le maillage de services Istio.
  • Administrateur KMS : lit les clés KMS, les tâches d'importation, d'exportation et de rotation dans le cluster d'administration de l'organisation. Ce rôle permet également de gérer les déploiements et les pods du KMS, et d'afficher ses journaux.
  • Débogueur système KMS : accès en lecture et en écriture aux déploiements, aux pods et aux journaux KMS.
  • Débogueur KUB IPAM : accès en lecture et en écriture pour les ressources personnalisées CIDRClaim.
  • KUB Monitor : dispose d'autorisations en lecture seule pour toutes les ressources de KUB.
  • Créateur LogCollector : créez des ressources personnalisées LogCollector dans le cluster d'administrateur racine.
  • Éditeur LogCollector : permet de modifier les ressources personnalisées LogCollector dans le cluster administrateur racine.
  • Lecteur LogCollector : affichez les ressources personnalisées LogCollector dans le cluster d'administrateur racine.
  • Créateur IO LogCollector : créez des ressources personnalisées LogCollector dans l'espace de noms du projet.
  • Éditeur LogCollector IO : permet de modifier les ressources personnalisées LogCollector dans l'espace de noms du projet.
  • Lecteur LogCollector IO : affichez les ressources personnalisées LogCollector dans l'espace de noms du projet.
  • Créateur de LoggingRule : créez des ressources personnalisées LoggingRule dans le cluster d'administrateur racine.
  • Éditeur LoggingRule : modifiez les ressources personnalisées LoggingRule dans le cluster d'administrateur racine.
  • Lecteur LoggingRule : affiche les ressources personnalisées LoggingRule dans le cluster d'administrateur racine.
  • Créateur d'IO LoggingRule : créez des ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Éditeur IO LoggingRule : modifiez les ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • LoggingRule IO Viewer : affichez les ressources personnalisées LoggingRule dans l'espace de noms du projet.
  • Créateur d'IO LoggingTarget : créez des ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Éditeur IO LoggingTarget : modifiez les ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Lecteur LoggingTarget IO : affiche les ressources personnalisées LoggingTarget dans l'espace de noms du projet.
  • Requêteur de l'API Log Query : accédez à l'API Log Query pour interroger les journaux.
  • Créateur de MonitoringRule : créez des ressources personnalisées MonitoringRule dans le cluster d'administrateur racine.
  • Éditeur MonitoringRule : modifiez les ressources personnalisées MonitoringRule dans le cluster administrateur racine.
  • Lecteur MonitoringRule : affiche les ressources personnalisées MonitoringRule dans le cluster d'administrateur racine.
  • Créateur d'IO MonitoringRule : créez des ressources personnalisées MonitoringRule dans l'espace de noms du projet.
  • Éditeur IO MonitoringRule : modifiez les ressources personnalisées MonitoringRule dans l'espace de noms du projet.
  • Lecteur MonitoringRule IO : affichez les ressources personnalisées MonitoringRule dans l'espace de noms du projet.
  • Créateur MonitoringTarget : créez des ressources personnalisées MonitoringTarget dans le cluster d'administrateur racine.
  • Éditeur MonitoringTarget : modifiez les ressources personnalisées MonitoringTarget dans le cluster administrateur racine.
  • Lecteur MonitoringTarget : affiche les ressources personnalisées MonitoringTarget dans le cluster d'administrateur racine.
  • Créateur d'IO MonitoringTarget : créez des ressources personnalisées MonitoringTarget dans l'espace de noms du projet.
  • Éditeur IO MonitoringTarget : modifiez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet.
  • Lecteur IO MonitoringTarget : affichez les ressources personnalisées MonitoringTarget dans l'espace de noms du projet.
  • Lecteur d'ancres d'amorçage MZ : dispose d'autorisations de lecture zonales pour les ressources personnalisées suivantes : Zone, Service, ConfigMap et DNSRegistration.
  • Éditeur de jointure d'amorçage MZ : autorisé à modifier les ressources personnalisées KeyPair.
  • Lecteur d'amorçage MZ : dispose de l'autorisation de lecture pour les ressources personnalisées TokenRequest dans le mz-system namespace de l'API globale.
  • Administrateur MZ Configsync : dispose de droits d'administrateur liés à Config Sync multizone dans le cluster d'administration racine zonal.
  • Administrateur global MZ Configsync : dispose de droits d'administrateur liés à Configsync multizone dans l'API globale.
  • Administrateur MZ Etcd : dispose des autorisations de modification pour les ressources liées au processus d'amorçage etcd multizone.
  • Nettoyeur de sous-composants MZ Etcd : dispose de l'autorisation de modification pour la ressource Subcomponent etcd.
  • Lecteur MZ Etcd : dispose d'autorisations de lecture pour diverses ressources liées à l'amorçage et aux ressources opérationnelles etcd.
  • MZ Global API Portforward : dispose des autorisations de redirection de port pour les pods d'API mondiaux.
  • Administrateur Etcd MZ Global : dispose des autorisations de modification pour le secret de l'API globale, le cluster etcd et les ressources de zone etcd.
  • Lecteur Etcd global MZ : dispose d'autorisations de lecture pour le secret de l'API globale, le cluster et les ressources de zone etcd.
  • MZ Kube API Resource Monitor : dispose des autorisations de lecture pour les pods, les déploiements et les sous-composants liés aux processus opérationnels et d'amorçage multizone.
  • MZ Monitor : dispose d'une autorisation de lecture pour les ressources du plan de contrôle dans les deux clusters d'administrateur.
  • Administrateur du groupe de ressources MZ : dispose des autorisations de modification pour les pods, les déploiements, les secrets et les ressources de certificat.
  • Créateur de pipeline d'observabilité : créez des ressources personnalisées ObservabilityPipeline dans le cluster d'administrateur racine.
  • Éditeur ObservabilityPipeline : modifiez les ressources personnalisées ObservabilityPipeline dans le cluster d'administrateur racine.
  • Lecteur ObservabilityPipeline : affichez les ressources personnalisées ObservabilityPipeline dans le cluster d'administrateur racine.
  • Créateur d'E/S ObservabilityPipeline : créez des ressources ObservabilityPipeline personnalisées dans l'espace de noms du projet.
  • Éditeur ObservabilityPipeline IO : modifiez les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet.
  • Lecteur IO ObservabilityPipeline : affiche les ressources personnalisées ObservabilityPipeline dans l'espace de noms du projet.
  • Administrateur de l'observabilité : dispose d'un accès en lecture et en écriture aux objets de l'espace de noms obs-system.
  • Débogueur d'administrateur d'observabilité : dispose d'un accès administrateur spécifique au cluster aux ressources d'observabilité dans l'espace de noms obs-system. Ce rôle permet de contrôler précisément l'accès au cluster d'administrateur.
  • Débogueur d'observabilité : dispose d'un accès complet aux ressources d'observabilité dans l'espace de noms obs-system.
  • Débogueur du système d'observabilité : dispose d'un accès administrateur à l'ensemble de l'organisation aux ressources d'observabilité dans l'espace de noms obs-system. Ce rôle permet de gérer de manière centralisée l'accès administrateur à l'observabilité.
  • Lecteur Observability : dispose d'un accès en lecture seule pour afficher les objets dans l'espace de noms obs-system.
  • Débogueur OCLCM : accès en lecture et en écriture pour déboguer les objets OCLCM.
  • Lecteur OCLCM : dispose d'un accès en lecture seule pour afficher les objets OCLCM.
  • Administrateur de l'organisation : crée et supprime des organisations, et gère leur cycle de vie.
  • Administrateur de la facturation de l'organisation : dispose d'un accès complet aux ressources de facturation dans le cluster d'administration de l'organisation.
  • Cluster du système d'administration de la facturation de l'organisation : dispose d'un accès administrateur pour gérer les opérations de facturation dans le cluster système.
  • Lecteur de la facturation de l'organisation : dispose d'un accès en lecture seule aux ressources de facturation d'une organisation.
  • Administrateur de la gestion des artefacts système de l'organisation : dispose d'un accès administrateur aux ressources de tous les projets Harbor dans l'espace de noms système.
  • Administrateur PERF Monitor : dispose d'une autorisation de lecture sur les buckets, les comptes de service et les secrets PERF.
  • Responsable des ressources d'administration PERF : dispose d'un accès en lecture et en écriture à toutes les machines virtuelles (VM), aux disques de VM, aux accès externes aux VM, aux requêtes de VM, aux buckets, aux comptes de service de projet, aux clés AEAD, aux clés de signature et aux comptes de service PERF.
  • Débogueur PERF : dispose d'un accès en lecture et en écriture pour les jobs dans l'espace de noms du projet.
  • PERF System Monitor : dispose d'un accès en lecture seule à tous les pods, configmaps et jobs cron PERF dans l'espace de noms du projet.
  • Responsable des ressources système PERF : dispose d'un accès en lecture et en écriture à tous les services de l'espace de noms du projet.
  • Débogueur PNET : dispose d'autorisations en lecture et en écriture sur toutes les ressources PNET.
  • PNET Monitor : dispose d'autorisations en lecture seule sur toutes les ressources PNET.
  • Administrateur des règles : gère les modèles de règles pour l'organisation et dispose d'un accès complet aux contraintes.
  • Éditeur Alertmanager Project Cortex : modifiez l'instance Alertmanager Cortex dans l'espace de noms du projet.
  • Lecteur Project Cortex Alertmanager : permet d'afficher l'instance Cortex Alertmanager dans l'espace de noms du projet.
  • Visionneuse Prometheus Project Cortex : affichez l'instance Cortex Prometheus dans l'espace de noms du projet.
  • Lecteur Grafana du projet : affiche l'instance Grafana dans l'espace de noms du projet.
  • Administrateur de l'enregistreur à distance : dispose d'un accès complet aux ressources remote-logger.
  • Lecteur Remote Logger : dispose d'un accès en lecture seule aux ressources remote-logger.
  • Éditeur Root Cortex Alertmanager : accorde les autorisations nécessaires pour modifier l'instance Cortex Alertmanager sur le cluster d'administration racine.
  • Lecteur Root Cortex Alertmanager : accorde des autorisations pour accéder à l'instance Cortex Alertmanager sur le cluster d'administrateur racine.
  • Lecteur Prometheus Cortex racine : accorde des autorisations d'accès à l'instance Cortex Prometheus sur le cluster administrateur racine.
  • Administrateur de session racine : accorde l'accès pour effectuer des opérations de révocation dans le cluster d'administrateur racine.
  • Administrateur de sécurité : crée, met à jour et supprime les autorisations et les règles dans le cluster d'administrateur racine. Ce rôle n'a pas accès aux ressources de l'organisation ni du projet.
  • Lecteur de sécurité : dispose d'un accès en lecture seule à toutes les ressources auxquelles l'Administrateur de sécurité a accès.
  • Administrateur ServiceNow (cluster d'administrateur de l'organisation) : dispose d'un accès en lecture et en écriture aux composants réseau du cluster d'administrateur de l'organisation nécessaires pour gérer l'application ServiceNow.
  • Administrateur ServiceNow (cluster utilisateur) : dispose d'un accès en lecture et en écriture aux composants système du cluster système nécessaires à la gestion de l'application ServiceNow.
  • Débogueur d'administrateur SERV : permet de modifier les ressources et le déploiement SERV, et accorde des autorisations en lecture seule pour les ressources non SERV nécessaires au débogage.
  • Administrateur SERV : peut modifier les ressources et le déploiement SERV.
  • SERV Admin monitor Secrets : a accès à l'affichage des secrets dans l'espace de noms gpc-system, car les secrets du serveur n'ont pas de nom fixe.
  • SERV Admin Secret Monitor : IO pour afficher les secrets dans l'espace de noms gpc-system, car les secrets du serveur n'ont pas de nom fixe.
  • SIEM Export Infra Creator : crée et lit les ressources personnalisées SIEMInfraForwarder dans les clusters d'administrateur de l'organisation et d'administrateur racine.
  • Éditeur de l'infrastructure d'exportation SIEM : dispose d'un accès en lecture et en écriture aux ressources personnalisées SIEMInfraForwarder dans les clusters d'administrateur de l'organisation et d'administrateur racine.
  • Lecteur de l'infrastructure d'exportation SIEM : dispose d'un accès en lecture seule aux ressources personnalisées SIEMInfraForwarder dans les clusters d'administrateur de l'organisation et d'administrateur racine.
  • Administrateur des secrets de gestion des artefacts système : dispose d'un accès administrateur aux ressources secrètes pour gérer les configurations de miroir de registre.
  • Administrateur Harbor System Artifact Registry : dispose d'un accès administrateur aux projets Harbor.
  • System Artifact Registry Harbor Read : dispose d'un accès en lecture seule aux projets Harbor.
  • System Artifact Registry Harbor ReadWrite : accès en lecture et en écriture aux projets Harbor.
  • Débogueur du registre d'artefacts système : accès en lecture et en écriture à toutes les ressources Harbor.
  • Moniteur System Artifact Registry : dispose d'un accès en lecture et en écriture aux ressources Harbor dans le cluster d'administration racine.
  • Administrateur de cluster système : dispose d'un accès en lecture et en écriture à toutes les autorisations et tous les règlements du cluster système. Ce rôle a accès au niveau de l'organisation.
  • Débogueur DNS du cluster système : dispose d'un accès en création et en lecture à toutes les autorisations du cluster système.
  • Débogueur Vertex AI du cluster système : accès complet à la plate-forme Vertex AI.
  • Lecteur du cluster système : dispose d'un accès en lecture/écriture à toutes les autorisations et à tous les règlements du cluster système.
  • Administrateur VirtualMachine du projet système : a accès à la gestion des VM dans les projets système.
  • Administrateur Tenable Nessus : dispose d'un accès en lecture et en écriture aux composants réseau de l'organisation et du cluster d'administrateur racine pour gérer les applications Tenable.sc et Nessus.
  • Administrateur des demandes Transfer Appliance : gère les demandes Transfer Appliance créées par un administrateur de plate-forme. Un serveur de transfert vous permet de transférer rapidement et de manière sécurisée de grandes quantités de données vers Distributed Cloud à l'aide d'un serveur de stockage haute capacité.
  • UNET CLI Org Admin Monitor : dispose des autorisations de création et de lecture sur les ressources UNET pour exécuter les commandes gdcloud system network dans le cluster d'administrateur de l'organisation.
  • UNET CLI Root Admin Monitor : dispose des autorisations de création et de lecture sur les ressources UNET pour exécuter les commandes gdcloud system network dans le cluster d'administrateur racine.
  • UNET CLI System Monitor : dispose des autorisations de création et de lecture sur les ressources UNET pour exécuter les commandes gdcloud system network sur les clusters système.
  • UNET CLI User Monitor : dispose des autorisations sur les ressources UNET pour exécuter les commandes gdcloud system network sur les clusters utilisateur.
  • Administrateur de la mise à niveau : accorde l'autorisation de charger de nouveaux artefacts dans le registre Harbor du cluster.
  • Débogueur de mise à niveau : dispose d'autorisations de lecture et d'écriture sur les ressources de mise à niveau dans le cluster système.
  • Débogueur de cluster d'utilisateur : dispose d'un accès complet pour déboguer et résoudre les problèmes dans les clusters d'utilisateur.
  • Débogueur DNS du cluster d'utilisateur : dispose des autorisations de création et de lecture dans les clusters d'utilisateur.
  • Débogueur d'UI : dispose des autorisations nécessaires pour redémarrer les déploiements d'UI.
  • Vertex AI Debugger : dispose d'un accès complet pour atténuer les services pré-entraînés.
  • Débogueur VPN pour le serveur de l'API du plan de gestion : dispose des autorisations de lecture et d'écriture sur toutes les ressources liées au VPN dans le serveur de l'API Management.
  • Débogueur VPN pour le cluster du périmètre de l'organisation : dispose d'autorisations de lecture et d'écriture sur toutes les ressources liées au VPN dans le cluster du périmètre.

Rôles PA

Les administrateurs de plate-forme (AP) gèrent les ressources au niveau de l'organisation et la gestion du cycle de vie des projets. Vous pouvez attribuer les rôles prédéfinis suivants aux membres de l'équipe :

  • Administrateur AI Platform : accorde les autorisations permettant de gérer les services pré-entraînés.
  • Administrateur du dépôt de sauvegarde : gère les dépôts de sauvegarde.
  • Lecteur de la facturation : dispose d'un accès en lecture seule aux descriptions des SKU, aux machines de l'inventaire et aux flottes sur la page du tableau des coûts.
  • Administrateur de bucket : gère les buckets de stockage dans les organisations et les projets, ainsi que les objets qu'ils contiennent.
  • Administrateur d'objets de bucket : dispose d'un accès en lecture seule aux buckets d'une organisation et d'un accès en lecture et en écriture aux objets de ces buckets.
  • Lecteur d'objets de bucket : dispose d'un accès en lecture seule aux buckets d'une organisation et aux objets qu'ils contiennent.
  • Éditeur de clés CTM : dispose d'un accès complet pour gérer les clés CTM, par exemple pour les supprimer.
  • Lecteur de clés CTM : dispose d'un accès en lecture seule aux clés CTM.
  • Administrateur de sauvegarde pour la reprise après sinistre : effectue des sauvegardes pour la reprise après sinistre.
  • Administrateur du système de reprise après sinistre : gère les ressources dans l'espace de noms dr-system pour configurer les sauvegardes sur le cluster de gestion.
  • DR System Admin MP : gère les ressources dans l'espace de noms dr-system pour configurer les sauvegardes sur le cluster de gestion.
  • DR System Admin MP : gère les ressources dans l'espace de noms dr-system pour configurer les sauvegardes sur le cluster de gestion.
  • Administrateur des journaux de flux : gère les ressources des journaux de flux pour enregistrer les métadonnées du trafic réseau.
  • Lecteur de journaux de flux : fournit un accès en lecture seule aux configurations des journaux de flux.
  • Administrateur des règles "Restreindre par attributs" de GDCH : dispose d'un accès complet à la contrainte GDCHRestrictByAttributes.
  • Administrateur des règles de service restreint GDCH : gère les modèles de règles pour l'organisation et dispose d'un accès complet aux contraintes. Applique ou restaure les règles pour une organisation ou un projet. Administrateur PNP mondial : dispose d'autorisations d'écriture sur toutes les ressources de stratégie de réseau de projet (PNP) multizones dans l'espace de noms de projet mondial.
  • Administrateur de la fédération IdP : dispose d'un accès complet pour configurer les fournisseurs d'identité.
  • Administrateur d'interconnexion : peut configurer les ressources d'interconnexion.
  • Administrateur des jobs de rotation KMS : dispose d'un accès complet pour créer et gérer la ressource RotationJob, qui fait tourner les clés racine du système de gestion des clés (KMS).
  • Requêteur de journaux : dispose d'un accès en lecture seule pour accéder au point de terminaison des journaux d'audit ou des journaux opérationnels à partir de l'API Log Query afin d'afficher les journaux d'un projet.
  • Éditeur de services Marketplace : met à jour et supprime les services Marketplace.
  • Administrateur des règles de réseau de l'organisation : gère les règles de réseau de l'organisation dans l'espace de noms platform.
  • Administrateur de session de l'organisation : a accès à la commande de révocation. Les utilisateurs associés à ce Role sont ajoutés aux ACL Istio pour l'authentification et l'autorisation.
  • Administrateur de la sauvegarde de l'organisation : dispose d'un accès en lecture et en écriture pour gérer les sauvegardes.
  • Administrateur de la sauvegarde du cluster de l'organisation : a accès à la gestion des sauvegardes dans les clusters d'administrateur.
  • Lecteur Grafana de l'organisation : accorde des autorisations pour accéder à l'instance Grafana dans l'espace de noms système du cluster d'administrateur de l'organisation. Les utilisateurs associés à ce ClusterRole sont ajoutés aux LCA Istio pour l'authentification et l'autorisation.
  • Administrateur IAM de l'organisation : crée, met à jour et supprime les autorisations et les stratégies d'autorisation dans le cluster d'administrateur de l'organisation.
  • Lecteur IAM de l'organisation : dispose d'un accès en lecture seule à toutes les ressources auxquelles l'administrateur IAM de l'organisation a accès.
  • Administrateur de base de données de l'organisation : gère les ressources du service de base de données pour une organisation.
  • Administrateur de la mise à niveau de l'organisation : modifie les intervalles de maintenance d'une organisation. Les périodes de maintenance sont créées automatiquement lors de la création de l'organisation.
  • Lecteur de la mise à niveau de l'organisation : affiche les intervalles de maintenance.
  • Créateur de projet : crée des projets.
  • Éditeur de projet : supprime les projets.
  • Créateur d'organisation d'exportation SIEM : crée des ressources personnalisées SIEMOrgForwarder.
  • Éditeur d'organisation pour l'exportation SIEM : dispose d'un accès en lecture et en écriture aux ressources personnalisées SIEMOrgForwarder.
  • Lecteur de l'organisation d'exportation SIEM : dispose d'un accès en lecture seule pour afficher les ressources personnalisées SIEMOrgForwarder.
  • Administrateur du dépôt de sauvegarde du cluster système : dispose d'un accès complet pour gérer les dépôts de sauvegarde.
  • Administrateur de la sauvegarde des VM du cluster système : gère les sauvegardes des machines virtuelles (VM) du cluster système.
  • Créateur de demandes Transfer Appliance : peut lire et créer des demandes Transfer Appliance, qui vous permettent de transférer rapidement et de manière sécurisée de grandes quantités de données vers Distributed Cloud à l'aide d'un serveur de stockage haute capacité.
  • Administrateur de la sauvegarde des clusters d'utilisateur : gère les ressources de sauvegarde telles que les plans de sauvegarde et de restauration dans les clusters d'utilisateur.
  • Administrateur de cluster d'utilisateur : crée, met à jour et supprime le cluster d'utilisateur, et gère son cycle de vie.
  • Lecteur de CRD de cluster d'utilisateur : accès en lecture seule aux définitions de ressources personnalisées (CRD) dans un cluster d'utilisateur.
  • Développeur de clusters d'utilisateur : dispose d'autorisations d'administrateur de cluster dans les clusters d'utilisateur.
  • Lecteur de nœuds de cluster d'utilisateur : dispose d'autorisations d'administrateur de cluster en lecture seule dans les clusters d'utilisateur.
  • Administrateur VPN : dispose d'autorisations en lecture et en écriture sur toutes les ressources liées au VPN.
  • Lecteur VPN : dispose d'autorisations de lecture sur toutes les ressources liées au VPN.

Rôles AO

Les opérateurs d'application (AO) sont des membres de l'équipe de développement au sein de l'organisation de l'administrateur de plate-forme (PA). Les AO interagissent avec les ressources au niveau du projet. Vous pouvez attribuer les rôles prédéfinis suivants aux membres de l'équipe :

  • Backup Creator : crée des sauvegardes manuelles et les restaure.
  • Administrateur Certificate Authority Service : a accès à la gestion des autorités de certification et des demandes de certificat dans son projet.
  • Éditeur de tableaux de bord : dispose d'un accès en lecture et en écriture aux ressources personnalisées Dashboard.
  • Lecteur de tableaux de bord : dispose d'un accès en lecture seule aux ressources personnalisées Dashboard.
  • Administrateur d'équilibreur de charge global : dispose d'autorisations de lecture et d'écriture sur toutes les ressources d'équilibreur de charge dans l'espace de noms du projet sur le serveur d'API global.
  • Administrateur d'instance Harbor : dispose d'un accès complet pour gérer les instances Harbor dans un projet.
  • Lecteur d'instances Harbor : dispose d'un accès en lecture seule pour afficher les instances Harbor d'un projet.
  • Créateur de projet Harbor : a accès à la gestion des projets d'instance Harbor.
  • Administrateur de règles réseau K8s : gère les règles réseau dans les clusters d'utilisateur.
  • Administrateur KMS : gère les clés KMS d'un projet, y compris les clés AEADKey et SigningKey. Ce rôle permet également d'importer et d'exporter des clés.
  • Créateur KMS : dispose d'un accès en création et en lecture aux clés KMS d'un projet.
  • Développeur KMS : peut effectuer des opérations de chiffrement à l'aide de clés dans les projets.
  • Administrateur de l'exportation de clés KMS : a accès à l'exportation de clés KMS en tant que clés encapsulées depuis KMS.
  • Administrateur de l'importation de clés KMS : peut importer des clés KMS en tant que clés encapsulées dans KMS.
  • Lecteur KMS : dispose d'un accès en lecture seule aux clés KMS de son projet et peut afficher l'importation et l'exportation de clés.
  • Administrateur Load Balancer : dispose d'autorisations en lecture et en écriture sur toutes les ressources d'équilibrage de charge dans l'espace de noms du projet.
  • Éditeur Marketplace : dispose d'un accès permettant de créer, de mettre à jour et de supprimer des instances de service dans un projet.
  • Éditeur de MonitoringRule : dispose d'un accès en lecture et en écriture aux ressources MonitoringRule.
  • Lecteur MonitoringRule : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringRule.
  • Éditeur MonitoringTarget : dispose d'un accès en lecture et en écriture aux ressources personnalisées MonitoringTarget.
  • Lecteur MonitoringTarget : dispose d'un accès en lecture seule aux ressources personnalisées MonitoringTarget.
  • Lecteur NAT : dispose d'un accès en lecture seule aux déploiements dans les clusters d'utilisateur.
  • Administrateur de l'espace de noms : gère toutes les ressources de l'espace de noms du projet.
  • Éditeur ObservabilityPipeline : dispose d'un accès en lecture et en écriture aux ressources personnalisées ObservabilityPipeine.
  • Lecteur ObservabilityPipeline : dispose d'un accès en lecture seule aux ressources personnalisées ObservabilityPipeline.
  • Administrateur de bucket de projet : gère les buckets de stockage et les objets qu'ils contiennent.
  • Administrateur d'objets de bucket de projet : dispose d'un accès en lecture seule aux buckets d'un projet et d'un accès en lecture et en écriture aux objets de ces buckets.
  • Lecteur des objets de bucket du projet : dispose d'un accès en lecture seule aux buckets d'un projet et aux objets qu'ils contiennent.
  • Lecteur Project Cortex Alertmanager : accorde les autorisations permettant d'accéder à l'instance Cortex Alertmanager dans l'espace de noms du projet.
  • Lecteur Prometheus Project Cortex : accorde les autorisations permettant d'accéder à l'instance Prometheus Cortex dans l'espace de noms du projet.
  • Lecteur Grafana du projet : accède à l'instance Grafana dans l'espace de noms du projet du cluster d'administrateur de parc.
  • Administrateur IAM de projets : gère les règles d'autorisation IAM des projets.
  • Administrateur NetworkPolicy de projet : gère les règles réseau du projet dans l'espace de noms du projet.
  • Administrateur de base de données du projet : administre le service de données pour un projet.
  • Éditeur de base de données du projet : dispose d'un accès en lecture et en écriture au service de base de données pour un projet.
  • Lecteur de base de données du projet : dispose d'un accès en lecture seule au service de base de données pour un projet.
  • Lecteur du projet : dispose d'un accès en lecture seule à toutes les ressources des espaces de noms du projet.
  • Administrateur VirtualMachine du projet : gère les VM dans l'espace de noms du projet.
  • Administrateur d'images de machines virtuelles du projet : gère les images de VM dans l'espace de noms du projet.
  • Administrateur Secret : gère les secrets Kubernetes dans les projets.
  • Lecteur de secrets : permet d'afficher les secrets Kubernetes dans les projets.
  • Administrateur de la configuration du service : dispose d'un accès en lecture et en écriture aux configurations de service dans un espace de noms de projet.
  • Lecteur de configuration de service : dispose d'un accès en lecture aux configurations de service dans un espace de noms de projet.
  • Créateur de sauvegardes de VM de cluster système : peut créer et afficher des sauvegardes et des restaurations.
  • Développeur Vertex AI Optical Character Recognition (OCR) : accède au service OCR dans les clusters système.
  • Développeur Vertex AI Speech-to-Text : accède au service Speech-to-Text dans les clusters système.
  • Développeur Vertex AI Translation : accède au service Translation dans les clusters système.
  • Administrateur de la réplication de volumes : gère les ressources de réplication de volumes.
  • Administrateur de notebooks Workbench : dispose d'un accès en lecture et en écriture à toutes les ressources de notebooks dans l'espace de noms d'un projet.
  • Lecteur de notebooks Workbench : dispose d'un accès en lecture seule à toutes les ressources de notebooks dans l'espace de noms d'un projet.
  • Lecteur de charges de travail : dispose d'un accès en lecture aux charges de travail d'un projet.

Rôles courants

Les rôles communs prédéfinis suivants s'appliquent à tous les utilisateurs authentifiés :

  • Lecteur AI Platform : accorde l'autorisation d'afficher les services pré-entraînés.
  • Débogueur AIS : accès complet à toutes les ressources GKE Identity Service (AIS) dans l'espace de noms iam-system.
  • AIS Monitor : dispose d'un accès en lecture seule à toutes les ressources AIS de l'espace de noms iam-system.
  • Lecteur des options de base de données : affiche toutes les options de configuration qui peuvent être utilisées dans le service de base de données.
  • Lecteur de l'UI de la base de données : accorde aux utilisateurs authentifiés l'autorisation d'afficher l'UI du service de base de données.
  • Gestionnaire de clés DNS : dispose d'autorisations en lecture et en écriture sur les ressources DNSSEC, les configurations de clés et le matériel de clés.
  • DNS Suffix Viewer (Afficheur de suffixe DNS) : accède à la carte de configuration du suffixe du service de nom de domaine (DNS).
  • Débogueur IAM : dispose d'un accès en lecture et en écriture à toutes les ressources IAM pour la mitigation dans l'espace de noms iam-system pour les types de rôle Role et ClusterRole.
  • IAM Monitor : dispose d'un accès en lecture seule à toutes les ressources Identity and Access Management (IAM) dans l'espace de noms iam-system pour les types de rôles Role et ClusterRole.
  • Lecteur de services Marketplace : permet à tous les utilisateurs authentifiés d'accéder en lecture aux services Marketplace dans l'espace de noms système.
  • Lecteur Marketplace : dispose d'un accès en lecture seule aux versions et aux instances de service.
  • Utilisateur du simulateur de coût : dispose d'un accès en lecture seule aux descriptions des unités de gestion des stocks (SKU).
  • Lecteur de découverte de projet : permet à tous les utilisateurs authentifiés d'accéder en lecture à la vue du projet.
  • Lecteur d'images publiques : dispose d'un accès en lecture pour tous les utilisateurs authentifiés sur les images de VM publiques dans l'espace de noms vm-images.
  • Surveillance du secret anthos-creds System Artifact Registry : dispose d'un accès en lecture seule aux secrets de l'espace de noms anthos-creds.
  • Surveillance du secret système Artifact Registry gpc-system : dispose d'un accès en lecture seule aux secrets de l'espace de noms gpc-system.
  • Débogueur de secrets harbor-system System Artifact Registry : dispose d'un accès complet pour déboguer et atténuer les secrets dans l'espace de noms harbor-system.
  • Surveillance du secret harbor-system System Artifact Registry : dispose d'un accès en lecture seule aux secrets de l'espace de noms harbor-system.
  • Lecteur de types de machines virtuelles : dispose d'un accès en lecture aux types de machines virtuelles à portée de cluster.
  • Lecteur de types de VM : dispose d'un accès en lecture aux types de machines virtuelles prédéfinis sur les clusters d'administrateur.