Descrizioni dei ruoli predefiniti

I gruppi di pubblico come operatore dell'infrastruttura (IO), amministratore della piattaforma (PA) e operatore dell'applicazione (AO) non sono ruoli. Questi gruppi di pubblico sono raccolte di ruoli utente mappati su autorizzazioni specifiche e assegnati a singoli utenti. Per saperne di più, consulta Destinatari della documentazione.

Ogni sezione di questa pagina elenca i ruoli predefiniti che puoi assegnare ai membri del team.

Ruoli dell'operatore dell'infrastruttura

Gli IO hanno le autorizzazioni per gestire il cluster di amministrazione principale e il ciclo di vita dell'organizzazione. Questi sono i ruoli predefiniti che puoi assegnare ai membri del team:

  • AuditLoggingTarget Creator: crea risorse personalizzate AuditLoggingTarget nel cluster di amministrazione principale.
  • Editor AuditLoggingTarget: modifica le risorse personalizzate AuditLoggingTarget nel cluster di amministrazione principale.
  • Visualizzatore AuditLoggingTarget: visualizza le risorse personalizzate AuditLoggingTarget nel cluster di amministrazione principale.
  • AuditLoggingTarget IO Creator: crea risorse personalizzate AuditLoggingTarget nello spazio dei nomi del progetto.
  • Editor IO AuditLoggingTarget: modifica le risorse personalizzate AuditLoggingTarget nello spazio dei nomi del progetto.
  • Visualizzatore IO AuditLoggingTarget: visualizza le risorse personalizzate AuditLoggingTarget nello spazio dei nomi del progetto.
  • Audit Logs Backup Restore Creator: crea una configurazione del job di trasferimento del backup e ripristina gli audit log.
  • Editor di backup e ripristino degli audit log: modifica la configurazione del job di trasferimento del backup e ripristina gli audit log.
  • Audit Logs Infra Bucket Viewer: visualizza i bucket di backup dei log di controllo dell'infrastruttura.
  • Amministratore AIS: dispone dell'accesso in lettura e scrittura a pod e deployment di GKE Identity Service (AIS).
  • Debugger AIS: dispone dell'accesso in lettura e scrittura alle risorse AIS per la mitigazione.
  • Monitoraggio AIS: ha accesso in lettura alle risorse AIS nello spazio dei nomi iam-system.
  • Visualizzatore cluster artefatti arbitrari: dispone dell'accesso in lettura ai bucket di archiviazione degli oggetti nel control plane o nel management plane del cluster di infrastruttura.
  • Arbitrary Artifact Distributor: ha accesso in lettura e scrittura agli artefatti del modello nel control plane o nel management plane del cluster di infrastruttura.
  • Amministratore ATAT: concede l'autorizzazione per gestire le risorse correlate al portafoglio ATAT.
  • Debugger AuthzPDP: dispone dell'accesso in lettura e scrittura alle risorse del punto decisionale dei criteri di autorizzazione (PDP) per la mitigazione e il debug.
  • Amministratore dei backup: gestisce le risorse di backup, come i piani di backup e ripristino, nel cluster di amministrazione dell'organizzazione.
  • Creatore fatture di fatturazione: crea manualmente le fatture di fatturazione nel cluster amministratore principale.
  • Cert Manager System Cluster Debugger: gestisce le risorse correlate a cert-manager.
  • Dashboard Creator: crea Dashboard risorse personalizzate nel cluster di amministrazione radice.
  • Editor dashboard: modifica le risorse personalizzate Dashboard nel cluster di amministrazione radice.
  • Visualizzatore dashboard: visualizza le risorse personalizzate Dashboard nel cluster di amministrazione principale.
  • Dashboard IO Creator: crea risorse personalizzate Dashboard nello spazio dei nomi del progetto.
  • Editor IO dashboard: modifica le risorse personalizzate Dashboard nello spazio dei nomi del progetto.
  • Dashboard IO Viewer: visualizza le risorse personalizzate Dashboard nello spazio dei nomi del progetto.
  • DBS Debugger: dispone dell'accesso in lettura e scrittura ai servizi di database.
  • Amministratore DNS: aggiorna i file DNS.
  • Debugger DNS: dispone delle autorizzazioni di lettura e scrittura su tutte le risorse DNS.
  • Monitor DNS: dispone di autorizzazioni di lettura su tutte le risorse DNS.
  • Visualizzatore suffissi DNS: visualizza il configmap del suffisso DNS.
  • Amministratore DR: ha accesso per eseguire tutte le attività di ripristino di emergenza.
  • Amministratore ripristino RE: esegue i ripristini di ripristino di emergenza.
  • Amministratore di sistema RE: gestisce le risorse nello spazio dei nomi dr-system per configurare i backup sul control plane.
  • Emergency SSH Creds Admin: dispone delle autorizzazioni di accesso di emergenza e utilizza il nodo SSH nel cluster di amministrazione principale.
  • EZ Debugger: concede l'autorizzazione ad accedere alle risorse EasySaaS per eseguire il debug della versione API rbac.authorization.k8s.io/v1.
  • FluentBit Creator: crea risorse personalizzate FluentBit nel cluster di amministrazione principale.
  • FluentBit Editor: modifica le risorse personalizzate FluentBit nel cluster di amministrazione principale.
  • Visualizzatore FluentBit: visualizza le risorse personalizzate FluentBit nel cluster di amministrazione principale.
  • FluentBit IO Creator: crea risorse personalizzate FluentBit nello spazio dei nomi del progetto.
  • FluentBit IO Editor: modifica le risorse personalizzate FluentBit nello spazio dei nomi del progetto.
  • Visualizzatore I/O FluentBit: visualizza le risorse personalizzate FluentBit nello spazio dei nomi del progetto.
  • Amministratore Gatekeeper: ha accesso al riavvio delle implementazioni e ai secret patch.
  • Gemini Artifact Distributor: ha accesso in lettura e scrittura ai bucket di archiviazione degli oggetti per le risorse gemini-model-artifact-registry.
  • Visualizzatore cluster artefatti Gemini: dispone dell'accesso in lettura ai bucket di archiviazione degli oggetti nello spazio dei nomi del cluster.
  • Grafana Debugger: concede l'accesso amministrativo alle risorse Grafana nello spazio dei nomi obs-system.
  • Visualizzatore Grafana: concede le autorizzazioni per accedere all'istanza Grafana nello spazio dei nomi di sistema del cluster di amministrazione principale.
  • Harbor Instance Cred Rotator: ha accesso alla gestione dei secret nel proprio progetto.
  • Debugger dell'istanza Harbor: ha accesso ai servizi e ai carichi di lavoro Harbor sottostanti per eseguire il debug dei problemi nel piano di gestione del cluster dell'infrastruttura.
  • Debugger dell'istanza Harbor: ha accesso ai servizi e ai carichi di lavoro Harbor sottostanti per eseguire il debug dei problemi nel piano di controllo del cluster dell'infrastruttura.
  • Ruolo progetto di debug dell'istanza Harbor: ha accesso ai servizi e ai carichi di lavoro Harbor sottostanti per eseguire il debug dei problemi nello spazio dei nomi del progetto.
  • Operatore istanza Harbor: ha accesso ai servizi e ai carichi di lavoro Harbor sottostanti per eseguire il debug dei problemi.
  • Amministratore hardware: ha accesso completo alle risorse hardware come switch, rack e server.
  • Amministratore HSM: dispone dell'accesso in lettura e scrittura alle risorse dei moduli di sicurezza hardware (HSM) nel cluster di amministrazione principale. Questo ruolo può risolvere i problemi relativi all'HSM ed eseguire rotazioni manuali dei secret e procedure di backup manuali che coinvolgono l'HSM.
  • Monitoraggio dei secret di sistema HSM: dispone dell'accesso di sola lettura per visualizzare i secret nello spazio dei nomi hsm-system.
  • HSM System Secret Rotator: ha accesso in lettura, aggiornamento e modifica ai secret nello spazio dei nomi hsm-system.
  • HDWR Admin: ha accesso completo alle risorse correlate all'hardware.
  • Visualizzatore HWDR: dispone dell'accesso di sola lettura alle risorse correlate all'hardware.
  • Amministratore Kiali: concede le autorizzazioni per accedere alla dashboard di Kiali per eseguire il debug delmesh di servizih Istio.
  • Amministratore KMS: legge le chiavi KMS, i job di importazione, esportazione e rotazione nel cluster di amministrazione dell'organizzazione. Questo ruolo può anche gestire i deployment e i pod per KMS e visualizzarne i log.
  • Debugger di sistema KMS: dispone dell'accesso in lettura e scrittura a deployment, pod e log KMS.
  • Debugger IPAM KUB: dispone dell'accesso in lettura e scrittura per le risorse personalizzate CIDRClaim.
  • KUB Monitor: dispone di autorizzazioni di sola lettura per tutte le risorse in KUB.
  • Creatore di LogCollector: crea risorse personalizzate LogCollector nel cluster di amministrazione principale.
  • Editor LogCollector: modifica le risorse personalizzate LogCollector nel cluster di amministrazione principale.
  • Visualizzatore LogCollector: visualizza le risorse personalizzate LogCollector nel cluster di amministrazione principale.
  • LogCollector IO Creator: crea risorse personalizzate LogCollector nello spazio dei nomi del progetto.
  • LogCollector IO Editor: modifica le risorse personalizzate LogCollector nello spazio dei nomi del progetto.
  • Visualizzatore I/O LogCollector: visualizza le risorse personalizzate LogCollector nello spazio dei nomi del progetto.
  • LoggingRule Creator: crea risorse personalizzate LoggingRule nel cluster di amministrazione radice.
  • Editor LoggingRule: modifica le risorse personalizzate LoggingRule nel cluster di amministrazione principale.
  • Visualizzatore LoggingRule: visualizza le risorse personalizzate LoggingRule nel cluster di amministrazione principale.
  • LoggingRule IO Creator: crea risorse personalizzate LoggingRule nello spazio dei nomi del progetto.
  • Editor IO LoggingRule: modifica le risorse personalizzate LoggingRule nello spazio dei nomi del progetto.
  • LoggingRule IO Viewer: visualizza le risorse personalizzate LoggingRule nello spazio dei nomi del progetto.
  • LoggingTarget IO Creator: crea risorse personalizzate LoggingTarget nello spazio dei nomi del progetto.
  • LoggingTarget IO Editor: modifica le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto.
  • LoggingTarget IO Viewer: visualizza le risorse personalizzate LoggingTarget nello spazio dei nomi del progetto.
  • API Log Query Querier: accedi all'API Log Query per eseguire query sui log.
  • MonitoringRule Creator: crea risorse personalizzate MonitoringRule nel cluster di amministrazione principale.
  • Editor MonitoringRule: modifica le risorse personalizzate MonitoringRule nel cluster di amministrazione principale.
  • Visualizzatore MonitoringRule: visualizza le risorse personalizzate MonitoringRule nel cluster di amministrazione principale.
  • MonitoringRule IO Creator: crea risorse personalizzate MonitoringRule nello spazio dei nomi del progetto.
  • MonitoringRule IO Editor: modifica le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto.
  • MonitoringRule IO Viewer: visualizza le risorse personalizzate MonitoringRule nello spazio dei nomi del progetto.
  • MonitoringTarget Creator: crea risorse personalizzate MonitoringTarget nel cluster di amministrazione principale.
  • Editor MonitoringTarget: modifica le risorse personalizzate MonitoringTarget nel cluster di amministrazione radice.
  • Visualizzatore MonitoringTarget: visualizza le risorse personalizzate MonitoringTarget nel cluster di amministrazione principale.
  • MonitoringTarget IO Creator: crea risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto.
  • MonitoringTarget IO Editor: modifica le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto.
  • MonitoringTarget IO Viewer: visualizza le risorse personalizzate MonitoringTarget nello spazio dei nomi del progetto.
  • Lettore di ancoraggio di bootstrap MZ: dispone delle autorizzazioni di lettura zonali per le seguenti risorse personalizzate: Zone, Service, ConfigMap e DNSRegistration.
  • MZ Bootstrap Joining Editor: dispone dell'autorizzazione per modificare le risorse personalizzate KeyPair.
  • MZ Bootstrap Viewer: dispone dell'autorizzazione di lettura per le risorse personalizzate TokenRequest in mz-system namespace dell'API globale.
  • Amministratore Config Sync multizona: dispone dei privilegi di amministratore relativi a Config Sync multizona nel cluster di amministrazione root zonale.
  • "MZ Configsync global Admin": dispone di privilegi di amministratore correlati a Config Sync multizona nell'API globale.
  • MZ Etcd Admin: dispone delle autorizzazioni di modifica per le risorse correlate al processo di bootstrap multizona di etcd.
  • MZ Etcd Subcomponent Cleaner: dispone dell'autorizzazione di modifica per la risorsa etcd Subcomponent.
  • MZ Etcd Viewer: dispone di autorizzazioni di lettura per varie risorse correlate al bootstrapping e alle risorse operative di etcd.
  • MZ Global API Portforward: dispone delle autorizzazioni di port forwarding per i pod API globali.
  • MZ Global Etcd Admin: dispone delle autorizzazioni di modifica per il secret API globale, il cluster etcd e le risorse della zona etcd.
  • MZ Global Etcd Viewer: dispone delle autorizzazioni di lettura per il secret API globale, il cluster etcd e le risorse della zona etcd.
  • MZ Kube API Resource Monitor: dispone delle autorizzazioni di lettura per pod, deployment e sottocomponenti correlati ai processi operativi e di bootstrap multizona.
  • Monitoraggio MZ: dispone dell'autorizzazione di lettura per le risorse del control plane in entrambi i cluster di amministrazione.
  • Amministratore del gruppo di risorse MZ: dispone delle autorizzazioni di modifica per pod, deployment, secret e risorse di certificati.
  • ObservabilityPipeline Creator: crea risorse personalizzate ObservabilityPipeline nel cluster di amministrazione principale.
  • Editor ObservabilityPipeline: modifica le risorse personalizzate ObservabilityPipeline nel cluster di amministrazione principale.
  • Visualizzatore ObservabilityPipeline: visualizza le risorse personalizzate ObservabilityPipeline nel cluster di amministrazione principale.
  • ObservabilityPipeline IO Creator: crea risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto.
  • ObservabilityPipeline IO Editor: modifica le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto.
  • ObservabilityPipeline IO Viewer: visualizza le risorse personalizzate ObservabilityPipeline nello spazio dei nomi del progetto.
  • Amministratore dell'osservabilità: ha accesso in lettura e scrittura agli oggetti nello spazio dei nomi obs-system.
  • Debugger amministratore di osservabilità: dispone dell'accesso amministrativo specifico per il cluster alle risorse di osservabilità nello spazio dei nomi obs-system. Questo ruolo concede il controllo granulare dell'accesso all'interno del cluster di amministrazione.
  • Debugger di osservabilità: dispone dell'accesso completo alle risorse di osservabilità nello spazio dei nomi obs-system.
  • Debugger del sistema di osservabilità: dispone dell'accesso amministrativo a livello di organizzazione alle risorse di osservabilità nello spazio dei nomi obs-system. Questo ruolo consente la gestione centralizzata dell'accesso amministrativo di osservabilità.
  • Visualizzatore osservabilità: dispone dell'accesso di sola lettura per visualizzare gli oggetti nello spazio dei nomi obs-system.
  • Debugger OCLCM: ha accesso in lettura e scrittura per eseguire il debug degli oggetti OCLCM.
  • Visualizzatore OCLCM: dispone dell'accesso di sola lettura per visualizzare gli oggetti OCLCM.
  • Amministratore dell'organizzazione: crea ed elimina le organizzazioni e gestisce il ciclo di vita dell'organizzazione.
  • Amministratore della fatturazione dell'organizzazione: ha accesso completo alle risorse di fatturazione nel cluster di amministrazione dell'organizzazione.
  • Cluster di sistema di amministrazione della fatturazione dell'organizzazione: dispone dell'accesso amministrativo per gestire le operazioni di fatturazione all'interno del cluster di sistema.
  • Visualizzatore fatturazione organizzazione: dispone dell'accesso di sola lettura alle risorse di fatturazione per un'organizzazione.
  • Organization System Artifact Management Admin: dispone dell'accesso amministrativo alle risorse di tutti i progetti Harbor nello spazio dei nomi di sistema.
  • PERF Admin Monitor: dispone dell'autorizzazione di lettura per i bucket PERF, i service account e i secret.
  • PERF Admin Resource Maintainer: dispone dell'accesso in lettura e scrittura a tutte le macchine virtuali (VM), ai dischi VM, agli accessi esterni VM, alle richieste VM, ai bucket, ai service account del progetto, alle chiavi AEAD, alle chiavi di firma e ai service account PERF.
  • Debugger PERF: dispone dell'accesso in lettura e scrittura per i job nello spazio dei nomi del progetto.
  • PERF System Monitor: ha accesso in sola lettura a tutti i pod e a tutte le configmap e i cron job PERF nello spazio dei nomi del progetto.
  • PERF System Resource Maintainer: ha accesso in lettura e scrittura a tutti i servizi nello spazio dei nomi del progetto.
  • PNET Debugger: dispone delle autorizzazioni di lettura e scrittura su tutte le risorse PNET.
  • Monitoraggio PNET: dispone di autorizzazioni di sola lettura su tutte le risorse PNET.
  • Amministratore delle policy: gestisce i modelli di policy per l'organizzazione e ha pieno accesso ai vincoli.
  • Editor di Project Cortex Alertmanager: modifica l'istanza di Cortex Alertmanager nel namespace del progetto.
  • Project Cortex Alertmanager Viewer: visualizza l'istanza di Cortex Alertmanager nello spazio dei nomi del progetto.
  • Visualizzatore Prometheus di Project Cortex: visualizza l'istanza Prometheus di Cortex nello spazio dei nomi del progetto.
  • Visualizzatore Grafana progetto: visualizza l'istanza Grafana nello spazio dei nomi del progetto.
  • Amministratore logger remoto: ha accesso completo alle risorse remote-logger.
  • Visualizzatore log remoto: dispone dell'accesso in sola lettura alle risorse remote-logger.
  • Editor di Alertmanager Cortex root: concede le autorizzazioni per modificare l'istanza di Cortex Alertmanager nel cluster di amministrazione root.
  • Visualizzatore root di Cortex Alertmanager: concede le autorizzazioni per accedere all'istanza di Cortex Alertmanager nel cluster amministratore root.
  • Visualizzatore Prometheus Cortex root: concede le autorizzazioni per accedere all'istanza Prometheus Cortex nel cluster di amministrazione root.
  • Amministratore sessione root: concede l'accesso per eseguire operazioni di revoca nel cluster di amministrazione root.
  • Security Admin: crea, aggiorna ed elimina qualsiasi autorizzazione e policy all'interno del cluster di amministrazione principale. Questo ruolo non ha accesso alle risorse dell'organizzazione e del progetto.
  • Visualizzatore della sicurezza: dispone dell'accesso in sola lettura a tutte le risorse a cui ha accesso l&#39Amministratore sicurezzaa.
  • Amministratore Service Now (cluster di amministrazione dell'organizzazione): dispone dell'accesso in lettura e scrittura ai componenti di rete nel cluster di amministrazione dell'organizzazione necessari per gestire l'applicazione ServiceNow.
  • Amministratore di Service Now (cluster utente): dispone dell'accesso in lettura e scrittura ai componenti di sistema nel cluster di sistema necessari per gestire l'applicazione ServiceNow.
  • Debugger amministratore SERV: ha accesso alla modifica delle risorse e del deployment SERV e concede autorizzazioni di sola lettura per le risorse non SERV necessarie per il debug.
  • Monitoraggio amministratore SERV: ha accesso per modificare le risorse e il deployment di SERV.
  • SERV Admin monitor Secrets: ha accesso alla visualizzazione dei secret nello spazio dei nomi gpc-system, poiché i secret del server non hanno un nome fisso.
  • SERV Admin Secret Monitor: IO per visualizzare i secret nello spazio dei nomi gpc-system poiché i secret del server non hanno un nome fisso.
  • SIEM Export Infra Creator: crea e legge risorse personalizzate SIEMInfraForwarder nei cluster di amministrazione dell'organizzazione e di amministrazione principale.
  • SIEM Export Infra Editor: dispone dell'accesso in lettura e scrittura alle risorse personalizzate SIEMInfraForwarder nei cluster di amministrazione dell'organizzazione e di amministrazione principale.
  • Visualizzatore infrastruttura di esportazione SIEM: dispone dell'accesso in sola lettura alle risorse personalizzate SIEMInfraForwarder nei cluster di amministrazione dell'organizzazione e di amministrazione principale.
  • Amministratore dei secret di gestione degli artefatti di sistema: dispone dell'accesso amministrativo alle risorse secret per gestire le configurazioni mirror del registro.
  • System Artifact Registry Harbor Admin: dispone dell'accesso amministrativo ai progetti Harbor.
  • System Artifact Registry Harbor Read: dispone dell'accesso di sola lettura ai progetti Harbor.
  • System Artifact Registry Harbor ReadWrite: dispone dell'accesso in lettura e scrittura ai progetti Harbor.
  • Debugger del registro degli artefatti di sistema: dispone dell'accesso in lettura e scrittura a tutte le risorse di Harbor.
  • System Artifact Registry Monitor: dispone dell'accesso in lettura e scrittura alle risorse Harbor nel cluster di amministrazione principale.
  • Amministratore cluster di sistema: ha accesso in lettura e scrittura a qualsiasi autorizzazione e norma all'interno del cluster di sistema. Questo ruolo ha accesso a livello di organizzazione.
  • System Cluster DNS Debugger: dispone dell'accesso in lettura e scrittura a qualsiasi autorizzazione all'interno del cluster di sistema.
  • Debugger Vertex AI del cluster di sistema: ha accesso completo alla piattaforma Vertex AI.
  • Visualizzatore cluster di sistema: dispone dell'accesso in lettura/scrittura a tutte le autorizzazioni e ai criteri all'interno del cluster di sistema.
  • System Project VirtualMachine Admin: ha accesso alla gestione delle VM nei progetti di sistema.
  • Amministratore Tenable Nessus: ha accesso in lettura/scrittura ai componenti di rete nell'organizzazione e nel cluster di amministrazione root per gestire le applicazioni Tenable.sc e Nessus.
  • Amministratore richieste Transfer Appliance: gestisce le richieste di Transfer Appliance create da un amministratore della piattaforma. Un'appliance di trasferimento ti consente di trasferire in modo rapido e sicuro grandi quantità di dati a Distributed Cloud utilizzando un server di archiviazione ad alta capacità.
  • UNET CLI Org Admin Monitor: dispone delle autorizzazioni di creazione e lettura delle risorse UNET per eseguire i comandi gdcloud system network nel cluster di amministrazione dell'organizzazione.
  • UNET CLI Root Admin Monitor: dispone delle autorizzazioni di creazione e lettura sulle risorse UNET per eseguire i comandi gdcloud system network nel cluster di amministrazione principale.
  • UNET CLI System Monitor: dispone delle autorizzazioni di creazione e lettura per le risorse UNET per eseguire i comandi gdcloud system network sui cluster di sistema.
  • UNET CLI User Monitor: dispone delle autorizzazioni sulle risorse UNET per eseguire i comandi gdcloud system network sui cluster utente.
  • Upgrade Admin: concede l'autorizzazione per caricare nuovi artefatti nel registro Harbor del cluster.
  • Upgrade Debugger: dispone di autorizzazioni di lettura/scrittura per le risorse di upgrade nel cluster di sistema.
  • User Cluster Debugger: dispone dell'accesso completo per eseguire il debug e mitigare i problemi nei cluster utente.
  • User Cluster DNS Debugger: dispone delle autorizzazioni di creazione e lettura nei cluster utente.
  • UI Debugger: dispone delle autorizzazioni per riavviare i deployment dell'interfaccia utente.
  • Vertex AI Debugger: ha accesso completo per mitigare i servizi preaddestrati.
  • Debugger VPN per il server API Management Plane: dispone delle autorizzazioni di lettura e scrittura su tutte le risorse correlate alla VPN nel server API Management.
  • VPN Debugger For Org Perimeter Cluster: dispone delle autorizzazioni di lettura e scrittura per tutte le risorse correlate alla VPN nel cluster perimetrale.

Ruoli PA

Gli amministratori della piattaforma (PA) gestiscono le risorse a livello di organizzazione e la gestione del ciclo di vita del progetto. Puoi assegnare i seguenti ruoli predefiniti ai membri del team:

  • Amministratore AI Platform: concede le autorizzazioni per gestire i servizi preaddestrati.
  • Amministratore repository di backup:gestisce i repository di backup.
  • Visualizzatore fatturazione:ha accesso di sola lettura alle descrizioni degli SKU, alle macchine dell'inventario e alle flotte nella pagina della tabella dei costi.
  • Amministratore bucket:gestisce i bucket di archiviazione all'interno di organizzazioni e progetti e gli oggetti in questi bucket.
  • Amministratore oggetti bucket:dispone dell'accesso di sola lettura ai bucket all'interno di un'organizzazione e dell'accesso in lettura/scrittura agli oggetti in questi bucket.
  • Visualizzatore oggetti bucket:dispone dell'accesso di sola lettura ai bucket all'interno di un'organizzazione e agli oggetti in questi bucket.
  • Editor chiavi CTM:ha accesso completo alla gestione delle chiavi CTM, ad esempio la possibilità di eliminare le chiavi.
  • Visualizzatore chiavi CTM:dispone dell'accesso di sola lettura alle chiavi CTM.
  • Amministratore backup DR: esegue backup di ripristino di emergenza.
  • Amministratore di DR System: gestisce le risorse nello spazio dei nomi dr-system per configurare i backup nel cluster di gestione.
  • DR System Admin MP: gestisce le risorse nello spazio dei nomi dr-system per configurare i backup sul cluster di gestione.
  • DR System Admin MP: gestisce le risorse nello spazio dei nomi dr-system per configurare i backup sul cluster di gestione.
  • Amministratore log di flusso: gestisce le risorse dei log di flusso per la registrazione dei metadati del traffico di rete.
  • Visualizzatore log di flusso: fornisce accesso in sola lettura alle configurazioni dei log di flusso.
  • Amministratore policy GDCH Restrict By Attributes: ha accesso completo al vincolo GDCHRestrictByAttributes.
  • Amministratore policy per i servizi con limitazioni GDCH:gestisce i modelli di policy per l'organizzazione e ha accesso completo ai vincoli. Applica o ripristina i criteri per un'organizzazione o un progetto. Amministratore PNP globale: dispone delle autorizzazioni di scrittura per tutte le risorse di criteri di rete del progetto (PNP) multizona nello spazio dei nomi del progetto globale.
  • Amministratore federazione IdP: dispone dell'accesso completo per configurare i provider di identità.
  • Amministratore interconnessione: ha accesso alla configurazione delle risorse di interconnessione.
  • Amministratore job di rotazione KMS:ha accesso completo per creare e gestire la risorsa RotationJob, che ruota le chiavi radice di Key Management System (KMS).
  • Log Querier: dispone dell'accesso di sola lettura per raggiungere l'endpoint del log operativo o dell'audit log dall'API Log Query per visualizzare i log di un progetto.
  • Editor del servizio Marketplace:aggiorna ed elimina i servizi Marketplace.
  • Amministratore delle policy di rete dell'organizzazione: gestisce le policy di rete dell'organizzazione nello spazio dei nomi platform.
  • Amministratore sessione organizzazione: ha accesso al comando di revoca. Gli utenti associati a questo Role vengono aggiunti agli elenchi di controllo degli accessi (ACL) di Istio per l'autenticazione e l'autorizzazione.
  • Amministratore backup organizzazione: ha accesso in lettura e scrittura per gestire i backup.
  • Amministratore backup cluster organizzazione: ha accesso alla gestione dei backup nei cluster di amministrazione.
  • Visualizzatore Grafana dell'organizzazione:concede le autorizzazioni per accedere all'istanza Grafana nello spazio dei nomi di sistema del cluster di amministrazione dell'organizzazione. Gli utenti associati a questo ClusterRole vengono aggiunti agli elenchi di controllo degli accessi (ACL) di Istio per l'autenticazione e l'autorizzazione.
  • Amministratore IAM dell'organizzazione:crea, aggiorna ed elimina qualsiasi autorizzazione e policy di autorizzazione all'interno del cluster di amministrazione dell'organizzazione.
  • Visualizzatore IAM dell'organizzazione:dispone dell'accesso di sola lettura a tutte le risorse a cui ha accesso l'amministratore IAM dell'organizzazione.
  • Amministratore DB dell'organizzazione:gestisce le risorse del servizio di database per un'organizzazione.
  • Amministratore upgrade organizzazione:modifica i periodi di manutenzione per un'organizzazione. I periodi di manutenzione vengono creati automaticamente durante la creazione dell'organizzazione.
  • Visualizzatore upgrade organizzazione:visualizza i periodi di manutenzione.
  • Project Creator:crea nuovi progetti.
  • Editor progetto:elimina i progetti.
  • SIEM Export Org Creator: crea risorse personalizzate SIEMOrgForwarder.
  • SIEM Export Org Editor: ha accesso in lettura e scrittura alle risorse personalizzate SIEMOrgForwarder.
  • Visualizzatore organizzazione esportazione SIEM Dispone dell'accesso di sola lettura per visualizzare le risorse personalizzate SIEMOrgForwarder.
  • Amministratore del repository di backup del cluster di sistema: ha accesso completo per gestire i repository di backup.
  • Amministratore backup VM cluster di sistema: gestisce i backup delle macchine virtuali (VM) del cluster di sistema.
  • Creatore richieste Transfer Appliance:può leggere e creare richieste di Transfer Appliance, che consentono di trasferire in modo rapido e sicuro grandi quantità di dati a Distributed Cloud utilizzando un server di archiviazione ad alta capacità.
  • Amministratore backup cluster utente:gestisce le risorse di backup come i piani di backup e ripristino nei cluster utente.
  • Amministratore cluster utente:crea, aggiorna ed elimina il cluster utente e ne gestisce il ciclo di vita.
  • User Cluster CRD Viewer: accesso in sola lettura alle definizioni di risorse personalizzate (CRD) all'interno di un cluster utente.
  • Sviluppatore cluster utente:dispone delle autorizzazioni di amministratore del cluster nei cluster utente.
  • Visualizzatore nodi cluster utente:dispone delle autorizzazioni di amministratore del cluster di sola lettura nei cluster utente.
  • Amministratore VPN:dispone delle autorizzazioni di lettura e scrittura su tutte le risorse correlate alla VPN.
  • Visualizzatore VPN:dispone di autorizzazioni di lettura su tutte le risorse correlate alla VPN.

Ruoli AO

Gli operatori delle applicazioni (AO) sono membri del team di sviluppo all'interno dell'organizzazione dell'amministratore della piattaforma (PA). Le AO interagiscono con le risorse a livello di progetto. Puoi assegnare i seguenti ruoli predefiniti ai membri del team:

  • Backup Creator: crea backup manuali ed esegue ripristini.
  • Amministratore Certificate Authority Service: ha accesso alla gestione di autorità di certificazione e richieste di certificati nel proprio progetto.
  • Editor dashboard: ha accesso in lettura e scrittura alle risorse personalizzate Dashboard.
  • Visualizzatore dashboard: dispone dell'accesso di sola lettura alle risorse personalizzate Dashboard.
  • Amministratore del bilanciatore del carico globale: dispone delle autorizzazioni di lettura e scrittura su tutte le risorse del bilanciatore del carico nello spazio dei nomi del progetto nel server API globale.
  • Amministratore istanza Harbor: ha accesso completo per gestire le istanze Harbor in un progetto.
  • Visualizzatore istanze Harbor: dispone dell'accesso di sola lettura per visualizzare le istanze Harbor in un progetto.
  • Creatore di progetti Harbor: ha accesso per gestire i progetti dell'istanza Harbor.
  • Amministratore delle norme di rete K8s: gestisce le norme di rete nei cluster utente.
  • Amministratore KMS: gestisce le chiavi KMS in un progetto, incluse le chiavi AEADKey e SigningKey. Questo ruolo può anche importare ed esportare chiavi.
  • Creatore KMS: dispone dell'accesso in lettura e creazione alle chiavi KMS in un progetto.
  • Sviluppatore KMS: ha accesso per eseguire operazioni di crittografia utilizzando le chiavi nei progetti.
  • Amministratore esportazione chiavi KMS: ha accesso all'esportazione delle chiavi KMS come chiavi sottoposte a wrapping da KMS.
  • Amministratore importazione chiavi KMS: ha accesso all'importazione delle chiavi KMS come chiavi sottoposte a wrapping nel KMS.
  • Visualizzatore KMS: ha accesso in sola lettura alle chiavi KMS nel progetto e può visualizzare l'importazione e l'esportazione delle chiavi.
  • Amministratore del bilanciatore del carico: dispone delle autorizzazioni di lettura e scrittura su tutte le risorse del bilanciatore del carico nello spazio dei nomi del progetto.
  • Editor Marketplace: dispone dell'accesso per creare, aggiornare ed eliminare le istanze di servizio in un progetto.
  • Editor regole di monitoraggio: ha accesso in lettura e scrittura alle risorse MonitoringRule.
  • Visualizzatore MonitoringRule: dispone dell'accesso in sola lettura alle risorse personalizzate MonitoringRule.
  • Editor MonitoringTarget: ha accesso in lettura e scrittura alle risorse personalizzate MonitoringTarget.
  • Visualizzatore MonitoringTarget: dispone dell'accesso in sola lettura alle risorse personalizzate MonitoringTarget.
  • Visualizzatore NAT: dispone dell'accesso di sola lettura ai deployment nei cluster utente.
  • Amministratore spazio dei nomi: gestisce tutte le risorse all'interno dello spazio dei nomi del progetto.
  • Editor ObservabilityPipeline: ha accesso in lettura e scrittura alle risorse personalizzate ObservabilityPipeine.
  • Visualizzatore ObservabilityPipeline: dispone dell'accesso di sola lettura alle risorse personalizzate ObservabilityPipeline.
  • Amministratore bucket progetto: gestisce i bucket di archiviazione e gli oggetti all'interno dei bucket.
  • Amministratore oggetti bucket progetto: dispone dell'accesso di sola lettura ai bucket all'interno di un progetto e dell'accesso in lettura/scrittura agli oggetti in questi bucket.
  • Visualizzatore oggetti bucket progetto: dispone dell'accesso di sola lettura ai bucket all'interno di un progetto e agli oggetti in questi bucket.
  • Visualizzatore di Project Cortex Alertmanager: concede le autorizzazioni per accedere all'istanza di Cortex Alertmanager nello spazio dei nomi del progetto.
  • Project Cortex Prometheus Viewer: concede le autorizzazioni per accedere all'istanza Cortex Prometheus nello spazio dei nomi del progetto.
  • Visualizzatore Grafana del progetto: accede all'istanza Grafana nello spazio dei nomi del progetto del cluster di amministrazione del parco risorse.
  • Amministratore IAM progetto: gestisce i criteri di autorizzazione IAM dei progetti.
  • Amministratore NetworkPolicy progetto:gestisce le policy di rete del progetto nello spazio dei nomi del progetto.
  • Project DB Admin: amministra Data Service per un progetto.
  • Editor DB progetto: dispone dell'accesso in lettura/scrittura al servizio di database per un progetto.
  • Visualizzatore DB progetto: dispone dell'accesso di sola lettura al servizio di database per un progetto.
  • Visualizzatore progetto:dispone dell'accesso di sola lettura a tutte le risorse all'interno degli spazi dei nomi del progetto.
  • Amministratore VirtualMachine del progetto: gestisce le VM nello spazio dei nomi del progetto.
  • Amministratore immagini macchina virtuale progetto: gestisce le immagini VM nello spazio dei nomi del progetto.
  • Amministratore dei secret: gestisce i secret Kubernetes nei progetti.
  • Visualizzatore secret: visualizza i secret Kubernetes nei progetti.
  • Amministratore configurazione servizio: ha accesso in lettura e scrittura alle configurazioni del servizio all'interno di uno spazio dei nomi del progetto.
  • Visualizzatore configurazione servizio: dispone dell'accesso in lettura alle configurazioni di servizio all'interno di uno spazio dei nomi del progetto.
  • System Cluster VM Backup Creator: può creare e visualizzare backup e ripristini.
  • Vertex AI Optical Character Recognition (OCR) Developer: accede al servizio OCR nei cluster di sistema.
  • Sviluppatore Vertex AI Speech-to-Text: accede al servizio Speech-to-Text nei cluster di sistema.
  • Vertex AI Translation Developer: accede al servizio di traduzione nei cluster di sistema.
  • Amministratore della replica del volume: gestisce le risorse di replica del volume.
  • Amministratore di Notebooks Workbench: ha accesso in lettura e scrittura a tutte le risorse notebook all'interno di uno spazio dei nomi del progetto.
  • Visualizzatore notebook Workbench: ha accesso in sola lettura a tutte le risorse notebook all'interno di uno spazio dei nomi del progetto.
  • Visualizzatore workload: dispone dell'accesso in lettura ai workload in un progetto.

Ruoli comuni

I seguenti ruoli comuni predefiniti si applicano a tutti gli utenti autenticati:

  • AI Platform Viewer: concede le autorizzazioni per visualizzare i servizi pre-addestrati.
  • Debugger AIS: ha accesso completo a tutte le risorse di GKE Identity Service (AIS) nello spazio dei nomi iam-system.
  • Monitoraggio AIS: dispone dell'accesso di sola lettura a tutte le risorse AIS nello spazio dei nomi iam-system.
  • Visualizzatore opzioni DB: visualizza tutte le opzioni di configurazione che possono essere utilizzate in Database Service.
  • Visualizzatore UI DB: concede le autorizzazioni agli utenti autenticati per visualizzare la UI del servizio di database.
  • DNS Key Manager: dispone di autorizzazioni di lettura e scrittura per le risorse DNSSEC configurazioni delle chiavi e materiale delle chiavi.
  • Visualizzatore suffissi DNS: accede alla mappa di configurazione del suffisso del servizio di nomi di dominio (DNS).
  • IAM Debugger: dispone dell'accesso in lettura e scrittura a tutte le risorse IAM per la mitigazione nello spazio dei nomi iam-system per il tipo di ruolo Role e ClusterRole.
  • IAM Monitor: dispone dell'accesso in sola lettura a tutte le risorse Identity and Access Management (IAM) nello spazio dei nomi iam-system per il tipo di ruolo Role e ClusterRole.
  • Visualizzatore servizi Marketplace: dispone dell'accesso in lettura per tutti gli utenti autenticati ai servizi Marketplace nello spazio dei nomi di sistema.
  • Visualizzatore Marketplace: dispone dell'accesso di sola lettura alle versioni del servizio e alle istanze del servizio.
  • Utente del calcolatore prezzi: dispone dell'accesso di sola lettura alle descrizioni delle unità di gestione scorte (SKU).
  • Visualizzatore di Project Discovery: dispone dell'accesso in lettura per tutti gli utenti autenticati alla visualizzazione del progetto.
  • Visualizzatore immagini pubbliche: dispone dell'accesso in lettura per tutti gli utenti autenticati alle immagini VM pubbliche nello spazio dei nomi vm-images.
  • System Artifact Registry anthos-creds secret Monitor: dispone dell'accesso in sola lettura ai secret nello spazio dei nomi anthos-creds.
  • System Artifact Registry gpc-system secret Monitor: ha accesso in sola lettura ai secret nello spazio dei nomi gpc-system.
  • Debugger del secret harbor-system di System Artifact Registry: ha accesso completo per eseguire il debug e mitigare i secret nello spazio dei nomi harbor-system.
  • Monitoraggio secret harbor-system di System Artifact Registry: dispone dell'accesso di sola lettura ai secret nello spazio dei nomi harbor-system.
  • Visualizzatore del tipo di macchina virtuale: dispone dell'accesso in lettura ai tipi di macchine virtuali con ambito cluster.
  • Visualizzatore tipi di VM: dispone dell'accesso in lettura ai tipi di macchine virtuali predefiniti nei cluster di amministrazione.